Google'ın Tehdit İstihbarat Grubu (GTIG), Rus devletiyle bağlantılı olduğu düşünülen yeni bir tehdit aktörü hakkında önemli bilgiler paylaştı. “UNC6293” kod adıyla izlenen bu grup, Rusya’ya yönelik eleştirileriyle bilinen akademisyenleri ve uzmanları hedef alıyor.
Sosyal Mühendislik ile Güven Kazanma Taktikleri
Hedef alınan kişilere, ABD Dışişleri Bakanlığı’ndan gelmiş gibi görünen sahte e-postalar gönderiliyor. Gönderici adresleri, CC (karbon kopya) alanına yerleştirilen sahte "@state.gov" uzantılı adreslerle güven yaratmayı amaçlıyor. Ancak dikkat çekici olan, bu e-postaların doğrudan kötü amaçlı yazılımlar içermemesi. Bunun yerine saldırganlar, kurbanlarıyla yavaş yavaş iletişim kurarak güven kazanmaya çalışıyor. Özelleştirilmiş mesajlar ve toplantı davetleriyle hedeflerine yakınlaşmayı amaçlayan bir sosyal mühendislik stratejisi izleniyor.
Sahte Bakanlık E-postalarıyla Hedef Gözetme
Google’ın yayımladığı örneklerden birinde, tanınmış İngiliz araştırmacı Keir Giles’in de hedef alındığı görülüyor. Giles, LinkedIn üzerinden yaptığı açıklamada, bazı e-posta hesaplarının ABD Dışişleri Bakanlığı adına düzenlenmiş karmaşık bir hesap ele geçirme girişimine maruz kaldığını belirtti.
Saldırı e-postalarında genellikle bir PDF eki yer alıyor. Bu ek, kurbanlara sahte bir Dışişleri Bakanlığı bulut sistemine güvenli erişim daveti gibi sunuluyor. Aslında kullanıcı, bu bağlantıya tıkladığında Gmail hesabını ele geçirebilecek bir siteye yönlendiriliyor. Google, bu saldırıların, daha önce “Cozy Bear” veya “Nobelyum” olarak bilinen APT29 grubuyla bağlantılı olabileceğini düşünüyor.
Kullanıcıları Tuzağa Düşüren ASP Yöntemi
Kurbandan, Google hesabında uygulamaya özel bir parola (ASP) oluşturması isteniyor. 16 karakterden oluşan bu şifre daha sonra doğrudan saldırganlarla paylaşılıyor.
Google bu konuda şöyle açıklıyor:
“ASP’ler, iki aşamalı doğrulamayı (2SV) desteklemeyen uygulama ve cihazların, Google hesabınıza erişimini sağlamak amacıyla rastgele üretilmiş parçalardır.” Kullanıcılar bu şifreleri istedikleri zaman oluşturabilir veya iptal edebilirler. Ancak Google, ASP kullanımının artık genellikle gereksiz ve önerilmeyen bir yöntem olduğunu da açıkça belirtiyor.
Basit Önlemler, Büyük Riskleri Önleyebilir
Saldırılar çeşitli yöntemlerle gerçekleştiriliyor olsa da, temelinde etkili sosyal mühendislik ve kimlik avı taktikleri yatıyor. Bu tür yöntemler, önceden bilgi sahibi olunması ve biraz dikkatle kolayca fark edilebilir.
Bu yüzden uzmanlar, tanımadığınız adreslerden gelen eklere asla tıklamamanız ve kişisel hesap bilgilerinizi kim olursa olsun paylaşmamanız gerektiği konusunda uyarıyor. Basit bir dikkatsizlik, hesabınızın kontrolünü kaybetmenize yol açabilir.