Devam eden, son derece karmaşık bir kimlik avı kampanyası, bazı LastPass kullanıcılarının çok önemli ana şifrelerini bilgisayar korsanlarına bırakmasına yol açmış olabilir.
Şifre yöneticileri, bir kullanıcının tüm şifrelerini (Instagram, işi ve aradaki her şey için) tek bir “ana” şifreyle korunan tek bir yerde saklar. Kullanıcıları yüzlerce hesap için kimlik bilgilerini hatırlama zorunluluğundan kurtarır ve her hesap için daha karmaşık, benzersiz parolalar kullanma olanağı sağlar. Öte yandan eğer bir tehdit aktörü ise ana parolaya erişim kazanıriçindeki hesapların her birinin anahtarlarına sahip olacaklar.
Girmek CryptoChameleon, yeni, uygulamalı bir kimlik avı kiti benzersiz bir gerçekçilik.
CryptoChameleon saldırıları genellikle çok yaygın olmasa da, siber suç dünyasında büyük ölçüde görülmemiş bir hızla başarılı oluyorlar; “bu nedenle genellikle bu tür girişimlerin ve diğer çok yüksek değerli hedeflerin hedef alındığını görüyoruz”, diye açıklıyor başkan yardımcısı David Richardson. En son kampanyayı ilk olarak tespit eden ve LastPass’e bildiren Lookout’taki tehdit istihbaratı. “Parola kasası doğal bir uzantıdır, çünkü günün sonunda bundan para kazanabileceksiniz.”
Şu ana kadar CryptoChameleon en az sekiz LastPass müşterisini (ama muhtemelen daha fazlasını) tuzağa düşürmeyi başardı ve potansiyel olarak ana şifrelerini açığa çıkardı.
CryptoChameleon’un Kısa Tarihi
İlk başta CryptoChameleon herhangi bir kimlik avı kitine benziyordu.
Operatörleri geçen yılın sonlarından beri buralardaydı. Ocak ayında kripto para borsaları Coinbase ve Binance’i hedef alarak başladılar. Bu ilk hedefleme ve son derece özelleştirilebilir araç seti, ona adını kazandırdı.
Ancak Şubat ayında fcc-okta alan adını kaydettiklerinde bu durum değişti.[.]com, ABD Federal İletişim Komisyonu’na (FCC) ait Okta Tek Oturum Açma (SSO) sayfasını taklit ediyor. Richardson, “Bu, birdenbire, orada gördüğümüz pek çok tüketici kimlik avı kitinden birinden, kurumsal kimlik bilgilerinin peşine düşülerek işletmeyi hedef alacak bir şeye doğru yükselişi sağladı” diye anımsıyor.
Richardson, Dark Reading’e FCC çalışanlarının etkilendiğini doğruladı ancak saldırılardan kaç kişinin etkilendiğini veya saldırıların kurum için herhangi bir sonuç doğurup doğurmadığını söyleyemedi. Bunun eğitimli çalışanlar üzerinde bile işe yaramasını beklediği karmaşık bir saldırı olduğunu belirtiyor.
CryptoChameleon’un sorunu sadece kimi hedef aldığı değil, aynı zamanda onları yenmede ne kadar başarılı olduğuydu. İşin püf noktası, kurbanlarla kapsamlı, sabırlı ve uygulamalı etkileşimde bulunmaktı.
Örneğin şunu düşünün: LastPass’a karşı mevcut kampanya.
LastPass Ana Şifrelerini Çalmak
Bir müşterinin 888’li bir numaradan çağrı almasıyla başlar. Robot arayan, müşteriye hesabına yeni bir cihazdan erişildiğini bildirir. Daha sonra erişime izin vermek için “1”e, engellemek için “2”ye basmaları istenir. “2”ye bastıktan sonra, kısa bir süre sonra müşteri hizmetleri temsilcisinden “bilet kapatmak” için aranacakları söyleniyor.
Daha sonra arama gelir. Alıcının haberi olmadan, sahte bir numaradan gelmiştir. Hattın diğer ucunda tipik olarak Amerikan aksanıyla konuşan canlı bir kişi var. Diğer CryptoChameleon kurbanları da İngiliz ajanlarla konuştuklarını bildirdi.
Richardson, kurbanlarla yaptığı pek çok görüşmeden, “Temsilcinin profesyonel çağrı merkezi iletişim becerileri var ve gerçekten iyi tavsiyeler sunuyor” diye anımsıyor. “Örneğin şöyle diyebilirler: ‘Bu destek telefon numarasını benim için yazmanızı istiyorum.’ Ve kurbanlardan, taklit ettikleri kişinin gerçek destek telefon numarasını yazmalarını istiyorlar ve ardından onlara tam bir ders veriyorlar: ‘Bizi yalnızca bu numaradan arayın.’ Aslında ‘Kalite ve eğitim amacıyla bu çağrı kaydediliyor’ dediklerine dair bir mağdur raporum vardı. Birisini şu anda gerçekten bu şirketle konuştuğuna inandırmak için çağrı metninin tamamını, aklınıza gelebilecek her şeyi kullanıyorlar.”
