Güvenlik Danışmanı Troy Hunt, I Heat Me Pwned (HIBP) hizmetinin yaratıcısı, akıllı bir kimlik avı e -postasıyla kandırıldığını ve saldırganın MailChimp hesabına erişim kazandığını ve bülten abonelerine e -posta adreslerinin bir listesini çaldığını açıkladı.
Ölçüleyici bir şekilde, tehlikeye atılan verileri – e -posta ve IP adresleri, kaba coğrafi konum verileri – HIBP’ye ekledi, böylece kullanıcılar bildirim hizmetine abone olurlarsa kendilerinin dahil edilip edilmediğini kontrol edebilir veya bildirilir.
MailChimp Kimlik Yardım Saldırısı
Net güvenlik personelinin de aldığı Yardımın aldığı kimlik avı e -postası, MailChimp markasını kullanır ve alıcıları son etkinliklerini gözden geçirmeye çağırır, çünkü “hesapları gönderme ayrıcalıkları bir spam şikayeti nedeniyle kısıtlanmıştır”.
Kimlik Yardım E -postası (Kaynak: Yardım Net Güvenlik)
E -posta, alıcıyı adına göre ele almaz ve gönderildiği e -posta adresi MailChimp’e ait gibi görünmüyor (hr@group-f.be) ama açıkladığı gibi:
- Jet gecikmiş ve yorgundu
- Başlangıçta e -postayı okumak için kullandığı iOS’a Outlook, e -posta adresini oluşturmadı, sadece sahte gönderen adını (“MailChimp Hesap Hizmetleri”)
- Kimlik avı e -postası “sadece doğru miktarda aciliyet” tetikledi
- Kimlik avı e -postası, MailChimp hesabına giriş yapmak için kullandığı e -posta adresine gönderildi.
Ne yazık ki, parola yöneticisi olan 1Password, MailChimp hesap kimlik bilgilerini kimlik avı sitesine doldurmadığında, “Bir alan adına kaydolduğunuz (ve bu adresin 1Password’de depolandığı), daha sonra farklı bir alana oturum açtığınız için” endişelenmedi.
Sonunda, MailChimp’in kimlik avına dirençli 2FA sunmadığı gerçeğini yaktı. İkinci kimlik doğrulama faktörünü (yani, bir kerelik bir parola, aka OTP) almak için sadece iki seçenek, SMS üzerinden veya kişinin mobil cihazında 2 faktörlü bir kimlik doğrulayıcı uygulamasıdır ve bunu kimlik avı sitesine de girmiştir.
“Hiçbir şekilde insanları OTP aracılığıyla 2FA’yı etkinleştirmemeye teşvik etmem, ancak bu, OTP’yi girer girmez aktarabilecek otomatik bir kimlik avı saldırısına karşı ne kadar işe yaramaz olduğuna dair bir ders olsun” dedi.
“Gerçekten önemli şeyler üzerinde bir U2F anahtarını kullanmak (etki alanı kayıt memurum gibi) bu Auth türünün değerini vurgular. Bugünün Phish bu hesaba karşı ya da kimlik avına dirençli bir ikinci faktör kullanarak diğer kritik olanlara karşı gerçekleşemezdi ve orgs’u bu yönde toplu olarak itmemiz gerekiyor.”
Bir Öğretim Anı
Hunt, giriş/kimlik doğrulamasını kimlik avı sitesine girdikten hemen sonra bir şeylerin yanlış olduğunu fark etse de, resmi MailChimp sitesine giriş yaptı ve hesap şifresini değiştirse de, saldırgan posta listesini dışa aktarmayı başardı, bu da saldırının oldukça otomatik olduğu anlamına geliyor.
Bu, hepimizin başa çıkmamız gereken talihsiz bir gerçekliktir, ancak çevrimiçi hizmetlerin – bu durumda, tekrar saldırıları önlemek için kontroller – bilinen saldırı eğilimlerine karşı koymak için yavaş olması talihsiz bir durumdur.
Hunt’ın başarısızlığının halka açık olarak ifşa edilmesi, hiçbir yararlı ipucu ve eğitimin kullanıcıların kimlik hilelerine karşı tamamen bağışık olmasına neden olabileceğinin kanıtı olarak kullanılmalıdır.
Bu tür bir eğitim göz ardı edilmemelidir, ancak doğru teknoloji-örneğin, iyi anti-kimlik anti-e-posta filtreleri, daha iyi kullanıcı arayüzü seçenekleri, daha güvenli 2FA seçenekleri vb.-bu saldırıları önlemede de büyük bir faktördür.