Popüler çevrimiçi bahis platformu DraftKings, kimlik bilgileri doldurma saldırılarının hedefi oldu ve siber hırsızların şu ana kadar yaklaşık 300.000 $’lık yasadışı parayı çalmasına izin verdi.
Rakiplerinden biri olan FanDuel de bu hafta müşterilerine karşı hesap ele geçirme girişimlerinde bir artış gördüğünü söyledi.
Kimlik bilgisi doldurma, siber suçluların, genellikle Dark Web’den satın alınan, önceki ihlallerden derlenen kullanıcı adı ve parola kombinasyonları listelerini kullanarak hesapları ele geçirmeye çalıştıkları bir taktiktir. Hesap sahiplerinin e-posta adreslerini ve parolalarını birden çok hesapta yeniden kullanmasını – kelimenin tam anlamıyla – bankaya yatırıyorlar, böylece örneğin bir Netflix kullanıcısından kimlik avı yapılan bir kimlik bilgisi, finansal veya çevrimiçi kumar hesapları gibi daha yüksek değerli hedeflere karşı çalışacak.
Bu hafta sonundan itibaren, sosyal medya raporları DraftKings kullanıcılarından, hesaplarının kilitlendiğinden ve fonlarının boşaltıldığından şikayet etmeye başladı. Şirket kısa süre sonra faaliyeti doğruladı.
DraftKings’in kurucu ortağı ve küresel teknoloji ve ürün başkanı Paul Liberman Pazartesi günü yaptığı basın açıklamasında, “DraftKings, bazı müşterilerin hesaplarında düzensiz faaliyetler yaşadığının farkındadır.” dedi. “Şu anda bu müşterilerin giriş bilgilerinin diğer web sitelerinde ele geçirildiğini ve daha sonra aynı giriş bilgilerini kullandıkları DraftKings hesaplarına erişmek için kullanıldığını düşünüyoruz.”
Etkilenen hesapların sayısı bilinmemekle birlikte, şirket şu ana kadar yaklaşık 300.000 dolarlık fonun çekildiğini ve “etkilenen herhangi bir müşteriyi bütünleştirmeyi” planladığını söyledi.
Siber Suçluların Gözü Dünya Kupası ve Daha Fazlası
Artan hareketlilik, NHL ve NBA sezonlarının bir araya gelmesinden ve NFL sezonunun play-off’lardan önce yap ya da bozma aşamasına girmesinden ve tabii ki 2022 FIFA Dünya Kupası’nın başlamasından kaynaklanıyor olabilir. hafta sonu.
Pixel Privacy tüketici mahremiyeti şampiyonu Chris Hauk, Dark Reading’e “Çevrimiçi kumar siteleri, günlük olarak oynanan büyük miktarlarda para nedeniyle çekici hedeflerdir” dedi. “Birçok müşteri, bir sonraki oyun, maç veya diğer spor etkinliği için bahse girebilecekleri bakiyeleri olması için kazançlarını devam ettirir (kazandıklarında para yatırmazlar). Bu, özellikle şu anda Dünya Kupası düzenlendiği için geçerlidir. futbol maçları bahisçiler için cazip olduğu için Katar’da.”
Ve gerçekten de DraftKings, saldırılarda artış gören tek kişi değil; ana rakiplerinden biri olan FanDuel, CNBC’ye söyledi hesap hedeflemesinde de artış görüldüğünü (şu ana kadar teyit edilmiş tavizler olmamasına rağmen). KnowBe4’te güvenlik farkındalığı savunucusu olan James McQuiggan’a göre, artan siber suç ilgisinin ortasında, DraftKings saldırganlarının başarısı, kullanıcı farkındalığıyla ilgili süregelen bir soruna işaret ediyor.
