BleepingComputer, bir yönlendirici üreticisinin yardım masası portalının, yeni gönderilen destek taleplerine yanıt olarak MetaMask kimlik avı e-postaları gönderdiğini doğruladı; bu, bir uzlaşma gibi görünüyor.
Kanadalı yönlendirici üreticisi Mercku, Start.ca, FibreStream, Innsys, RealNett, Orion Telekom ve Kelcom gibi Kanada ve Avrupa İnternet Servis Sağlayıcılarına (İSS) ve ağ şirketlerine ekipman sağlıyor.
MetaMask kimlik avı ile onaylanan destek biletleri
Yönlendirici üreticisi Mercku’ya iletilen destek taleplerine otomatik olarak kimlik avı e-postalarıyla yanıt verildiğini BleepingComputer doğruladı.
Çevrimiçi form gönderilir gönderilmez kullanıcıya, aşağıda gösterilen “Metamask: Zorunlu Metamask Hesap Güncellemesi Gerekli” başlıklı bir e-posta gönderilir:
Özellikle e-posta, kullanıcılara 24 saat içinde “Metamask hesabınızı güncellemelerini”, aksi takdirde “hesaba erişimde olası bir kayıp” yaşamaları talimatını veriyor.
“Bu iletişimin sizi iyi bulmasını umuyoruz. Kullanıcılarımızın güvenliğini güçlendirme konusundaki devam eden kararlılığımız kapsamında, yakın zamanda veritabanımızda kapsamlı bir güncelleme gerçekleştirdik ve güvenlik duvarı güvenlik sistemimizi geliştirdik. Bu iyileştirmeler ışığında, Metamask hesap profilinizi derhal güncellemeniz zorunludur.
Gerekli İşlem: Güncellemeyi tamamlayana kadar hesabınız geçici olarak erişilemezlik yaşayacaktır. Herhangi bir rahatsızlığı ve hesap erişiminin olası kaybını önlemek için, bu zorunlu güncellemeyi önümüzdeki 24 saat içinde tamamlamanızı rica ediyoruz.
hxxps://metamask.io:giriş@zpr[.]io/x4hFSxCxEqcd
Güncelleme Nedenleri: Bu proaktif önlem, güncel güvenlik risklerine bir yanıttır ve Metamask hesaplarının güvenliğini artırmak için tasarlanmıştır. Bu girişimin bir parçası olarak, sistemimizin bütünlüğünü korumak için etkin olmayan hesaplar veritabanımızdan sonlandırılacaktır.”
Kanada, Çin, Almanya ve Pakistan’daki ofisleriyle Mercku, “mesh WiFi” yönlendiricileri ve ekipmanları üretiyor. Start.ca, FibreStream, Innsys, RealNett, Orion Telekom ve Kelcom gibi İSS’ler, Mercku’nun ekipmanlarını müşterilerine sağlıyor.
Testlerimizde Mercku ile Zendesk portalı üzerinden iletişime geçtik ve otomatik onay yerine yukarıdaki mesajı aldık.
Onay e-postası bir kimlik avı mesajıdır. Kullanıcılar buna yanıt vermemeli ve burada yer alan hiçbir bağlantıyı veya eki açmamalıdır.
MetaMask, Ethereum blok zincirini kullanan ve tarayıcı uzantısı ve mobil uygulama olarak kullanılabilen bir kripto para cüzdanıdır.
MetaMask, popülaritesi nedeniyle kimlik avı yapan saldırganlar ve kripto dolandırıcıları gibi saldırganların hedefi haline geldi.
Kötüye kullanımlar Kullanıcı bilgisi Gerçek görünmesi için bir URL’nin parçası
E-postada yer alan (güvenliğiniz için şifresi çözülmüş) kimlik avı bağlantısının yapısı oldukça ilginç:
hxxps://metamask.io:login@zpr[.]io/x4hFSxCxEqcd
URL, göründüğünün aksine sizi “metamask.io”ya değil zpr’ye yönlendiriyor[.]bunun yerine io.
