Siber Suçlular GoDaddy Tabanlı Kripto Para Birimi Platformlarına Saldırıyor
Siber Suçlular GoDaddy Tabanlı Kripto Para Birimi Platformlarına Saldırıyor
Güvenlik araştırmacısı KrebsOnSecurity dün, popüler domain sağlayıcısı Godaddy tarafından hizmet sağlanan birkaç kripto para birimi platformunun geçen hafta saldırıya uğradığını bildirdi. KrebsOnSecurity’e göre saldırılar kripto para birimi ticaret platformu Liquid.com ile 13 Kasım civarında başladı. Liquid’deki veri ihlalini geçtiğimiz günlerde bildirmiştik.
Liquid CEO’su Mike Kayamori, GoDaddy’nin hesabın ve domain’in kontrolünü kötü niyetli bir kullanıcıya yanlış bir şekilde aktardığını söyledi. Kayamori, bu hareket sonucu kötü niyetli bir aktörün DNS kayıtlarını değiştirmesine ve böylece bir dizi dahili e-posta hesabının kontrolünü ele geçirmesine izin verdiğini de sözlerine ekledi. Ek olarak, kötü niyetli bir aktör, liquid.com altyapısına kısmen girebildi ve belge depolanan kısma erişim elde etti.
İkinci kurban, 18 Kasım’da GoDaddy’deki domain kayıtlarının bazı ayarlarının yetkisiz değiştirildiğini keşfeden kripto para birimi madenciliği hizmeti NiceHash’tı. Site için e-posta ve web trafiği yeniden yönlendirildi.
NiceHash, saldırganların para transferini önlemek ve orijinal alan ayarlarını geri yüklediklerini doğrulamak için tüm müşterilerin parasını 24 saat boyunca derhal dondurdu. Şirket, müşterilerine şifrelerini değiştirmelerini ve 2FA güvenliğini etkinleştirmelerini tavsiye etti.
Bir saldırganın yöneticileri dolandırmak için kullanıcıları taklit ettiği sosyal mühendislik, kripto varlıklarını çalmak isteyen suçlular için popüler bir araç olduğunu kanıtladı. Daha önce, saldırganların Barack Obama gibi kullanıcıların hesaplarının kontrolünü ele geçirdiği bir Twitter hack’i de sosyal mühendislik ile yürütüldü.
Saldırılar diğer kripto para platformlarını da etkilemiş olabilir
CoinDesk’te yer alan habere göre saldırılar, kripto para platformları Bibox.com, Celsius.network ve Wirex.app’i de etkilemiş olabilir. Ancak bu şirketlerin hiçbirinin bu konuda yorum yapmadığı bildirildi.
GoDaddy, KrebsOnSecurity’e, “sınırlı” sayıda şirket çalışanının sosyal mühendislik dolandırıcılığına maruz kalmasıyla “az sayıda” domain’im değiştirildiğini kabul etti. Şirket, çalışanlarının nasıl kandırıldığını söylemeyi reddetti.
KrebsOnSecurity, Mart ayında GoDaddy destek çalışanlarının kandırdığı kimlik avı dolandırıcılığının kötü niyetli aktörlerin en az altı alan adının kontrolünü ele geçirmesine izin verdiği Mart ayındaki olay da dahil olmak üzere, saldırıların GoDaddy’deki benzer geçmiş saldırıların ardından geldiğini söyledi.