Siber suç grubu ShinyHunters, Google’ın Salesforce üzerinden yaşanan bir veri ihlali sonrasında 2,5 milyar kullanıcısına güvenlik önlemlerini artırma çağrısında bulunmasının ardından küresel çapta dikkat çekti.
Diğer veri ihlallerinden farklı olarak, ShinyHunters ve benzeri gruplar son zamanlarda büyük şirketleri ses tabanlı sosyal mühendislik (vishing) yoluyla hedef alıyor. Sosyal mühendislik, bir kişinin kandırılarak veya manipüle edilerek normalde yapmayacağı eylemleri gerçekleştirmesi veya bilgi vermesidir.
Bu vakada, saldırganlar hedef şirketin IT destek hattı çalışanı gibi davranarak çalışanları şifrelerini ve/veya çok faktörlü kimlik doğrulama (MFA) kodlarını paylaşmaya ikna ediyor. Vishing yeni bir taktik olmasa da, deepfake’ler ve üretken yapay zeka (AI) kullanılarak seslerin klonlanması, bu tür sosyal mühendislik yöntemlerini tespit etmeyi zorlaştırıyor.
Sadece bu yıl, Qantas, Pandora, Adidas, Chanel, Tiffany & Co. ve Cisco gibi şirketler benzer taktiklerle hedef alındı ve milyonlarca kullanıcı etkilendi.
ShinyHunters ilk olarak 2020’de ortaya çıktı ve şu ana kadar 91 kurbanı başarıyla hedeflediğini iddia ediyor. Grubun temel motivasyonu maddi kazanç elde etmek, ancak mağdurlarının itibarını zedeleme konusunda da istekli olduğu belirtiliyor. 2021’de ShinyHunters, 73 milyon AT&T müşterisinden çalınan verileri sattığını duyurdu.
ShinyHunters daha önce bulut uygulamalarındaki ve web sitesi veri tabanlarındaki güvenlik açıklarını hedef alarak şirketlere saldırdı. Salesforce gibi müşteri yönetimi platformlarını hedefleyerek, siber suçlular tek bir saldırıda birden fazla müşteriden zengin veri kümelerine erişebilir.
Sosyal mühendislik tekniklerinin kullanımı, ShinyHunters için nispeten yeni bir taktik olarak kabul ediliyor. Bu yaklaşım değişikliğinin, grubun diğer benzer gruplarla olan bağlantılarından kaynaklandığı düşünülüyor.
Ağustos ayının ortalarında ShinyHunters, Telegram’da Scattered Spider ve Lapsus$ gibi bilinen tehdit aktörleriyle birlikte Salesforce ve Allianz Life gibi şirketleri hedeflemek için çalıştıklarını duyurdu. Telegram kanalı, açıldıktan birkaç gün sonra platform tarafından kapatıldı. Grup, Allianz Life’ın Salesforce verilerini kamuoyuna açıkladı. Bu veriler, bireysel müşterilere ve kurumsal ortaklara ait 2,8 milyon veri kaydını içeriyordu.
Yeni markalaşan Scattered Lapsus$ Hunters grubu yakın zamanda fidye yazılımı hizmeti sunmaya başladığını duyurdu. Bu, diğer gruplar adına fidye yazılımı saldırıları başlatacakları anlamına geliyor. Hizmetlerinin LockBit ve Dragonforce gibi diğer siber suç gruplarının sunduklarından daha iyi olduğunu iddia ediyorlar. Grup, kurbanlarla doğrudan pazarlık yapmak yerine genellikle kamuya açık şantaj mesajları yayınlıyor.
ShinyHunters, Scattered Spider ve Lapsus$ arasında önemli bir üyelik örtüşmesi olduğu düşünülüyor. Tüm bu gruplar uluslararası olup, üyeleri dünyanın çeşitli yerlerinden dark web üzerinde faaliyet gösteriyor.
Karışıklığı artıran bir diğer unsur ise her grubun birden fazla adla tanınması. Örneğin, Scattered Spider; UNC3944, Scatter Swine, Oktapus, Octo Tempest, Storm-0875 ve Muddled Libra olarak da biliniyor.
Vishing’den korunmak için neler yapılabilir? Büyük teknoloji şirketlerinin kullanıcıları ve müşterileri olarak, organize siber suç grupları karşısında yapabileceğimiz çok az şey var. Kişisel olarak dolandırıcılıklardan korunmak, sürekli tetikte olmak anlamına geliyor.
Sosyal mühendislik taktikleri, insan duygularına, güvenme arzusuna ve yardımsever olmaya yönelik isteklere hitap ettiği için oldukça etkili olabilir.
Ancak şirketler, vishing taktikleriyle hedef alınma riskini azaltmak için proaktif davranabilir. Kuruluşlar, bu taktikler hakkında farkındalık yaratabilir ve senaryo tabanlı eğitimleri çalışan eğitim programlarına dahil edebilir. Ayrıca, bir çalışanın şirket rozetini veya devlet tarafından verilen kimliğini gösterdiği kamera kontrolleri veya çevrimiçi olarak kolayca bulunamayan bilgileri soran sorular gibi ek doğrulama yöntemleri de kullanabilirler.
Son olarak, kuruluşlar, kimlik doğrulama platformundan sayıların kimlik doğrulama uygulamasına girilmesini gerektiren sayı eşleştirme veya coğrafi doğrulama gibi kimlik avına dayanıklı çok faktörlü kimlik doğrulama gerektiren kimlik doğrulama uygulamalarını kullanarak güvenliği güçlendirebilirler. Coğrafi doğrulama, bir kişinin fiziksel konumunu ek bir kimlik doğrulama faktörü olarak kullanır.
