Son zamanlarda, siber güvenlik endüstrisinde çalışan en bilinçli insanlardan bazılarını kandırmayı başaran, cerrahi olarak kesin ve iyi yürütülen bir kimlik avı saldırısı dalgası yaşandı. Pazartesi, Salı ve Çarşamba günleri, iki faktörlü kimlik doğrulama sağlayıcısı Twilio, içerik dağıtım ağı Cloudflare ve ağ ekipmanı üreticisi Cisco, çalışanlara ve çalışan aile üyelerine ait telefon numaralarına sahip kimlik avcılarının, çalışanlarını kimlik bilgilerini ifşa etmeleri için kandırdığını söyledi. Kimlik avcıları, Twilio ve Cisco’nun dahili sistemlerine erişim kazandı. Cloudflare’nin donanım tabanlı 2FA anahtarları, kimlik avcılarının sistemlerine erişmesini engelledi.
Kimlik avcıları ısrarcıydı, sistemliydi ve açıkça ödevlerini yapmışlardı. Bir dakika içinde, en az 76 Cloudflare çalışanı, iş hesapları olduğuna inandıkları bir hesapta oturum açmaları için çeşitli hileler kullanan kısa mesajlar aldı. Kimlik avı web sitesi, mesaj telaşından 40 dakika önce kaydedilmiş bir alan adı (cloudflare-okta.com) kullandı ve bu, Cloudflare’ın adını kullanan alanlar oluşturulduğunda uyarı almak için kullandığı bir sistemi engelledi (muhtemelen yeni girişlerin zaman alması nedeniyle). nüfus). Kimlik avcıları ayrıca, kimlik doğrulama uygulamaları tarafından oluşturulan veya kısa mesajlarla gönderilen tek seferlik şifrelere dayanan 2FA formlarını yenmek için araçlara sahipti.
Aciliyet duygusu yaratmak
Cloudflare gibi, hem Twilio hem de Cisco, acil durumların (programda ani bir değişiklik, bir parola süresinin dolması veya güvenilir bir kuruluş kisvesi altındaki bir çağrı) olduğu varsayımıyla gönderilen kısa mesajları veya telefon çağrılarını aldı. hedef hızla harekete geçer.
Çarşamba günü sıra bendeydi. 15:54 PT’de, Twitter’dan geldiği iddia edilen ve Twitter hesabımın yeni doğrulandığını bildiren bir e-posta aldım. Doğrulama için başvurmadığım ve gerçekten istemediğim için hemen şüphelendim. Ancak başlıklar, e-postanın twitter.com’dan geldiğini, bağlantının (Tor’da güvenli bir makinede açtığım) gerçek Twitter.com sitesine yönlendirdiğini ve e-postada veya bağlantılı sayfada hiçbir bilgi vermemi istemediğini gösterdi. Ayrıca profil sayfamda aniden bir onay işaretinin göründüğünü fark ettim.
E-postanın gerçek olduğundan memnun kaldım, Twitter’daki sürprizimi 3:55’te kaydettim.
Ne oluyor be. Twitter, kimliğimi veya başka herhangi bir bilgiyi vermeyi kararlı bir şekilde reddetmeme rağmen, hesabımı doğruladı. Nedenini merak ediyorum.
— Dan Goodin (@dangoodin001) 10 Ağustos 2022
Saniyeler sonra, 3:56’da Twitter’ın doğrulama bölümünden geldiği iddia edilen bir doğrudan mesaj aldım. Doğrulamamın kalıcı olması için mesaja ehliyetim, pasaportum veya devlet tarafından verilmiş başka bir kimlikle yanıt vermem gerektiğini söyledi.
En az üç kez saldırıya uğramış ve kullanıcı telefon numaralarını kötüye kullandığını kabul eden bir şirket olan Twitter’ın bu tür verileri istemesinin uygunsuzluğu konusunda güçlü hislerim var. Çıldırmıştım. İş günümün sonuna yakındı. Twitter’ın istemediğim bir onay işaretini beklenmedik ve sahte olmayan bir şekilde hediye etmesine hala şaşırdım. Bu yüzden, DM’yi tamamen okumadan, Twitter’ın güvenilir olmadığına dair alaycı bir yorumla birlikte bir ekran görüntüsünü tweetledim.
Çok erken konuştum. Afedersiniz, @twitter, güvenilir değilsin. Devam edin ve mavi onay işaretini kaldırın. Kimliğimi yalnızca tekrar saldırıya uğramak veya pazarlama amacıyla kullanmak için almıyorsunuz. pic.twitter.com/dimLClagdU
— Dan Goodin (@dangoodin001) 10 Ağustos 2022
Mesele şu ki, DM bozuk İngilizce kullandı; kullanıcı tanıtıcısı Destek olarak adlandırıldı ve ardından bir grup sayı geldi; hesap kilitlendi. DM, bir dolandırıcılığın tüm ayırt edici özelliklerine sahip bir kimlik avının ders kitabı örneğidir. Öyleyse neden bu mesajın gerçek olduğuna dair ilk izlenimimdi? Bir kaç neden var.