Twilio’ya kısa sürede meydana gelen kimlik avı saldırısının peşinden ortalama 1.900 Signal kullanıcısının telefon numaralarının çalışılmış olduğu ortaya çıkmıştı. Kimlik avı kanalıyla Twilio’nun satın alan destek hattına erişmeyi başaran bir hacker, istediği benzer biçimde kullananların bildiri geçmişine, profil bilgilerine veya kullananların şahıs listesine erişebiliyordu. Hücum kısa süre içinde Twilio tarafınca durdurulmuştu sadece beliren bilgilere gore bu saldırıdan yalnızca Signal etkilenmedi.
Değişik uygulamalara sesli ve görüntülü bildiri gönderme olanağı sunan Twilio, geçtiğimiz günlerde büyük bir kimlik avı saldırısıyla karşı karşıya kalmıştı. Güvenlik şirketi Group-IB’ye gore, bu hücum sonrasında PC korsanlarının kimlik avı kiti, ortalama 10.000 kullanıcının giriş bilgilerini ele geçirdi ve bir çok Amerika merkezli 130’dan çok kurum bu hücum eden dolayı ziyan oldu.
Twitter, Microsoft ve Coinbase benzer biçimde dev şirketlerin detayları çalınmış olabilir
Siber güvenlik şirketi Group-IB’ye gore PC korsanları, bir çok Amerika merkezli 130’dan çok kuruluşu hedef alabilmek için “0ktapus” adlı bir kimlik avı kiti kullandı. Perşembe günü, kullanılan araçları kapsayan ve PC korsanlarından birinin ihtimaller içinde kimliğini ortaya çıkaran bir rapor gösteren şirket, 169 değişik alanda gerçekleşen saldırının ölçeğinin oldukca büyük bulunduğunu iddia ediyor.
Mart 2022’de başladığı belirtilen ve şu anne kadar ortalama 10.000 giriş bilgisinin çalışılmış olduğu kabul edilen saldırılar neticesinde finanstan telekoma kadar birden çok alan hedef alındı. Group-IB tarafınca saldırıya uğramış olduğu belirtilen firmalar içinde Microsoft, Twitter, T-Mobile, Riot Games ve Epic Games benzer biçimde dev firmalar yer ediniyor. Sadece bu mevzuda hiçbir şirket izahat yapmadı.
Kullanıcı giriş detayları nasıl çalınıyor?
Rapora gore ülkemiz’den üç kişinin etkilendiği bu saldırıda kullanılan kimlik avı kiti, şüpheli olmayan kimlik avı mesajları ile kullanıcıları kandırarak oturum açma bilgilerini girmeleri için tasarlanmış ve internet sayfaları oluşturabilen bir takım yazılım aracıdır. Bu durumda, 0ktapus korsanları farklı şirketlerdeki çalışanlara SMS mesajları gönderiyor. Bu mesajlar, görünüşte meşru, sadece sonunda düzmece, şifreleri kaydedebilen 0kta giriş sayfalarına açıylıor.
Kurban, kimlik avı sitesini daima girmiş olduğu site sanıyor ve büyün bilgilerini giriyor. Group-IB’nin raporuna gore kurbanlardan kullanıcı adları ve şifreleri isteniyor ve peşinden 2FA (iki faktörlü kimlik doğrulama) kodunu soran ikinci bir sayfa gösteriliyor. Kullanıcılar gelen şifreyi buraya giriyor ve böylece kimlik avı gerçekleşmiş olabilmektedir.
İLGİLİ HABER
Kimlik Avını Azaltacak Yeni Güvenlik Metodu Resmi Olarak Kabul Edildi
Rapora gore 0ktapus’un mart ayından bu yana 5.441 oldukca faktörlü kimlik doğrulama kodu da iç oluş suretiyle minimum 9.931 kullanıcı kimlik detayları çalındı. Group-IB’ye gore, gerçekleşen bu nihayet saldırılar, bugüne dek bu ölçekteki en büyük saldırılardandı. Bu nevi olayların içinde şirketlerden birileri olduğu düşünülüyor.