“Pek çok veri ihlali ve saldırı meydana geldiğinden, insanlar banka hesaplarının kumar hesaplarına eklenmesinin ne anlama geldiğini hâlâ anlamıyor. Yeterince korunmazlarsa hırsızlığa maruz kalabilirler” diyor. “Çoğu zaman insanlar bunun kendilerine olacağını düşünmüyor ve siber suçluların paralarını veya kimliklerini çalmak için gidecekleri çeşitli saldırıların ve uzunlukların farkında değiller.”
Çevrim içi kumar işletmeleri için de bahisler yüksektir. Hauk, “DraftKings ve diğer çevrimiçi bahis siteleri, bu tür saldırılar tarafından hedef alınırsa itibarlarının zedelendiğini görebilir” diyor. “Bahisçiler, güvenli olup olmadıkları konusunda sitelere olan inançlarını kaybedebilir ve bahisçilerin bakiyelerini kötü oyuncular tarafından emilmekten koruyabilir.”
Daha Sağlam Çok Faktörlü Kimlik Doğrulaması Gerekiyor
DraftKings, çoğu çevrimiçi hesap sağlayıcı gibi, kullanıcılara bir seçenek olarak iki faktörlü kimlik doğrulama sunar. Ama gerekli değil.
Comparitech’in gizlilik savunucusu Paul Bischoff, “DraftKings, kullanıcıları hesaplarında iki faktörlü kimlik doğrulamayı etkinleştirmeye zorlamaz” diye açıklıyor. “Tek istisna, DraftKings’in orada coğrafi konumlu tüm hesaplar için iki faktörlü kimlik doğrulamayı zorunlu olarak etkinleştirmesini gerektiren Connecticut. Ne kadar paranın söz konusu olduğu göz önüne alındığında bunun bir hata olduğunu düşünüyorum. 2FA etkinken hesapları hacklemek, ele geçirmek için daha fazla saldırı gerektirecektir. onları çok daha az savunmasız yapan tek seferlik kodlar.”
İşletme ve müşterileri için neyin tehlikede olduğu göz önüne alındığında, Hauk, en azından metin veya e-posta yoluyla gönderilen tek seferlik şifrelere dayanan 2FA’yı zorunlu kılmakla başlayarak, kullanıcılar için daha sağlam koruma seçenekleri sunmanın bir zorunluluk olması gerektiğini belirtiyor. .
KnowBe4’ten McQuiggan, daha iyi kullanıcı seçimlerini teşvik eden mekanizmaların da bulunduğunu belirtiyor.
“Şirketlerin yaklaşımları da [include the ability to] ihlallere karıştığı bilinen parolalara karşı çapraz referans parolaları” diye açıklıyor. “Kullanıcılar basit ve ihlal edilmiş parolalar kullanıyorsa, kullanıcılardan parolalarını benzersiz ve güvenli parolalara sıfırlamalarını talep etmelidir.”
Bununla birlikte, bu önlemler bazı düşük asılı meyveleri ortadan kaldırabilirken, basit 2FA elbette çok fazla çaba sarf etmeden altüst edilebilir. Bu nedenle araştırmacılar, hesapları güvenli hale getirmenin doğru yolunun, kimlik avına izin verilmeyen MFA kullanan FIDO2 onaylı kimlik doğrulama yöntemleri olduğunu belirtiyor. Ancak ne yazık ki, bu tür şirketlerin kullanıcı deneyimini güvenlikle yeterince dengelemesinin genellikle zor olduğu göz önüne alındığında, bu uygulamayı yakın zamanda görmemiz pek olası değil.
McQuiggan, “Çoğu, daha sağlam MFA uygulamalarını veya özelliklerini uygulama maliyetlerine karşı bir saldırı riskinin riske dayalı değerlendirmelerine bağlıdır” diyor. “Kumar siteleri ayrıca insanların platforma giriş yapmasını kolaylaştırmak istiyor; eğer çok karmaşıksa, kullanıcılar oynamak için başka bir yere gidecekler. Günümüzde çoğu kullanıcı SMS kodunu biliyor ve bu daha zayıf MFA yöntemlerinden biri olsa da , kullanıcıların hesap erişimini tamamlaması daha kolay.”