Twilio’ya yakın vakitte gerçekleştirilen kimlik avı saldırısının akabinde yaklaşık 1.900 Signal kullanıcısının telefon numaralarının çalındığı ortaya çıkmıştı. Kimlik avı yoluyla Twilio’nun müşteri takviye çizgisine erişmeyi başaran bir hacker, istediği üzere kullanıcıların ileti geçmişine, profil detaylarıne ya da kullanıcıların kişi listesine erişebiliyordu. Atak kısa mühlet içerisinde Twilio tarafınca durdurulmuştu lakin ortaya çıkan bilgilere nazaran bu hücumdan sırf Signal etkilenmedi.
Farklı uygulamalara sesli ve imajlı ileti gönderme imkanı sunan Twilio, geçtiğimiz günlerde büyük bir kimlik avı hücumuyla karşı karşıya kalmıştı. Güvenlik firması Group-IB’ye nazaran, bu atak daha sonrasında bilgisayar korsanlarının kimlik avı kiti, yaklaşık 10.000 kullanıcının giriş ayrıntılarını ele geçirdi ve birden fazla ABD merkezli 130’dan fazla kuruluş bu saldıran dolayı ziyan gördü.
Twitter, Microsoft ve Coinbase üzere dev şirketlerin ayrıntıları çalınmış olabilir
Siber güvenlik firması Group-IB’ye bakılırsa bilgisayar korsanları, birden fazla ABD merkezli 130’dan fazla kuruluşu amaç almak için “0ktapus” isimli bir kimlik avı kiti kullandı. Perşembe günü, kullanılan araçları kapsayan ve bilgisayar korsanlarından birinin muhtemel kimliğini ortaya çıkaran bir rapor yayınlayan firma, 169 farklı alanda gerçekleşen akının ölçeğinin fazlaca büyük olduğunu argüman ediyor.
Mart 2022’de başladığı belirtilen ve şu ana kadar yaklaşık 10.000 giriş bilgisinin çalındığı düşünülen hücumlar kararında finanstan telekoma kadar biroldukca alan gaye alındı. Group-IB tarafınca taarruza uğradığı belirtilen şirketler içinde Microsoft, Twitter, T-Mobile, Riot Games ve Epic Games gibi dev şirketler yer alıyor. Fakat bu bahiste hiç bir şirket açıklama yapmadı.
Kullanıcı giriş ayrıntıları nasıl çalınıyor?
Rapora nazaran Türkiye’den üç kişinin etkilendiği bu akında kullanılan kimlik avı kiti, kuşkulu olmayan kimlik avı bildirileri ile kullanıcıları kandırarak oturum açma detaylarıni girmeleri için tasarlanmış ve web siteleri oluşturabilen bir dizi yazılım aracıdır. Bu durumda, 0ktapus korsanları çeşitli şirketlerdeki çalışanlara SMS bildirileri gönderiyor. Bu bildiriler, görünüşte legal, fakat nihayetinde düzmece, şifreleri kaydedebilen 0kta giriş sayfalarına açıylıor.
Kurban, kimlik avı sitesini her vakit girdiği site sanıyor ve büyün ayrıntılarını giriyor. Group-IB’nin raporuna bakılırsa kurbanlardan kullanıcı isimleri ve şifreleri isteniyor ve akabinde 2FA (iki faktörlü kimlik doğrulama) kodunu soran ikinci bir sayfa gösteriliyor. Kullanıcılar gelen şifreyi buraya giriyor ve bu biçimdece kimlik avı gerçekleşmiş oluyor.
Rapora nazaran 0ktapus’un mart ayından bu yana 5.441 hayli faktörlü kimlik doğrulama kodu da dahil olmak üzere en az 9.931 kullanıcı kimlik ayrıntıları çalındı. Group-IB’ye bakılırsa, gerçekleşen bu son taarruzlar, bugüne kadar bu ölçekteki en büyük saldırılardandı. Bu tıp olayların içerisinde şirketlerden birileri olduğu düşünülüyor.
Farklı uygulamalara sesli ve imajlı ileti gönderme imkanı sunan Twilio, geçtiğimiz günlerde büyük bir kimlik avı hücumuyla karşı karşıya kalmıştı. Güvenlik firması Group-IB’ye nazaran, bu atak daha sonrasında bilgisayar korsanlarının kimlik avı kiti, yaklaşık 10.000 kullanıcının giriş ayrıntılarını ele geçirdi ve birden fazla ABD merkezli 130’dan fazla kuruluş bu saldıran dolayı ziyan gördü.
Twitter, Microsoft ve Coinbase üzere dev şirketlerin ayrıntıları çalınmış olabilir
Siber güvenlik firması Group-IB’ye bakılırsa bilgisayar korsanları, birden fazla ABD merkezli 130’dan fazla kuruluşu amaç almak için “0ktapus” isimli bir kimlik avı kiti kullandı. Perşembe günü, kullanılan araçları kapsayan ve bilgisayar korsanlarından birinin muhtemel kimliğini ortaya çıkaran bir rapor yayınlayan firma, 169 farklı alanda gerçekleşen akının ölçeğinin fazlaca büyük olduğunu argüman ediyor.
Mart 2022’de başladığı belirtilen ve şu ana kadar yaklaşık 10.000 giriş bilgisinin çalındığı düşünülen hücumlar kararında finanstan telekoma kadar biroldukca alan gaye alındı. Group-IB tarafınca taarruza uğradığı belirtilen şirketler içinde Microsoft, Twitter, T-Mobile, Riot Games ve Epic Games gibi dev şirketler yer alıyor. Fakat bu bahiste hiç bir şirket açıklama yapmadı.
Kullanıcı giriş ayrıntıları nasıl çalınıyor?
Rapora nazaran Türkiye’den üç kişinin etkilendiği bu akında kullanılan kimlik avı kiti, kuşkulu olmayan kimlik avı bildirileri ile kullanıcıları kandırarak oturum açma detaylarıni girmeleri için tasarlanmış ve web siteleri oluşturabilen bir dizi yazılım aracıdır. Bu durumda, 0ktapus korsanları çeşitli şirketlerdeki çalışanlara SMS bildirileri gönderiyor. Bu bildiriler, görünüşte legal, fakat nihayetinde düzmece, şifreleri kaydedebilen 0kta giriş sayfalarına açıylıor.
Kurban, kimlik avı sitesini her vakit girdiği site sanıyor ve büyün ayrıntılarını giriyor. Group-IB’nin raporuna bakılırsa kurbanlardan kullanıcı isimleri ve şifreleri isteniyor ve akabinde 2FA (iki faktörlü kimlik doğrulama) kodunu soran ikinci bir sayfa gösteriliyor. Kullanıcılar gelen şifreyi buraya giriyor ve bu biçimdece kimlik avı gerçekleşmiş oluyor.
Rapora nazaran 0ktapus’un mart ayından bu yana 5.441 hayli faktörlü kimlik doğrulama kodu da dahil olmak üzere en az 9.931 kullanıcı kimlik ayrıntıları çalındı. Group-IB’ye bakılırsa, gerçekleşen bu son taarruzlar, bugüne kadar bu ölçekteki en büyük saldırılardandı. Bu tıp olayların içerisinde şirketlerden birileri olduğu düşünülüyor.