Yeni bir kimlik avı kampanyası, şüphelenmeyen kullanıcılardan şifreleri ve diğer hassas verileri çalmak için sahte bir Google güvenlik kontrolü kullanıyor.
Malwarebytes'teki araştırmacılar, dolandırıcılığın Google'ın hesap koruma sistemini taklit ederek kurbanları kötü amaçlı bir web uygulaması yüklemeleri için kandırdığı konusunda uyarıyor.
Araç yüklendikten sonra kimlik bilgilerini, tek kullanımlık şifreleri ve diğer kişisel bilgileri sessizce toplar. Dolandırıcılık, orijinal görünecek şekilde tasarlanmış sahte bir Google hesabı güvenlik sayfasıyla başlıyor.
Mağdurlardan hesaplarını korumak için bir güvenlik doğrulama adımını tamamlamaları istenir. Süreç, hesaplarını korumak yerine, genellikle google-prism gibi meşru görünecek şekilde tasarlanmış bir alan adı aracılığıyla sahte bir Progresif Web Uygulaması (PWA) yükler.[.]com.
Sahte Google güvenlik sayfası verilerinizi nasıl çalıyor?
Progresif Web Uygulamaları normalde web sitelerinin yüklü uygulamalar gibi davranmasını sağlamak için kullanılır. Bu durumda saldırganlar, kötü amaçlı bir uygulamayı doğrudan tarayıcı üzerinden dağıtmak için bunu kötüye kullanırlar.
Kurulumdan sonra PWA, bildirim göndermek ve pano verilerine ve diğer tarayıcı işlevlerine erişmek için izin ister ve ardından anlık uyarıları, arka plan işlemlerini ve hassas veri toplamayı etkinleştiren bir hizmet çalışanını dağıtır.
Araştırmacılar, cihazın oturum açma kimlik bilgilerini çalabileceğini, çok faktörlü kimlik doğrulama için kullanılan OTP'leri ele geçirebileceğini ve kripto para birimi cüzdan adreslerini toplayabileceğini söylüyor. Araç ayrıca pano verilerine erişebilir, GPS konum bilgilerini toplayabilir ve diğer cihaz ayrıntılarını yakalayabilir.
Saldırı aynı zamanda kurbanın tarayıcısını, trafiği saldırganlara yönlendiren bir proxy'ye dönüştürebilir. Bu, siber suçluların, ele geçirilen tarayıcıdaki verileri izlemeye devam ederken etkinliklerini kullanıcının cihazının arkasına gizleyebileceği anlamına gelir.
Bu olay, modern yapay zeka araçlarının bile kötüye kullanılabileceği siber suçlarda daha geniş bir eğilimin altını çiziyor; araştırmacılar, tarama özellikli sohbet robotlarının kötü amaçlı yazılım trafiği için gizli aktarım görevi görebildiğini gösteriyor.
Nasıl korunulur?
Google, rastgele açılan sayfalar aracılığıyla güvenlik kontrolleri gerçekleştirmez. Bir “güvenlik uyarısı” sizden yazılım yüklemenizi, bildirimleri etkinleştirmenizi veya kişileri paylaşmanızı isterse onu kapatın. Gerçek güvenlik araçları yalnızca myaccount.google.com adresindeki hesabınız aracılığıyla kullanılabilir.
Güvende kalmak, güvenlik istemlerine ve web sitesi adreslerine çok dikkat etmeyi gerektirir. Oturum açma ayrıntılarını girmeden önce her zaman URL'yi kontrol etmeli ve bilinmeyen web uygulamalarını yüklemekten kaçınmalısınız.
İki faktörlü kimlik doğrulamayı etkinleştirmek ve bir parola yöneticisi kullanmak, kimlik bilgilerinin açığa çıkması durumunda ekstra koruma da sağlayabilir.
Google ayrıca ortaya çıkan tehditlere karşı savunmayı da güçlendiriyor. Şirket yakın zamanda kendi kodunu gerçek zamanlı olarak yeniden yazabilen, yapay zeka destekli yeni bir kötü amaçlı yazılımı işaretledi.
Bu nedenle Chrome, kullanıcılar kimlik avı saldırılarına düşmeden önce şüpheli web sitelerini otomatik olarak işaretlemek için Gemini tabanlı dolandırıcılığa karşı korumayı test ediyor.
Bir yanıt yazın