Bu sözde destek temsilcisi, kullanıcıya kısa süre içinde bir e-posta göndereceğini bildirerek kullanıcının hesabına erişimi sıfırlamasına olanak tanır. Aslında bu, kısaltılmış bir URL içeren ve onları bir kimlik avı sitesine yönlendiren kötü amaçlı bir e-postadır.
Yardımcı destek temsilcisi, kullanıcı ana şifresini taklit sitesine girerken gerçek zamanlı olarak izler. Daha sonra bunu hesaplarına giriş yapmak için kullanıyorlar ve hemen birincil telefon numarasını, e-posta adresini ve ana şifreyi değiştiriyorlar, böylece kurbanı tamamen dışarıda bırakıyorlar.
Bu arada Richardson şöyle diyor: “Konuştuğum kurbanların hiçbiri bunun bir dolandırıcılık olduğunun farkında değil. Bir kişi ‘Sanırım buraya ana şifremi girdiğimi hiç sanmıyorum’ dedi. [I told them] ‘Bu adamlarla telefonda 23 dakika geçirdiniz. Muhtemelen öyle yapmışsındır.”
Zarar
LastPass, saldırıda kullanılan şüpheli etki alanını kapattı — help-lastpass[.]com — kısa bir süre sonra yayına girdi. Ancak saldırganlar ısrarcı davranarak faaliyetlerine yeni bir IP adresi altında devam ediyor.
Saldırganların iç sistemlerine ilişkin görünürlük sayesinde Richardson, en az sekiz kurbanın kimliğini tespit edebildi. Ayrıca (Dark Reading’in gizli tuttuğu) bundan daha fazlasının olabileceğini gösteren kanıtlar da sundu.
LastPass kıdemli istihbarat analisti Mike Kosak, daha fazla bilgi istendiğinde Dark Reading’e şunları söyledi: “Bu tür kampanyalardan etkilenen müşteri sayısına ilişkin ayrıntıları açıklamıyoruz ancak bunun ve diğerlerinin kurbanı olabilecek her müşteriyi destekliyoruz.” İnsanları potansiyel kimlik avı dolandırıcılıklarını ve LastPass’i taklit eden diğer hain etkinlikleri bize bildirmeye teşvik ediyoruz. [email protected]”
Savunma Var mı?
Uygulamalı CryptoChameleon saldırganları kurbanlarıyla çok faktörlü kimlik doğrulama (MFA) gibi olası güvenlik engellerini konuşturduklarından, onlara karşı savunma farkındalıkla başlar.
Richardson, “İnsanların, saldırganların telefon numaralarını taklit edebileceğinin farkında olması gerekiyor; 800 veya 888’li bir numaranın sizi araması, bunun meşru olduğu anlamına gelmez” diyor ve şunu ekliyor: “Sırf karşı tarafta bir Amerikalı var.” bu çizgi aynı zamanda meşru olduğu anlamına da gelmez.”
Hatta şöyle diyor: “Bilinmeyen arayanların telefonlarına cevap vermeyin. Bunun, bugün yaşadığımız dünyanın üzücü bir gerçeği olduğunu biliyorum.”
İş kullanıcıları ve tüketiciler tarafından bilinen tüm farkındalık ve önleyici tedbirlere rağmen, özellikle karmaşık bir sosyal mühendislik saldırısı yine de başarılı olabilir.
Richardson, “Konuştuğum CryptoChameleon kurbanlarından biri emekli bir BT uzmanıydı” diye anımsıyor. “‘Hayatım boyunca bu tür saldırılara kanmamak için eğitim aldım. Bir şekilde buna kandım’ dedi.”
LastPass, Dark Reading’ten müşterilere aşağıdakileri hatırlatmasını istedi:
Parolanızı ve/veya hesap bilgilerinizi değiştirmeye yönelik yakın tarihli bir girişimle ilgili olarak LastPass’tan geldiğini iddia eden tüm istenmeyen veya istemsiz gelen telefon çağrılarını (otomatik veya canlı bir kişiyle yapılan) veya kısa mesajları dikkate almayın. Bunlar devam eden bir kimlik avı kampanyasının parçasıdır.
Bu etkinliği görürseniz ve bilgilerinizin ele geçirilmiş olabileceğinden endişeleniyorsanız şu adresten şirketle iletişime geçin: [email protected].
Ve son olarak LastPass sizden asla şifrenizi istemeyecektir.
