Microsoft, kolluk kuvvetlerinin yardımıyla, çifte kimlik doğrulamayı aşabilen kimlik avı kitleri kiralayan suç platformu Tycoon2FA'yı kısa süre önce etkisiz hale getirdi. Araçlar birçok bilgisayar korsanının iyi korunan hesaplara sızmasına olanak tanıdı.
Siber suçluların cephaneliğindeki önemli bir araç yakın zamanda çevrimdışına alındı. Tycoon2FA“Hizmet olarak kimlik avı” platformu, uluslararası polis operasyonunun bir parçası olarak Microsoft'un yardımıyla Europol tarafından dağıtıldı. En az Ağustos 2023'ten bu yana aktif olan platform, bir kimlik avı kiti sağladı. Microsoft hesaplarını hacklemek (365, OneDrive, Outlook ve SharePoint) ve Google'ın (Gmail) giriş sayfalarını taklit ederek. Kit, siber suçluların yeni yuvası Telegram ve Signal aracılığıyla 10 gün boyunca yaklaşık 120 dolara satıldı.
Ayrıca şunu da okuyun: Gmail'e yönelik siber saldırı – bu kimlik avı saldırısı bir Google kusurundan yararlanıyor
Tycoon2FA çift kimlik doğrulamayı nasıl atlıyor?
Kurban bağlandığında kit her ikisini de keser tanımlayıcılar ve oturum çerezleri. Aynı zamanda meşru platforma bağlanmak için gerekli verileri de gönderir. Kullanıcı, bilgisayar korsanlarının yeni açılan oturumdan yararlanacağının farkına varmadan, çevrimiçi hizmete bağlanıp şifreleri, tanımlayıcıları ve çift kimlik doğrulama kodunu sağladığı izlenimini edinir. Kodlar “Tycoon2FA proxy sunucuları aracılığıyla kimlik doğrulama hizmetine aktarıldı”Microsoft'u açıklıyor.
Hesaba girdikten sonra bilgisayar korsanları şifreleri hızla değiştirir. Bu önlem, sahibini kendi hesabından hariç tutar. Bu yöntemin siber suçlulara izin verdiğini unutmayın. çift kimlik doğrulamayı atlaÇoğu siber saldırıyı engelleyen güvenlik mekanizması. Kiti ilk keşfeden Trend Micro'nun açıkladığı gibi: “Saldırganlar daha sonra bu oturum çerezlerini, çok faktörlü kimlik doğrulama etkin olsa bile hesapların kontrolünü ele geçirmek için yeniden kullanabilirler”. Nispeten erişilebilir olduğundan, çok az bilgisayar bilgisine sahip vasıfsız bilgisayar korsanlarının, çok faktörlü kimlik doğrulamayla korunan hesapları hacklemesine olanak sağladı. Saldırganlar giderek daha fazla “kimlik doğrulama sürecinin kendisini hedefleyen araçlar », Microsoft'u analiz ediyor.
Platform her ay on milyonlarca kimlik avı mesajı gönderiyordu. Microsoft bunu fark etti “Kurbanlar genellikle .svg, .pdf, .html veya .docx ekleri içeren, genellikle QR kodları veya JavaScript kodu içeren kimlik avı e-postaları tarafından kandırıldı” kötü niyetli.
Tycoon2FA kitinin siber saldırılara karıştığı belirtiliyor Dünya çapında yaklaşık 100.000 kuruluşyönetimler, okullar ve hastaneleri kapsayan basın açıklamasında Europol'e işaret ediyor. 500.000'den fazla kuruluş Tycoon2FA'nın ilgi odağı oldu. Kit, Microsoft tarafından engellenen kimlik avı girişimlerinin %60'ından sorumludur. Yayıncının açıkladığı gibi araç, siber suçluların “Şifreleri sıfırladıktan sonra bile erişimlerini sürdürün ve hassas bilgilere erişin”. Microsoft, Tycoon2FA'nın başarısını RaccoonO365 gibi diğer popüler kimlik avı hizmetlerinin sona ermesine bağlıyor. Bu korkunç kimlik avı platformu geçen yıl Microsoft tarafından çevrimdışına alındı.
Ayrıca okuyun: Google ve Microsoft kimlik avı dalgası – zorlu bir suç platformu keşfedildi
Microsoft kimlik avı platformunu etkisiz hale getiriyor
Yetkililerin Tycoon2FA'nın faaliyetlerini incelemesi Trend Micro araştırmacıları tarafından hazırlanan çeşitli raporların ardından gerçekleşti. Europol, kimlik avı platformuna son vermek için Microsoft'a başvurdu. Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver ve SpyCloud gibi şirketlerin yardımıyla Microsoft, “teknik aksama” suç aracıdır.
Altyapıya el konulması, Letonya, Litvanya, Portekiz, Polonya, İspanya ve Birleşik Krallık'taki kolluk kuvvetlerinin desteğiyle Europol tarafından düzenlendi. Europol şunu belirtiyor: 330 alan adı “Kimlik avı sayfaları ve kontrol panelleri de dahil olmak üzere suç teşkilatının merkezi altyapısını oluşturmak”onun tarafından etkisiz hale getirildi. Bu, korsan bilgilerin yeniden satışına adanmış dünyanın en büyük forumlarından biri olan LeakBase'in kapatılması veya çok sayıda çeteye kimlik avı araçları satan bir suç ağı olan HeartSender'ın birkaç ay önce çöküşüyle işaretlenmiş olan suç ekosistemi için yeni bir darbe.
Fakat, “Platformun kapatılması” Trend Micro nüansı, Tycoon2FA'ya karşı savaşın bittiği anlamına gelmiyor. Aslında siber suçlular “her zaman uyum sağlayabilme, yeniden inşa etme ve yeni altyapılara geçiş yapabilme”. Ayrıca, platformun kullanıcılarının aşağıdakileri yapması beklenmektedir: “Faaliyetlerine devam edin” Kitin yardımıyla zaten çalınmış olan oturum kimlik bilgilerini ve çerezleri kullanarak.
Proofpoint verilerine göre 2025 yılında neredeyse tüm şirketler (%99) hesap ele geçirme girişimlerinin hedefi oldu. Vakaların %67'sinde bilgisayar korsanları başarılı oldu. Başarılı saldırıların neredeyse %60'ında hedeflenen hesaplar çift kimlik doğrulama sistemiyle korunuyordu.
👉🏻 Teknoloji haberlerini gerçek zamanlı takip edin: 01net'i Google'daki kaynaklarınıza ekleyin ve WhatsApp kanalımıza abone olun.
Bir yanıt yazın