Yeni ve etkili bir kimlik çalma saldırısı, Gmail kullanıcılarını hedef alıyor ve açılan sahte bir giriş sayfasına kimlik bilgilerini girmeleri için birçoğunu kandırmayı başarıyor.
Saldırı nasıl yayılıyor?
Kimlik avcıları, işe bir Gmail hesabı ele geçirerek başlıyorlar ve kullanıcıya gelen son mailleri inceliyorlar. Ekli dosyası olan bir mail bulduktan sonra bunun ekran görüntüsünü alıyorlar ve içinde kullanıcıya geri gönder tuşu ekliyorlar. Otomatik bir güven ve tanınma elde etmek amacıyla da mail için aynı veya çok benzeyen konu satırı kullanıyorlar,
Wordfence CEO’su Mark Maunder, devamını “Resme tıklıyorsunuz, Gmail’den size bu ekli dosyanın bir ön izlemesini göstermesini bekliyorsunuz. Ancak onun yerine yeni bir sekme açılıyor ve önünüze Gmail’e giriş yapmanızı isteyen bir ekran açılıyor.” şeklinde anlatıyor.
Kimlik çalma sayfası, Gmail’in giriş sayfasının çok iyi bir kopyası ve aynı zamanda URL’sinde accounts.google.com şeklinde bir alt alan adı bulunuyor. Bu alt alan adı da birçok kişinin kendilerini gerçekten yasal bir Google sayfasında olduklarını sanmaları için yeterli.
Maunder bu durumu, “Bu kimlik çalma tekniği, tarayıcının konum çubuğunda komple bir dosya içermek için ‘veri URI’si denilen bir şeyi kullanıyor. Tarayıcı konum çubuğuna baktığınızda gördüğünüz ‘data:text/html…..’ ifadesi aslında çok uzun bir metin.” diye açıklıyor.
Kısaca; bu metin aslında yeni sekmede açılan ve tamamen çalışır durumda bir sahte Gmail giriş sayfası açan bir dosya ve kendilerinden istenen bilgileri girenler de bu bilgileri doğrudan saldırganların elinde teslim ediyor.
Saldırganlar bu bilgileri elde eder etmez, hemen bu bilgilerle o hesaba giriş yapıyorlar. Bu işi hızlı bir şekilde yapabilmek için ya hazır bekleyen bir ekipleri var ya da bu işi otomatikleştirmiş durumdalar.
Ve hesaba bir defa giriş yaptıklarında, saldırı zinciri yeniden başlıyor, son kurbanın rehberindekiler yeni hedeflere dönüşüyor.
Neden bu kadar etkili?
Maunder’e göre saldırı o kadar etkili ki; bazı teknoloji meraklıları bile bu tuzağa düştü veya düşmekten son anda kurtuldu. İnsanların bu tuzağa kolayca düşmelerinin nedenlerinden birisi ise sahte giriş sayfasının URL’sinde her zamanki https://….. yerine “data:text/html” olması.
Bir diğer sebebi ise tarayıcının kırmızı uyarıyı ve Google’ın genellikle güvensiz sayfaları işaret etmek için kullandığı simgeyi göstermiyor olması: Maunder, bu durum için “Bu saldırıda ‘data:text/html’ ve güvenilir ana makine adı aynı renkte. Bu durum, ikisinin arasında bir bağlantı varmış gibi algılamamıza yol açıyor ve ‘data:text/html’ kısmı ya önemsenmiyor ya da güvenilir oluyor.” izahatı yaparken, Google’a ‘data:text/html’ ifadesinin tarayıcıda görülme şeklini değiştirmelerini öneriyor.
Kullanıcıların dikkatli olmaları ve Gmail’in iki faktörlü kimlik doğrulama seçeneğini kullanarak kendilerini korumaları gerekiyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]
çeviri kötü bu yüzden açıkçası konuyu detaylı algılayamadım