Kripto Fenomenlerinin X Hesaplarına Yönelik Gelişmiş Kimlik Avı Saldırısı

Yeni ve sofistike bir kimlik avı kampanyası, kripto para dünyasının önde gelen isimlerinin X hesaplarını hedef alıyor. Saldırganlar, iki faktörlü kimlik doğrulamasını atlatarak ve daha inandırıcı görünen taktikler kullanarak hesapları ele geçiriyor. Kripto geliştiricisi Zak Cole'un X'teki açıklamasına göre, bu yeni kimlik avı kampanyası, hesapları ele geçirmek için X'in kendi altyapısından yararlanıyor. Cole, saldırının sahte bir giriş sayfası veya şifre çalma içermediğini, bunun yerine X uygulama desteğini kullanarak hesap erişimi sağladığını ve iki faktörlü kimlik doğrulamasını atladığını belirtti. MetaMask güvenlik araştırmacısı Ohm Shah da saldırıyı 'doğrudan' gördüğünü doğrulayarak daha geniş kapsamlı bir kampanya olduğuna işaret etti.

Bu kimlik avı kampanyasının en dikkat çekici özelliği, ne kadar inandırıcı ve gizli olması. Saldırı, doğrudan mesaj yoluyla gönderilen ve resmi Google Takvim alan adına yönlendiriyormuş gibi görünen bir bağlantı içeriyor. Bu, sosyal medya platformunun önizlemeleri oluşturma şeklinden kaynaklanıyor. Mesajda, bir girişim sermayesi şirketi temsilcisinden geliyormuş gibi davranılıyor. Bağlantının yönlendirdiği alan adı 'x(.)ca-lendar(.)com' ve 20 Eylül'de kaydedilmiş. Ancak X, sitenin meta verilerini kullanarak meşru 'calendar.google.com'u önizlemede gösteriyor. Tıklanınca, sayfanın JavaScript'i, sosyal medya hesabınıza erişmek için bir uygulama için yetkilendirme isteyen bir X kimlik doğrulama uç noktasına yönlendiriyor. Uygulama 'Takvim' gibi görünse de, metnin teknik incelemesi, uygulamanın adının 'a' ve 'e' harflerine çok benzeyen iki Kiril karakteri içerdiğini ortaya koyuyor.

Şu ana kadar, bağlantının meşru olmadığını gösteren en belirgin işaret, kullanıcının yönlendirilmesinden önce kısa bir süre görünen URL olabilir. Bu, muhtemelen yalnızca saniyenin bir kesri kadar görünecek ve kaçırılması oldukça kolay. X kimlik doğrulama sayfasında, bunun gerçekten bir kimlik avı saldırısı olduğuna dair ilk ipucunu bulabiliriz. Uygulama, hesapları takip etme ve takibi bırakma, profilleri ve hesap ayarlarını güncelleme, gönderi oluşturma ve silme, başkalarının gönderileriyle etkileşim kurma ve daha fazlası dahil olmak üzere kapsamlı hesap kontrol izinleri istiyor. Bu izinler bir takvim uygulaması için gereksiz görünüyor ve dikkatli bir kullanıcıyı saldırıdan kurtarabilecek ipucu olabilir. İzin verilirse, saldırganlar hesaba erişim kazanır ve kullanıcılara Google Takvim önizlemesine rağmen calendly.com'a yönlendirme ile bir ipucu daha verilir. Cole'un saldırı hakkındaki GitHub raporuna göre, profilinizin ele geçirilip geçirilmediğini kontrol etmek ve saldırganları hesaptan çıkarmak için X bağlı uygulamalar sayfasını ziyaret etmeniz öneriliyor. Ardından, 'Takvim' veya 'Cаlеndar' adındaki tüm uygulamaları iptal etmeniz öneriliyor.