Kripto Para Dolandırıcılığı , Dolandırıcılık Yönetimi ve Siber Suçlar , Sosyal Medya
X Kullanan Tüm Kuruluşlar İki Faktörlü Kimlik Doğrulama Ayarlarını Gözden Geçirmeli
Mathew J. Schwartz (euroinfosec) •
11 Ocak 2024
Siber güvenlik söz konusu olduğunda kimse mükemmel değildir ve bu, siber güvenlik kuruluşları ve onları oluşturan bireyler için de geçerlidir.
Ayrıca bakınız: Savaş Sisi | Ukrayna Çatışması Siber Tehdit Ortamını Nasıl Dönüştürdü?
Bu, Google Cloud’un Mandiant olay müdahale grubunun 3 Ocak’ta sosyal medya hesaplarından birinin ele geçirilmesinden, görünüşe göre iki faktörlü koruma yöntemiyle korunmayan hesabın şifresini kaba kuvvetle tahmin eden bir saldırgana atfedilen çıkarımlardan biri. kimlik doğrulama.
Mandiant, “Geçen hafta Mandiant X hesabının ele geçirilmesiyle ilgili araştırmamızı tamamladık ve bunun muhtemelen tek hesapla sınırlı, kaba kuvvetle yapılan bir şifre saldırısı olduğunu belirledik” dedi. söz konusu Çarşamba günü eski adıyla Twitter olarak bilinen X’e gönderilen bir gönderide.
Mandiant’tan Zach Riddle, Joe Dobson, Lukasz Lamparski ve Stephen Eckels, Çarşamba günü yayınlanan bir ölüm sonrası blog yazısında, saldırganın X’teki resmi @Mandiant hesabını ele geçirdikten sonra “kripto para avcılığı kimlik avı sayfasına bağlantılar” içeren mesajlar yayınladığını söyledi.
X ile birlikte çalışan Mandiant, hesabın kontrolünü yeniden ele geçirdi ve saldırganın eklediği içeriği kaldırdı.
Mandiant, “Normalde 2FA bunu hafifletirdi, ancak bazı takım geçişleri ve X’in 2FA politikasındaki değişiklik nedeniyle yeterince korunamadık” diye tweet attı Mandiant. “Bunun bir daha yaşanmamasını sağlamak için sürecimizde değişiklikler yaptık.”
Satır aralarını okumak gerekirse: Mandiant’ın sosyal medya hesabını yönetmekten sorumlu olan kişi ya organizasyondan ayrılmış ya da farklı bir göreve geçmiş gibi görünüyor ve bu sorumluluklar başka birine devredilmedi.
Görünüşe göre X’in iki faktörlü kimlik doğrulama politikasındaki değişiklik neredeyse bir yıl öncesine dayanıyor. Geçen Şubat ayında, X’in patronu Elon Musk, o zamanlar Twitter’ın artık teklif etmiyorum Metin veya SMS tabanlı iki faktörlü kimlik doğrulama (bir kullanıcı artık X Premium olarak bilinen Twitter Blue hizmeti için ödeme yapmadığı sürece yalnızca kimlik doğrulama uygulamasına veya güvenlik anahtarına izin verir).
O zamanki Twitter, 2FA’ya atıfta bulunarak, “Twitter Blue olmayan ve zaten kayıtlı olan abonelerin, bu yöntemi devre dışı bırakmak ve başka bir yönteme kaydolmak için 30 günü olacak” dedi. 21 Mart 2023’ten sonra Twitter, “kısa mesaj 2FA’nın hâlâ etkin olduğu tüm ücretsiz hesaplarda bu özelliğin devre dışı bırakılacağı” konusunda uyardı.
Değişiklik, özellikle SIM’in ele geçirilmesi veya değiştirilmesi yoluyla SMS mesajlarının ele geçirilebilmesi anlamında teorik bir güvenlik iyileştirmesiydi. Bu nedenle ABD Ulusal Standartlar ve Teknoloji Enstitüsü, 2017 yılında tek kullanımlık kodlar için SMS kullanımının kullanımdan kaldırılmasını önerdi. Kimlik doğrulama uygulamalarının ve güvenlik anahtarlarının atlatılması çok daha zordur.
X/Twitter Güvenlik Sorunları
Uygulamada, Twitter’ın ödeme yapmayan hesaplar için SMS yoluyla 2FA’yı devre dışı bırakması, sosyal ağı kullanan tüm kişi veya kuruluşların “taşı ya da kaybet” mesajını almaması nedeniyle güvenliği daha da kötüleştirdi.
Twitter’ın değişikliği sonuçta Mandiant’ı şaşırtmış gibi görünüyor. Twitter’ın kapatması nedeniyle 2FA’yı kaybetmek gerçekten de suçluysa, “o zaman bu, duyduğum ilk yüksek profilli saldırılardan biridir” ve bu temel nedene giden iz, tweet attı Rachel Tobac, SocialProof Security’nin CEO’su ve Güvenlik ve Gizlilikte Kadınlar bölümünün başkanı.
