Charles Onus adlı Nijeryalı bir vatandaş, New York Güney Bölgesi Bölge Mahkemesinde bir bordro şirketinin kullanıcı hesaplarını hacklemek ve bordro depozitolarını çalmaktan suçlu bulundu.
İddianameye ve mahkemedeki ifadelere göre Onus, ABD genelinde şirket çalışanlarının kullanıcı hesaplarını ele geçiren ve maaş ödemelerini kendi kontrolündeki banka kartlarına yönlendirerek bordro depozitolarını çalan bir düzende aktif olarak yer aldı.
Bu kötü niyetli faaliyet Temmuz 2017’de başladı ve tutuklandığı zamana kadar Onus, toplam 800.000 dolarlık bordro fonunu yönlendirmek için 5.500 kullanıcı hesabını tehlikeye attı.
Hesap güvenliğindeki bir açıktan yararlanma
Kullanılan tehdit aktörü kimlik bilgisi doldurma diğer şirketin çalışanları için maaş ödemeleri yapmaktan sorumlu bir insan kaynakları ve bordro şirketindeki hesaplara erişim sağlamak için saldırılar.
Kimlik bilgisi doldurma, tehdit aktörlerinin önceki veri ihlallerinden alınan kullanıcı adı ve şifre kombinasyonlarını kullandığı ve bu kimlik bilgilerini diğer çevrimiçi sitelerde oturum açmak için kullanmaya çalıştığı bir tür siber saldırıdır.
Yöntem, şifreleri kırmayı içermediğinden, kaba zorlamadan veya şifreleri tahmin etmekten farklıdır, bunun yerine kurbanın aynı kimlik bilgilerini birden fazla platformda yeniden kullanmasına dayanır.
“Bir Şirket kullanıcı hesabının ele geçirilmesinden sonra, hesabın kullanıcısı tarafından belirlenen banka hesap bilgileri değiştirildi, böylece Onus, kullanıcının maaş bordrosunu Onus’un kontrolünde olan ön ödemeli bir banka kartına alacaktı.” Adalet Bakanlığı duyurusu.
Charles Onus’un tutuklanması, sanığın Nijerya’nın Abuja kentinden San Francisco’ya uçtuğu ve havaalanında tutuklandığı 14 Nisan 2021’de gerçekleşti.
Sanık şimdi yabancı bilgisayar ağlarına izinsiz olarak erişmek için bir bilgisayar dolandırıcılığı suçundan suçlu bulundu. Bu, azami beş yıl hapis cezası gerektirir ve asıl ceza Yargıç Gardephe tarafından 12 Mayıs 2022’de kararlaştırılacaktır.
Kimlik bilgileri doldurmaya karşı savunma
Kimlik bilgisi doldurma saldırılarını engellemenin basit bir yolu, bir kullanıcı adı ve parolaya ek olarak ayrı bir yetkilendirme kodu gerektiren bir tür çok faktörlü kimlik doğrulama (MFA) kullanmaktır.
Bu kodlar genellikle bir kullanıcıya SMS metni yoluyla veya bir kimlik doğrulama uygulaması kullanılarak gönderildiğinden, bir tehdit aktörünün çalınmış bir oturum açma adı ve parolası olsa bile, MFA tek seferlik parola olmadan oturum açamazlar.
Çevrimiçi platformlar, bu otomatik oturum açma girişimlerini algılamak ve tekrarlanan girişimleri engellemek için parmak izi tabanlı doldurma önleme sistemleri de kullanabilir. Ancak, giriş denemelerinin sayısı azsa, bunları filtrelemek kolay değildir.
Bu saldırılar, parola geri dönüşümünün kötü bir fikir olmasının ve kullanıcıların herhangi bir sitede güvenliği ihlal edildiğinde parolalarını küresel olarak sıfırlamalarının nedenidir.
Ayrıca kullanıcılar, bir sitede veri ihlalinin diğer sitelerdeki hesaplarını etkilemesini önlemek için hesap sahibi oldukları her sitede bir şifre yöneticisi ve benzersiz şifreler kullanmalıdır.