Tehdit aktörleri, hesap kurtarma araçlarından yararlanmak ve yetkilendirilmeden kullanıcı kimlik bilgileri elde etmek için artan sayıda karmaşık sosyal mühendislik saldırısında Google destek ajanları olarak poz vermektedir.
Bu kampanyalar, güvenilirlik oluşturmak ve kurbanları hileli kurtarma istemlerini onaylamak için manipüle etmek için Google’ın resmi iletişim bilgileriyle ilişkili sahte telefon numaraları gibi meşru görünümlü iletişim kanallarından yararlanır.
Yakın zamanda yapılan bir olay şu taktiği vurgulamaktadır: bir kişi, Google’ın Mountain View, California’daki merkeziyle herkese açık olarak ilişkili olan +1 (650) 253-0000 olarak listelenen bir sayıdan istenmeyen çağrılar aldığını bildirdi.
Ortaya çıkan kimlik avı kampanyaları
ABD merkezli bir destek ajanını taklit etmek için ikna edici bir bölgesel aksan benimseyen arayan, Fransa ve İngiltere gibi yerlerden yetkisiz erişim girişimlerine yanıt verdiğini iddia etti.
Etkileşimi proaktif bir güvenlik önlemi olarak çerçeveleyerek, saldırgan kurbanı gerçek zamanlı bir hesap kurtarma istemini kabul etmeye ve hesabın kontrolünü etkili bir şekilde teslim etmeye zorlamayı amaçladı.
Bu yöntem, kimlik doğrulaması için bağlantılı cihazlara veya telefon numaralarına istemlerin gönderildiği Google’ın meşru iki faktörlü kimlik doğrulamasını (2FA) ve kurtarma iş akışlarından yararlanır.
Bununla birlikte, bu dolandırıcılıklarda, istemler çağrı sırasında saldırganların kendileri tarafından başlatılır ve standart kullanıcı tarafından başlatılan süreçleri atlar.
Teknik analiz, bu tür operasyonların, resmi sayıları taklit etmek için IP (VoIP) sahte araçlar üzerinde genellikle aciliyet ve güven aşılamak için tasarlanmış sosyal mühendislik senaryoları ile birleştirdiğini ortaya koymaktadır.
Bu istemleri onaylayan kurbanlar, acil hesap devralma riskini alarak, saldırganların şifreleri değiştirmesini, hak sahibi sahibini kilitlemelerini ve gmail, google sürücü ve hatta finansal entegrasyonlar gibi bağlantılı hizmetlere Google Pay aracılığıyla erişmesine olanak tanır.
Bu saldırıların kalıcılığı, insan merkezli güvenlik katmanlarındaki güvenlik açıklarının altını çiziyor, burada gelişmiş kullanıcıların bile istenmeyen sosyal yardım konusunda uyanık olmasa bile aldatılabiliyor.
Geliştirilmiş hesap güvenliği
Saldırı vektörüne daha derinlemesine giren bu kimliğe bürünme şemaları, kimlik avı taktiklerinin bir evrimini temsil eder, vishing’i (sesli kimlik avı) Google’ın ekosistemindeki OAuth benzeri kurtarma akışlarından yararlanır.
Saldırganlar genellikle keşif, ihlal edilen veritabanlarından kurban verileri veya kamu sızıntılarından, anlatılarına özgünlük vermek için yabancı IP adreslerinden kurtarma girişimleri gibi önceki şüpheli faaliyetlere başvurmak için başlar.
Bildirilen durumda, dolandırıcı kurbanı hızlı bir çevrimiçi arama yoluyla telefon numarasını doğrulamaya teşvik etti ve Google’ın yayınlanmış iletişim hattına uyduğunu, ancak yalnızca canlı aracıları olmayan otomatik sistemlere yol açmasına rağmen.
Bu blöf, onay yanlılığını ve resmi kanalların meşruiyete eşit olduğu varsayımını avlayan yaygın bir psikolojik kancadır.
Saldırgan, satıra girdikten sonra, kabul edilirse, doğrudan şifrelere veya 2FA kodlarına ihtiyaç duymadan oturum erişimini sağlayan gönderilen bir istemin onaylanmasını ister.
Siber güvenlik perspektifinden bakıldığında, bu, Google’ın sistemleri, gerçek zamanlı etkileşimlerde kullanıcı tarafından başlatılan ve saldırganla tetiklenen istekler arasında doğal olarak ayrım yapmadığından, yalnızca bağlamsal farkındalık olmadan derhal doğru doğrulamaya güvenmek için kusurları vurgular.
Bu tür tehditlere karşı koymak için kullanıcılar, yüksek riskli hesaplar için donanım güvenlik anahtarlarını zorunlu kılan ve kurtarma seçeneklerini kısıtlayan Google’ın Gelişmiş Koruma Programı gibi gelişmiş güvenlik özelliklerini etkinleştirmelidir.
SMS üzerinden passeylerin veya uygulama tabanlı kimlik doğrulayıcıların uygulanması, müdahale risklerini azaltabilirken, Google’ın güvenlik kontrol paneli üzerinden düzenli olarak hesap aktivite günlüklerini denetlemek, coğrafi konum uyumsuzlukları veya tanınmayan cihazlar gibi anomalilerin erken algılanmasına izin verir.
En önemlisi, Google gibi meşru kuruluşların asla güvenlik doğrulamaları için istenmeyen çağrılar başlatmadığı ilkesine bağlılık çok önemlidir; Bu tür herhangi bir temas düşmanca muamele edilmelidir.
Organizasyonlar için, ortaya çıkan vishing kalıplarını izleyen tehdit istihbarat beslemelerini entegre etmek, sosyal mühendislik kırmızı bayrakları üzerinde çalışan eğitimi ile birleştiğinde, kurumsal çapında riskleri azaltabilir.
Özünde, bu saldırılar, kişisel dijital hijyende sıfır tröst zihniyetine olan ihtiyacı vurgulayarak yerleşik protokollere olan güvenden yararlanır. Siber güvenlik topluluğu, bu tür olayların ayrıntılarını kataloglayarak ve yayarak, bu sinsi kimlik bilgisi-sniffing operasyonlarına karşı kolektif savunmaları geliştirebilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!