Coinbase, MetaMask, Kraken ve Gemini kullanıcılarını hedefleyen yeni bir büyük ölçekli kimlik avı kampanyası, sahte siteler oluşturmak için Google Sites ve Microsoft Azure Web App’i kötüye kullanıyor.
Bu kimlik avı sayfaları, tehdit aktörleri tarafından kontrol edilen bir bot ağı tarafından meşru sitelere gönderilen yorumlar aracılığıyla tanıtılır. Çeşitli meşru sitelerde kimlik avı sayfalarına bağlantılar yayınlamak, trafiği artırmayı ve kötü amaçlı sitenin arama motoru sıralamalarını yükseltmeyi amaçlar.
Ayrıca, kimlik avı siteleri Microsoft ve Google hizmetlerinde barındırıldığından, otomatik moderatör sistemleri tarafından işaretlenmezler ve tanıtım mesajlarının yorum bölümünde daha uzun süre kalmasına olanak tanır.
Yeni kampanya, bu taktiğin bazı hileli sitelerin Google Arama’da ilk sonuç olarak görünmesine izin verdiğini belirten Netskope’deki analistler tarafından fark edildi.
Daha da kötüsü, aşağıda gösterildiği gibi, Google, kimlik avı sayfalarını öne çıkan snippet’ler olarak dahil ederek, onlara arama sonuçlarında mümkün olan en yüksek gösterimi sağladı.
Yasal hizmetleri kötüye kullanma
Google Sites, kullanıcıların web siteleri oluşturmasına ve bunları Google Cloud veya diğer sağlayıcılarda barındırmasına olanak tanıyan, Google’ın çevrimiçi hizmet paketinin bir parçası olan ücretsiz bir web sayfası oluşturma aracıdır.
Benzer şekilde, Microsoft’un Azure Web Uygulamaları, kullanıcıların web uygulamaları ve web siteleri oluşturmasına, dağıtmasına ve yönetmesine yardımcı olan bir platformdur.
Her iki hizmet de internet güvenlik araçları tarafından güveniliyor, rekabetçi fiyatlar ve yüksek kullanılabilirlik sunuyor, bu nedenle kimlik avı sayfaları oluşturmak için iyi bir seçenek.
Kampanyadaki dolandırıcılar Netskope tarafından görüldü İnsanların cüzdanlarını ve varlıklarını hedef alan Metamask, Coinbase, Gemini ve Kraken’i taklit eden siteler oluşturdu.
Siteler sadece açılış sayfalarıdır ve ziyaretçileri “giriş” düğmelerini tıkladıklarında gerçek kimlik avı sitelerine yönlendirilirler.
Cüzdanları ve hizmetleri hedefleme
Kimlik avı kampanyası şu anda CoinBase, Kraken ve Gemini gibi kripto borsaları için MetaMask cüzdanlarını ve kimlik bilgilerini çalmaya çalışıyor.
MetaMask kimlik avı sitesi, kullanıcının parolasını ve cüzdanın gizli kurtarma ifadesini (tohum ifadesi) çalmaya çalışır. Bu bilgi, tehdit aktörünün cüzdanı kendi cihazlarına aktarmasına ve içeriği boşaltmasına olanak tanır.
Kripto değişimi kimlik avı sayfaları için tehdit aktörleri, giriş kimlik bilgilerini çalmaya çalışır.
Dört durumda da, kimlik bilgilerini giren kullanıcılar, kurbandan telefon numaralarını vermesini isteyen sahte bir 2FA (iki faktörlü kimlik doğrulama) sayfasına yönlendirilir.
Kodu girdikten sonra, web siteleri yetkisiz etkinlik ve kimlik doğrulama sorunları olduğunu iddia eden sahte bir hata oluşturur ve kurbanın bir “Uzmana Sor” düğmesini tıklamasını ister.
Bu, kurbanları, müşteri destek temsilcisi gibi davranan bir dolandırıcının, kurbanı TeamViewer uzaktan erişim aracını yüklemeye yönlendirerek sorunu çözmeyi vaat ettiği çevrimiçi bir sohbet sayfasına götürür.
Uzaktan erişim, muhtemelen tehdit aktörlerinin çalınan kimlik bilgileriyle borsalarda oturum açmak için gereken çok faktörlü kimlik doğrulama kodlarını almasına izin verecek.
kimlik avı yapma
Bir kripto borsasında oturum açmaya çalışırken, her zaman platformun resmi web sitesinde olduğunuzdan ve bir klonda olmadığınızdan emin olun.
MetaMask, Phantom ve TrustWallet gibi yerel olarak kurulmuş kripto para cüzdanlarının kullanıcıları, neden ne olursa olsun kurtarma ifadelerini asla herhangi bir web sitesinde paylaşmamalıdır.
Google Ads’ün kötüye kullanılabileceğini ve Google Arama SEO’sunun manipüle edilebileceğini hatırlamak da önemlidir, bu nedenle sonuçların sıralaması bir güvenlik garantisi olarak görülmemelidir.
Son olarak, kripto para birimi değişim hesaplarınızı MFA ile koruyun ve kripto yatırımlarınızın çoğunu, hacklenmesi çok daha zor olan soğuk cüzdanlarda tutun.