T
Tuğçe İçözü
Misafir
Google'ın 2022 yılında 5.4 milyar dolara satın aldığı siber güvenlik şirketi Mandiant'ın X hesabı ele geçirildi. Hesap, Phantom kripto cüzdanı gibi davranarak kripto para dolandırıcılığını amaçlayan paylaşımlarda bulundu.
Bir Mandiant sözcüsü yaptığı ilk açıklamada Mandiant'ın X hesabını etkileyen durumun farkında olduklarını ve konuyu çözüme ulaştırmaya çalıştıklarını ifade etti.
Saldırganlar Mandiant'ın X hesabını ele geçirdikten sonra hesap adını @phantomsolw olarak değiştirdi. Hesap, paylaşımlarında Phantom kripto cüzdanını taklit eden bir web sitesini öne çıkarırken, kullanıcılara bir Airdrop kapsamında bedava $PHNTM tokenları dağıtacağını açıkladı.
Phantom cüzdanı olmayan kişiler, "Claim Aidrop" butonuna tıkladığında yasal görünen bir siteye yönlendirilerek cüzdanı yüklemeleri isteniyordu. Cüzdanı yüklendikten sonra ise kişilerin kripto para cüzdanlarını otomatik olarak boşaltmaya çalışıyordu.
Bu olayın yaşanmasının akabinde Phantom, kullanıcını, dolandırıcıların web sitesinin bir kimlik avı saldırısının parçası olduğu konusunda uyarmaya başladı. Phantom, yaptığı açıklamada şu ifadelere yer verdi:
Phantom'ın harekete geçmesinin ardından dolandırıcılık amaçlı gönderisini silen saldırgan, daha sonrasında hesabı kaybettikleri için Mandiant ile dalga geçen gönderiler paylaşmaya başladı. Saldırgan hesap üzerinden, "Üzgünüm, şifrenizi değiştirin lütfen." ve "Hesabı geri aldığınızda yer işaretlerini kontrol edin." ifadelerini paylaştı.
Bir süre sonra saldırgan, resmi Phantom hesabından pek çok gönderi retweetledi. Bu gönderiler arasında kullanıcılara "bağlantılara tıklamak için asla acele etmemelerini" tavsiye eden içerikler de yer almaktaydı. Bu sayede saldırganın gelecekte paylaşacağı kripto dolandırıcılığı gönderileri daha gerçekçi görünebilecekti.
Bu olaylar yaşanırken, Mandiant'ın orijinal Twitter adresi olan @mandiant aratıldığında ise artık "Bu hesap mevcut değil. Başka bir hesap aramayı deneyin." hata mesajı ile karşılaşılıyordu.
Tüm bu olayların ardından Mandiant sözücüsü yaptığı açıklamada X hesabının kontrolünü yeniden ele geçirdiklerini dile getirdi. Google çatısı altında faaliyet gösteren bir siber güvenlik şirketinin, bir siber güvenlik saldırısıyla gündeme gelmesi oldukça ilgi çekici. Bu noktada bazı güvenlik uzmanlarının bu tarz saldırıların Twitter XSS + CSRF zaafından kaynaklandığını düşünmekte olduğunu belirtelim. Bu kapsamda zararlı bağlantılara tıklanması hesabın ele geçirilmesi ile sonuçlanabiliyor.
Kaynak : Webrazzi
Bir Mandiant sözcüsü yaptığı ilk açıklamada Mandiant'ın X hesabını etkileyen durumun farkında olduklarını ve konuyu çözüme ulaştırmaya çalıştıklarını ifade etti.
Mandiant saldırısının detayları
Saldırganlar Mandiant'ın X hesabını ele geçirdikten sonra hesap adını @phantomsolw olarak değiştirdi. Hesap, paylaşımlarında Phantom kripto cüzdanını taklit eden bir web sitesini öne çıkarırken, kullanıcılara bir Airdrop kapsamında bedava $PHNTM tokenları dağıtacağını açıkladı.
Phantom cüzdanı olmayan kişiler, "Claim Aidrop" butonuna tıkladığında yasal görünen bir siteye yönlendirilerek cüzdanı yüklemeleri isteniyordu. Cüzdanı yüklendikten sonra ise kişilerin kripto para cüzdanlarını otomatik olarak boşaltmaya çalışıyordu.
Bu olayın yaşanmasının akabinde Phantom, kullanıcını, dolandırıcıların web sitesinin bir kimlik avı saldırısının parçası olduğu konusunda uyarmaya başladı. Phantom, yaptığı açıklamada şu ifadelere yer verdi:
Phantom'ın harekete geçmesinin ardından dolandırıcılık amaçlı gönderisini silen saldırgan, daha sonrasında hesabı kaybettikleri için Mandiant ile dalga geçen gönderiler paylaşmaya başladı. Saldırgan hesap üzerinden, "Üzgünüm, şifrenizi değiştirin lütfen." ve "Hesabı geri aldığınızda yer işaretlerini kontrol edin." ifadelerini paylaştı.
Bir süre sonra saldırgan, resmi Phantom hesabından pek çok gönderi retweetledi. Bu gönderiler arasında kullanıcılara "bağlantılara tıklamak için asla acele etmemelerini" tavsiye eden içerikler de yer almaktaydı. Bu sayede saldırganın gelecekte paylaşacağı kripto dolandırıcılığı gönderileri daha gerçekçi görünebilecekti.
Bu olaylar yaşanırken, Mandiant'ın orijinal Twitter adresi olan @mandiant aratıldığında ise artık "Bu hesap mevcut değil. Başka bir hesap aramayı deneyin." hata mesajı ile karşılaşılıyordu.
Tüm bu olayların ardından Mandiant sözücüsü yaptığı açıklamada X hesabının kontrolünü yeniden ele geçirdiklerini dile getirdi. Google çatısı altında faaliyet gösteren bir siber güvenlik şirketinin, bir siber güvenlik saldırısıyla gündeme gelmesi oldukça ilgi çekici. Bu noktada bazı güvenlik uzmanlarının bu tarz saldırıların Twitter XSS + CSRF zaafından kaynaklandığını düşünmekte olduğunu belirtelim. Bu kapsamda zararlı bağlantılara tıklanması hesabın ele geçirilmesi ile sonuçlanabiliyor.
Kaynak : Webrazzi
