ENS çekirdek geliştiricilerinden biri saldırının hedefi oldu ve bu kripto para yatırımcılarının ne kadar savunmasız olduğunu gösteriyor. Profesyonellerin bile düşürülebildiği bu tuzak kripto para yatırımcılarının önemli kısmı için ciddi kayıplara neden olabilir. Peki olayın detayları neler? Yatırımcılar neye dikkat etmeli?
Google Açığı ve Kripto Paralar
Siber saldırganlar her türlü yöntemle haksız kazanç elde etme çabasını sürdürüyor. Sahte ürün reklamları, yapay zeka destekli aldatıcı sözde yatırım fırsatı videoları, virüsler, oltalama saldırıları derken yatırımcıların mağduriyet yaşamaması için son derece temkinli olması gerekiyor.
ENS çekirdek geliştiricisi Nick kripto topluluğunun yakından tanıdığı bir isim ve Google altyapısında henüz çözümlenmemiş iki güvenlik açığını kullanan saldırganların kurduğu tuzağa düştü.
“Yakın zamanda son derece sofistike bir kimlik avı saldırısına hedef oldum ve bunu burada vurgulamak istiyorum. Bu saldırı Google’ın altyapısındaki bir güvenlik açığından faydalanıyor ve bu açığı düzeltmeyi reddettikleri için bu tür saldırıları daha sık görmemiz muhtemel. İşte bana gelen e-posta;”
“Dikkat edilmesi gereken ilk şey, bunun geçerli ve imzalı bir e-posta olduğudur – gerçekten no-reply@googlecom adresinden gönderilmiştir. DKIM imza kontrolünü geçiyor ve GMail bunu herhangi bir uyarı olmadan görüntülüyor – hatta diğer meşru güvenlik uyarılarıyla aynı konuşmaya koyuyor.”
DKIM (DomainKeys Identified Mail) E-posta gönderenin kimliğini doğrulayan ve e-postanın yolda değiştirilmediğini garanti eden bir güvenlik protokolüdür.
Saldırının Detayları
Sahte internet sitesinin inandırıcılığını artırmak için Google’ın sites özelliğinden yararlanan saldırganlar kurbanlarını ilk şok anında kolayca tuzağına düşürebiliyor. Sites bağlantısı sizi çok ikna edici bir “destek portalı” sayfasına götürüyor. Google altdomain ürününden yararlanan saldırganlar kurbanı burada hesabına giriş yapmaya itiyor.
“Şöyle çalışıyor: İlk olarak, bir alan adı kaydediyorlar ve ‘me@domain’ için bir Google hesabı oluşturuyorlar. Alan adı o kadar önemli değil ama bir tür altyapı gibi görünmesi yardımcı oluyor. Birazdan göreceğiniz gibi kullanıcı adı için ‘ben’ seçimi zekice.
Ardından, bir Google OAuth uygulaması oluşturuyorlar. Uygulamanın adı için, *Kimlik Avı mesajının tüm metnini* girerler – yeni satırlar ve hepsi – ardından çok sayıda boşluk ve “Google Yasal Destek”.
OAuth uygulamasına ‘me@…’ adresine erişim izni veriyorlar. Google hesabına erişim izni veriyorlar. Bu, Google’dan ‘me@…’ e-posta adreslerine gönderilen bir ‘Güvenlik Uyarısı’ mesajı oluşturur. E-postayı Google oluşturduğundan, geçerli bir DKIM anahtarıyla imzalanmıştır ve tüm kontrollerden geçer.
Son olarak, mesajı kurbanlarına iletirler. DKIM yalnızca mesajı ve başlıklarını doğrulayıp zarfı doğrulamadığından, mesaj imza doğrulamasını geçer ve kullanıcının gelen kutusunda yasal bir mesaj olarak görünür – hatta yasal güvenlik uyarılarıyla aynı ileti dizisinde bile
Google hesaplarını ‘me@’ olarak adlandırdıkları için, GMail mesajın en üstte ‘bana’ gönderildiğini gösterir; bu, bir mesaj e-posta adresinize gönderildiğinde kullandığı kısaltmadır – kırmızı bayraklar gönderebilecek başka bir göstergeden kaçınır.
Google’a bu konuda bir hata raporu gönderdim; ne yazık ki bunu ‘Amaçlandığı Gibi Çalışıyor’ şeklinde kapatıp bunu bir güvenlik hatası olarak görmediklerini açıkladılar. Açıkçası ben aynı fikirde değilim – ancak onlar fikirlerini değiştirene kadar Google’dan gelen aldatıcı güvenlik uyarılarına karşı dikkatli olun.”
Bu karmaşık hack yöntemi daha profesyonel saldırganlarca kullanılıyor gibi görünüyor. Ancak ortalama kripto para yatırımcıları da yöntem yaygınlaştıkça bunun hedefi olabilir. Bu yüzden bütün giriş işlemlerinizde adres çubuğunu birkaç kez kontrol ederek orijinal internet sitesi ve giriş sayfasında olduğunuzdan emin olun. Ufak harf değişiklikleriyle de göz yanılsaması yaşamanıza neden olabileceklerinden sizi heyecanlandıran (dava açıldı, hesabını kapatılacak vs) tarzda mailleri okuyup harekete geçmeden önce her şeyi birkaç kez daha fazla kontrol edin.
Ayrıca mümkün olduğunca borsalarda kullandığınız mail adresini başka hiçbir işte kullanmayın ve harf ve rakamlardan oluşan karmaşık mail adreslerinin olası saldırı maillerinde hedef olma ihtimalinin daha zayıf olduğunu bilin.