2023’ün başlarında, aralarında Tobac’ın da bulunduğu çok sayıda güvenlik uzmanı, Twitter’ın “ücretsiz hesaplara SMS yok” hamlesini eleştirdi ve bunun bazı kullanıcıların ve kuruluşların hesaplarını istemeden korumasız bırakacağını veya belki de teknolojik açıdan daha az gelişmiş kullanıcıları çok faktörlü hesapları seçmemeye yönelteceğini söyledi. kimlik doğrulama uygulaması veya güvenlik anahtarı yerine kimlik doğrulama.
Tobac, “Onların 2FA’daki kayıtlarını silmek veya SMS 2FA için ödeme yapmak doğru değil” dedi (bkz: Twitter, SMS İkinci Faktör Kimlik Doğrulaması İçin Ücret Alacak).
Darktrace’in tehdit analizi başkanı Toby Lewis de notun düşürülmesini eleştirdi. Bir blog yazısında “MFA’ya hiç sahip olmama seçeneği hala mevcut ve varsayılan seçenek olduğunda, hiç MFA biçimini hiç kullanmamak yerine, özellikle de cep telefonu olan herkesin anında erişebileceği bir MFA biçimini tercih ederim” dedi. .
Değişim SEC’i Tuzağa Düşürdü mü?
Mandiant’ın ötesinde, Twitter’ın ücretsiz hesaplar için SMS yoluyla 2FA’yı devre dışı bırakmasının bir başka potansiyel yüksek profilli kurbanı da ABD Menkul Kıymetler ve Borsa Komisyonu olabilir. Salı günü, X’teki resmi @SECgov hesabı ele geçirildi ve ajansın spot bitcoin borsa yatırım fonlarını onayladığını iddia eden sahte bir gönderi yayınlandı.
SEC, X hesabına “yetkisiz erişimi” hızla engellediğini ve soruşturma için FBI ile birlikte çalıştığını söyledi. Çarşamba günü SEC, borsada işlem gören 11 spot Bitcoin ürününü onayladı.
X’teki güvenlik ekibi, resmi hesapta ikinci faktör kimlik doğrulamasının bulunmadığını bildirdi. Sosyal ağ, SEC hesabındaki 2FA eksikliğinin Twitter’ın ücretsiz hesaplar için SMS’i devre dışı bırakmasından kaynaklanıp kaynaklanmadığını belirtmeden, “Tüm kullanıcıları bu ekstra güvenlik katmanını etkinleştirmeye teşvik ediyoruz” dedi.
Açıkçası, eski adıyla Twitter olarak bilinen X’i hâlâ kullanan tüm kuruluşların kurumsal hesaplarını denetlemeleri ve 2FA’yı etkinleştirdiklerinden emin olmaları gerekiyor. Aksi takdirde, gelecekte daha fazla şifre kaba kuvvet uygulaması yaşanabilir.
Drenaj Tehlikesi
Mandiant vakasında, bir saldırgan X hesabını Phantom, DappRadar ve Bonk gibi meşru hizmetlerden geliyormuş gibi görünen ancak kimlik avı bağlantıları içeren mesajları dağıtmak için kullandı. Bunlar, Mandiant tarafından Clinksink kod adı verilen JavaScript kötü amaçlı yazılımlarına yol açtı; bu kötü amaçlı yazılımın, son aylarda değeri artan Solana, diğer adıyla SOL, kripto para birimi kullanıcılarının sahip olduğu cüzdanlarla bağlantı kurmak için tasarlandığını söyledi.
Mandiant, “Boşaltıcılar, aktörlerin, işlemleri onaylamak için kandırıldıktan sonra kurbanların kripto para cüzdanlarındaki değiştirilemeyen tokenlar gibi fonları ve/veya dijital varlıkları sifonlamak için kullanabileceği kötü niyetli komut dosyaları ve akıllı sözleşmelerdir” dedi.
Pek çok Clinksink saldırısı, Chick Drainer adlı bir hizmet olarak süzgeç grubu tarafından gerçekleştiriliyor gibi görünüyor – potansiyel olarak Rainbow Drainer grubuyla aynı veya onun bir geçişi – ancak siber suçlarla ilgili dedikodular, Clinksink’in kaynak kodunun sızdırıldığı, yani diğer saldırganların olduğu yönünde. Mandiant, bunu kullanıyor olabileceğini söyledi.
Mandiant’ın saldırı sonrasındaki otopsisinde, Chick Drainer örneğinde, “Bu DaaS’ın operatörleri, çalınan fonların belirli bir yüzdesi, genellikle %20 civarında olmak üzere, bağlı kuruluşlara drenaj komut dosyaları sağlıyor” diyor. “Bu son kampanyalarda bağlı kuruluşlar tarafından çalınan varlıkların toplam değerinin en az 900.000 dolar olduğunu tahmin ediyoruz.”