Son derece karmaşık bir kimlik avı kampanyası, bazı LastPass kullanıcılarının çok önemli ana şifrelerini bilgisayar korsanlarına bırakmasına yol açmış olabilir.
Şifre yöneticileri, bir kullanıcının tüm şifrelerini (Instagram, işi ve aradaki her şey için) tek bir “ana” şifreyle korunan tek bir yerde saklar. Kullanıcıları yüzlerce hesap için kimlik bilgilerini hatırlama zorunluluğundan kurtarır ve her hesap için daha karmaşık, benzersiz parolalar kullanma olanağı sağlar. Öte yandan eğer bir tehdit aktörü ise ana parolaya erişim kazanıriçindeki hesapların her birinin anahtarlarına sahip olacaklar.
Girmek CryptoChameleon, yeni, uygulamalı bir kimlik avı kiti benzersiz bir gerçekçilik.
CryptoChameleon saldırıları genellikle çok yaygın olmasa da, siber suç dünyasında büyük ölçüde görülmemiş bir hızla başarılı oluyorlar; “bu nedenle genellikle bu tür girişimlerin ve diğer çok yüksek değerli hedeflerin hedef alındığını görüyoruz”, diye açıklıyor başkan yardımcısı David Richardson. En son kampanyayı ilk olarak tespit eden ve LastPass’e bildiren Lookout’taki tehdit istihbaratı. “Parola kasası doğal bir uzantıdır, çünkü günün sonunda bundan para kazanabileceksiniz.”
Olmadan önce şirket tarafından bozulduCryptoChameleon, müşterilerinin en az sekizini (ama muhtemelen daha fazlasını) tuzağa düşürmeyi başardı ve potansiyel olarak ana şifrelerini açığa çıkardı.
CryptoChameleon’un Kısa Tarihi
İlk başta CryptoChameleon herhangi bir kimlik avı kitine benziyordu.
Operatörleri geçen yılın sonlarından beri buralardaydı. Ocak ayında kripto para borsaları Coinbase ve Binance’i hedef alarak başladılar. Bu ilk hedefleme ve son derece özelleştirilebilir araç seti, ona adını kazandırdı.
Ancak Şubat ayında fcc-okta alan adını kaydettiklerinde bu durum değişti.[.]com, ABD Federal İletişim Komisyonu’na (FCC) ait Okta Tek Oturum Açma (SSO) sayfasını taklit ediyor. Richardson, “Bu, birdenbire, orada gördüğümüz pek çok tüketici kimlik avı kitinden birinden, kurumsal kimlik bilgilerinin peşine düşülerek işletmeyi hedef alacak bir şeye doğru yükselişi sağladı,” diye anımsıyor.
Richardson, Dark Reading’e FCC çalışanlarının etkilendiğini doğruladı ancak saldırılardan kaç kişinin etkilendiğini veya saldırıların kurum için herhangi bir sonuç doğurup doğurmadığını söyleyemedi.
CryptoChameleon’un sorunu sadece kimi hedef aldığı değil, aynı zamanda onları yenmede ne kadar başarılı olduğuydu. İşin püf noktası, kurbanlarla kapsamlı, sabırlı ve uygulamalı etkileşimde bulunmaktı.
İlk olarak bu ayın başlarında Richardson tarafından tespit edilen ve bildirilen LastPass’e karşı son kampanyayı düşünün.
LastPass Ana Şifrelerini Çalmak
Bir müşterinin 888’li bir numaradan çağrı almasıyla başlar. Robot arayan, müşteriye hesabına yeni bir cihazdan erişildiğini bildirir. Daha sonra erişime izin vermek için “1”e, engellemek için “2”ye basmaları istenir. “2”ye bastıktan sonra, kısa bir süre sonra müşteri hizmetleri temsilcisinden “bilet kapatmak” için aranacakları söyleniyor.
Daha sonra arama gelir. Alıcının haberi olmadan, sahte bir numaradan gelmiştir. Hattın diğer ucunda tipik olarak Amerikan aksanıyla konuşan canlı bir kişi var. Diğer CryptoChameleon kurbanları da İngiliz ajanlarla konuştuklarını bildirdi.
