Araştırmacılar, Ethereum blok zinciri ile etkileşim kurmak için kullanılan bir kripto para cüzdanı olan MetaMask kullanıcılarını hedef alan e-posta tabanlı bir kimlik avı saldırısını ortaya çıkardı.
Kampanya Microsoft 365 (eski adıyla Microsoft Office 365) kullanıcılarına yöneliktir ve finans sektöründeki birden çok kuruluşu hedeflemiştir. Buna göre, MetaMask doğrulama e-postasına benzeyen sosyal olarak tasarlanmış bir e-posta ile başlar. Armorblox araştırma ekibibir bağlantı içerir.
Bağlantıya tıklayan kullanıcılar, sahte bir MetaMask doğrulama sayfasına yönlendiriliyor ve burada, uyumsuzluğun cüzdanlarına sınırlı erişimle sonuçlanacağını iddia ederek cüzdanlarını doğrulamaları isteniyor.
Sahte açılış sayfası, gerçek giriş sayfasına çok benzemek için MetaMask logolarını ve markalamayı kullanır ve Müşterinizi Tanıyın (KYC) doğrulama isteğine uyumu teşvik etmek için bir aciliyet dili kullanır.
“Kurbanın isteğe uymasını ve hassas verileri sızdırmasını sağlamak için, saldırganlar hem e-postanın gövdesine hem de bir aciliyet duygusunu belirten sahte açılış sayfasına dil eklediler ve zamanın çok önemli olduğunu bildirdiler.” Armorblox gönderi notları.
Araştırma ekibi ayrıca, saldırının merak etkisinden, kullanıcının şüpheyi çözmeye yönelik doğal dürtüsünden yararlanmak için kullanılabilecek bilişsel bir önyargıdan yararlandığına dikkat çekti.
Gönderi, “Saldırı akışı yoluyla daha fazla katılım, meşru logo eklemeleri, marka bilinci oluşturma ve yalnızca sahte markayla ilişkili temel özellikler aracılığıyla bu güveni daha da artırmayı amaçladı” diye devam ediyor.
Saldırı Patenleri Microsoft Güvenliğini Geçti
E-posta geçersiz bir etki alanından gelmiş olsa da, saldırganlar, güvenli e-posta ağ geçidi (SEG) filtrelerini atlamak için bir “teknikler gamı” kullanarak Microsoft’un güvenlik denetimlerinden geçmeyi başardılar.
Armorblox CSO’su Brian Johnson, şirketin araştırma ekibinin Microsoft tehdit algılama ayrıntılarına erişimi olmamasına rağmen, çok sayıda modern saldırının, doğası gereği geçici olan sıfırıncı gün kötü niyetli bağlantıları ortaya çıkardığını gördüklerini belirtiyor.
“Bulut hizmetlerinin ortaya çıkmasıyla, kötü amaçlı bağlantıları dakikalar içinde hızlandırmak ve yavaşlatmak çok kolay” diye açıklıyor. “Bu saldırılar yalnızca, bilinen kötü amaçlı bağlantılarda statik kontrollerin ötesine geçmek için doğal dil anlayışını yapay zeka ile birleştirdiğinizde tespit edilebilir.”
Johnson, bu tür saldırılara karşı korunmak için temel adımların, kuruluşun tüm hesaplarında, özellikle de finansal hesaplara erişim sağlayan hesaplarda çok faktörlü kimlik doğrulamanın (MFA) sağlanmasını içerdiğini söylüyor.
Armorblox gönderisi ayrıca, örneğin e-postadaki mantıksal tutarsızlıklar gibi sosyal mühendislik ipuçlarına dikkat etmenizi ve ek kontrollerle yerel e-posta güvenliğini artırmanızı önerir.
Gelişen, Başlangıçları Hedefleyen Kripto Para Birimi Saldırıları
Johnson, kripto cüzdan kimlik avının daha hedefli ve yaygın hale geldiğini ekliyor.
Johnson, “Kripto para biriminin kullanımı hem kişisel hem de iş ortamlarında çekiş kazandıkça, kötü niyetli aktörler için başka bir vektör açıyor” diye uyarıyor.
Küçük ve orta ölçekli işletmelere yönelik bir dizi saldırı, kurbanlar için büyük kripto para birimi kayıplarına yol açtığından, bilgisayar korsanlarının kripto para birimi ve dijital varlık borsalarından ödün verme yaklaşımları gelişmeye devam ediyor.
Bu kötü niyetli aktörler arasında, Ocak ayında SnatchCrypto kampanyasını yürüten Kuzey Kore ile ilişkili daha büyük Lazarus Grubunun bir parçası olan gelişmiş bir kalıcı tehdit (APT) grubu olan BlueNoroff da var.
Bu arada, Intel 471’in Kasım 2021 raporuna göre, fidye yazılımları ve diğer siber suçlu kuruluşlar giderek daha fazla kripto para birimine yöneldikçe, elektronik işlemlerin takibini karmaşık hale getirmek için kripto para birimi havuzlarını kullanan bir teknik olan kripto para birimi karıştırma da büyümeye hazırlanıyor.