Çok yeni ve iyi hedefli bir kimlik avı girişiminde, dolandırıcılar bir Malwarebytes çalışanına ait 1Password kimlik bilgilerini almaya çalıştı.
Birinin 1Password girişini çalmak, siber suçlular için ikramiye vurmak gibi olacaktır, çünkü parola yöneticisinde depolanan kaydetmiş tüm girişleri potansiyel olarak dışa aktarırlar.
Kimlik avı e -postası şöyle görünüyordu:
“1Password hesabınız tehlikeye atıldı
Ne yazık ki, WatchTower 1Password hesabı şifrenizin bir veri ihlalinde bulunduğunu tespit etti. Bu şifre, tüm kasanıza erişimi korur.
Hemen harekete geç
Hesabınızı güvende tutmak için lütfen aşağıdaki işlemleri yapın:
– 1Password hesap şifrenizi değiştirin
-İki faktörlü kimlik doğrulamayı etkinleştirin
– Hesap etkinliğinizi inceleyin
Hesabımı şimdi güvence altına al
Hesabınızı güvence altına almak için yardıma ihtiyacınız varsa veya herhangi bir sorunuz varsa bizimle iletişime geçin. Ekibimiz uzman, bire bir destek sağlamak için hazır. ”
E -posta yeterince ikna edici görünse de, birkaç kırmızı bayrak tespit edebilirsiniz.
- Gönderenin adresi
watchtower@eightninety[.]comgenellikle etki alanını kullanan 1Password’e ait değil@1password.com. - “Hesabımı şimdi güvence altına al” düğmesinin üzerinden geçerseniz:
https://mandrillapp[.]com/track/click/30140187/onepass-word[.]com?p={long-identifier}
1Spassword’ün Gözetleme Kulesi özelliği uzlaşılmış şifreler hakkında uyarılar gönderebilse de, bilinen veri ihlallerinin veritabanını kontrol ederek ve daha sonra sizi doğrudan 1Password uygulamasında veya ihlalle ilgili çok özel e -postalar aracılığıyla bildirerek – böyle genel bir mesaj göndererek değil.
Açıkçası, onepass-word[.]com meşru görünmesini sağlamak için zayıf bir girişimdir. Sanırım tüm iyi yazım hataları zaten alındı veya korundu. İlginç olan, “bize ulaşın” bağlantısının meşru olana gitmesi support.1password.comancak Mandrillapp aracılığıyla bir yönlendirme yoluyla da akıyor.
Mandrillapp, MailChimp tarafından sağlanan işlemsel bir e -posta API ve teslimat hizmetidir. Kuruluşların sipariş onayları, şifre sıfırlaması ve gönderim bildirimleri gibi otomatik, etkinlik odaklı e-postalar göndermelerini sağlar. Mandrill ayrıca müşterilerine teslimat izleme ve istatistik sağlar.
Dolandırıcıların fark etmemiş olabileceği şey, Mandrillapp’ın insanları bilinen kimlik avı web sitelerine iletmemesidir.
E -postalar 2 Ekim’de çıktıktan kısa bir süre sonra, alan adı zaten birkaç satıcı tarafından bir kimlik avı sitesi olarak sınıflandırıldı. 3 Ekim’e kadar, düğmeyi tıklayan herkes bir hata mesajı görüntüler. mandrillapp[.]com söz bad url - reference number: {23 character string}.
Ancak erken kuşlar bu formu görürdü:
Bu aldatmaca için düşen herkes 1spassword kimlik bilgilerini doğrudan kimlik avı ekibine gönderirdi.
25 Eylül 2025’te aldatmaca, çok benzer bir kimlik avı seferi hakkında bilgi verdi. Bu, bunun ilk olduğunu ve muhtemelen sonuncusu olmadığını gösterebilir, bu yüzden uyarılmalıdır.
Parola kasanızın anahtarı ile, siber suçlular tüm önemli hesaplarınızı devralabilir ve kimliğinizi potansiyel olarak çalabilir, bu nedenle bu kimlik bilgilerini nerede ve ne zaman kullandığınız konusunda çok dikkatli olun.
Tavsiyemiz:
- Yapamaz İstenmeyen bir e -postadaki bağlantıları veya düğmeleri tıklayın
- Yapamaz 1Password kimlik bilgilerinizi veya kişisel bilgilerinizi sağlayın.
- 1Password hesabınızdan endişe ediyorsanız, doğrudan resmi 1Password web sitesine veya uygulamasına gidin ve orada hesap durumunuzu kontrol edin.
- Bir web koruma modülü içeren güncel gerçek zamanlı koruma kullanın.
Uzlaşma Göstergeleri (IOCS)
E -posta Adresi:
watchtower@eightninety[.]com
Etki Alanı Kimlik avı web sitesi:
onepass-word[.]com
Sadece tehditler hakkında rapor vermiyoruz, tüm dijital kimliğinizi korumaya yardımcı oluyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Kimlik korumasını kullanarak kişisel bilgilerinizi ve ailenizin kişisel bilgilerini koruyun.