Richardson, kurbanlarla yaptığı pek çok görüşmeden, “Temsilcinin profesyonel çağrı merkezi iletişim becerileri var ve gerçekten iyi tavsiyeler sunuyor” diye anımsıyor. “Örneğin şöyle diyebilirler: ‘Bu destek telefon numarasını benim için yazmanızı istiyorum.’ Ve kurbanlardan, taklit ettikleri kişinin gerçek destek telefon numarasını yazmalarını istiyorlar ve ardından onlara tam bir ders veriyorlar: ‘Bizi yalnızca bu numaradan arayın.’ Aslında ‘Kalite ve eğitim amacıyla bu çağrı kaydediliyor’ dediklerine dair bir mağdur raporu aldım. Birisini şu anda gerçekten bu şirketle konuştuğuna inandırmak için çağrı metninin tamamını, aklınıza gelebilecek her şeyi kullanıyorlar.”
Bu sözde destek temsilcisi, kullanıcıya kısa süre içinde bir e-posta göndereceğini bildirerek kullanıcının hesabına erişimi sıfırlamasına olanak tanır. Aslında bu, kısaltılmış bir URL içeren ve onları bir kimlik avı sitesine yönlendiren kötü amaçlı bir e-postadır.
Yardımcı destek temsilcisi, kullanıcı ana şifresini taklit sitesine girerken gerçek zamanlı olarak izler. Daha sonra bunu hesaplarına giriş yapmak için kullanıyorlar ve hemen birincil telefon numarasını, e-posta adresini ve ana şifreyi değiştiriyorlar, böylece kurbanı tamamen dışarıda bırakıyorlar.
Bu arada Richardson şöyle diyor: “Konuştuğum kurbanların hiçbiri bunun bir dolandırıcılık olduğunun farkında değillerdi. Bir kişi ‘Sanırım buraya ana şifremi girdiğimi hiç sanmıyorum’ dedi. [I told them] ‘Bu adamlarla telefonda 23 dakika geçirdiniz. Muhtemelen öyle yapmışsındır.”
Zarar
Richardson’dan gelen bir ipucunun ardından LastPass, şüpheli alan adı help-lastpass’ı izlemeye başladı[.]com. Aktif hale gelip CryptoChameleon saldırılarında kullanıldıktan sonra şirket, siteyi kapatmak için çalıştı.
Ancak aradaki kısa süre boyunca az sayıda müşteri etkilendi.
Saldırganların iç sistemlerine ilişkin görünürlük sayesinde Richardson, en az sekiz kurbanın kimliğini tespit edebildi. Ayrıca bundan daha fazlasının olabileceğini gösteren (Dark Reading’in gizli tuttuğu) kanıtlar da sundu.
LastPass kıdemli istihbarat analisti Mike Kosak, daha fazla bilgi istendiğinde Dark Reading’e şunları söyledi: “Bu tür kampanyalardan etkilenen müşterilerin sayısına ilişkin ayrıntıları açıklamıyoruz ancak bunun ve diğerlerinin kurbanı olabilecek her müşteriyi destekliyoruz.” İnsanları potansiyel kimlik avı dolandırıcılıklarını ve LastPass’i taklit eden diğer hain etkinlikleri bize bildirmeye teşvik ediyoruz. [email protected]”
Savunma Var mı?
Uygulamalı CryptoChameleon saldırganları kurbanlarıyla çok faktörlü kimlik doğrulama (MFA) gibi olası güvenlik engellerini konuşturduklarından, onlara karşı savunma farkındalıkla başlar.
Richardson, “İnsanların, saldırganların telefon numaralarını taklit edebileceğinin farkında olması gerekiyor; 800 veya 888’li bir numaranın sizi araması, bunun meşru olduğu anlamına gelmez” diyor ve şunu ekliyor: “Sırf karşı tarafta bir Amerikalı var.” bu çizgi aynı zamanda meşru olduğu anlamına da gelmez.”
Hatta şöyle diyor: “Bilinmeyen arayanların telefonlarına cevap vermeyin. Bunun, bugün yaşadığımız dünyanın üzücü bir gerçeği olduğunu biliyorum.”
İş kullanıcıları ve tüketiciler tarafından bilinen tüm farkındalık ve güvenlik önlemlerine rağmen, özellikle karmaşık bir sosyal mühendislik saldırısı yine de başarılı olabilir.
“Konuştuğum CryptoChameleon kurbanlarından biri emekli bir BT uzmanıydı. ‘Hayatım boyunca bu tür saldırılara kanmamak için eğitim aldım. Bir şekilde buna kandım’ dedi.”