Bir URL veya IP adresi farklı biçimlerde gösterilebilir. Saldırganlar, IETF’nin spesifikasyonları tarafından izin verilen bu tür varyasyonları, şüphesiz kullanıcıları kimlik avı saldırılarıyla hedeflemek için kötüye kullanmışlardır.
URL şeması “Yetki” adı verilen bir bölümün kullanımına izin verir. Bu bölüm, “kullanıcı bilgisi”ni belirtmenize olanak tanır; bu, bir Kullanıcı adıURL’lerin arasında mevcut protokol ve ev sahibi parçalar.
Özellikle, RFC 3986’ya göre, “kullanıcı bilgisi”nin bu özelliği, saldırganların bunu “anlamsal saldırılar” amacıyla kötüye kullanmasını kolaylaştırır.
“Kullanıcı bilgisi alt bileşeni nadiren kullanıldığından ve yetki bileşeninde ana bilgisayarın önünde göründüğünden, bir (güvenilir) adlandırma otoritesini tanımlarken gerçekte arkasında gizlenmiş farklı bir otoriteyi tanımlıyormuş gibi görünerek bir insan kullanıcıyı yanıltmayı amaçlayan bir URI oluşturmak için kullanılabilir. örneğin gürültü.
ftp://cnn.example.com&[email protected]/top_story.htm
bir insan kullanıcının, ana bilgisayarın ‘cnn.example.com’ olduğunu varsaymasına neden olabilir, oysa aslında ‘10.0.0.1’dir.
Yanıltıcı bir kullanıcı bilgisi alt bileşeninin yukarıdaki örnekten çok daha uzun olabileceğini unutmayın.
Yukarıdaki gibi yanıltıcı bir URI, yazılımın kendisine yapılan bir saldırıdan ziyade, kullanıcının URI’nin anlamı hakkındaki önyargılarına yönelik bir saldırıdır.”
Aynısı – için de geçerli https://[email protected]/tag/security
Her ne kadar öyle olsa da belli olmak ‘google.com’a bağlandığınızı varsayarsak, ‘@’ işaretinden önceki kısım “userinfo”yu temsil eder ve gerçek Google web sitesini temsil etmez; dolayısıyla yine de BleepingComputer’a ulaşırsınız.
Uygulamada, URI şemasının kullanıcı bilgisi kısmı teknik açıdan nadiren kullanılır. Web tarayıcınız yine de sunucuya kullanıcı bilgilerini “gönderiyor” olsa da, sunucu tarafından göz ardı edilecek ve kullanıcı bilgisi kısmı mevcut olmasa bile isteğiniz aynı şekilde devam edecektir (yani URL https:/ olsaydı). /www.bleepingcomputer.com/tag/security/).
Ne olursa olsun, bu özellik, tehdit aktörleri tarafından, kullanıcının gerçekte meşru bir iş URL’sine ulaştığına dair yanlış bir izlenim uyandırmak için kötüye kullanılabilir ve istismar edilmiştir.
Bu özel durumda, hxxps://metamask.io:login@zpr adresine tıklamak[.]io/x4hFSxCxEqcd ilk önce sizi zpr’ye götürür[.]io/x4hFSxCxEqcd.
Rapor[.]Bu örnekte saldırgan tarafından kötüye kullanılan bir URL kısaltıcı olan io hizmeti, ziyaretçiyi başka bir web sitesine yönlendiriyor, hxxps://matjercasa.youcan[.]mağaza.
Neyse ki, testlerimiz sırasında son hedef web sayfası .store alan adının barındırma hesabının “askıya alındığını” gösteriyordu ve bu nedenle şimdilik daha fazla saldırı önlendi.
BleepingComputer, hafta sonu Mercku’nun destek ve basın ekipleriyle temasa geçerek onları bu uzlaşma konusunda bilgilendirdi ve bunun nasıl gerçekleştiğine ilişkin ek sorular sordu.
Bu arada Mercku müşterileri ve potansiyel müşterileri üreticinin destek portalını kullanmaktan ve buradan kaynaklanan herhangi bir iletişimle etkileşime girmekten kaçınmalıdır.