ShinyHunters isimli bilgisayar korsanı grubu, Haziran ayında bir Google çalışanını kandırarak oturum açma bilgilerini ele geçirdi. Bu bilgiler aracılığıyla Salesforce’un bulut platformu üzerinden yönetilen ve şirketler ile müşteri bilgilerini içeren bir Google veri tabanına erişim sağlandı. Veri tabanında, yaklaşık 2,5 milyar Gmail hesabına ait kayıt bulunduğu belirtildi.
Google, olay sırasında herhangi bir şifrenin çalındığına inanmadığını açıkladı. Ancak Daily Mail’in haberine göre, korsanlar bu verileri kullanarak sahte telefon aramaları yapıyor, kullanıcıları kötü amaçlı e-postalarla hedef alıyor ve Google hesaplarına sızmaya çalışıyor.
Sahte aramalar ve kimlik avı saldırıları artıyor
Siber güvenlik uzmanı James Knight, saldırının Gmail kullanıcıları için ciddi bir tehdit oluşturduğunu belirtti. Knight, dolandırıcıların telefonda Google çalışanı gibi davrandığını, kullanıcıları kandırmak için sahte kısa mesajlar ve aramalarla oturum açma bilgilerini ele geçirmeye çalıştığını ifade etti.
"Google'dan bir kısa mesaj ya da sesli mesaj aldığınızda, bunun gerçekten Google’dan geldiğinden emin olmayın," diyen Knight, bu tür saldırıların büyük bölümünün dolandırıcılık içerdiğini vurguladı.
Sosyal medyada bazı Gmail kullanıcıları, dolandırıcıların 650 alan kodlu numaralardan arama yaptıklarını ve şifre sıfırlama girişimlerinde bulunduklarını bildirdi.
Güvenliğinizi sağlamak için üç önemli adım
Knight, Gmail kullanıcılarının hesaplarını korumak için şu üç adımı atmasını önerdi:
Çok faktörlü kimlik doğrulama kullanın: Hesap girişlerinde ek bir doğrulama katmanı oluşturur.
Güçlü ve benzersiz şifreler belirleyin: Yaygın kullanılan ifadelerden kaçının.
Google güvenlik kontrolünü yapın: Zayıf noktalar bu yolla tespit edilebilir.
Ayrıca, cihazlara giriş için parola kullanımı öneren Knight, kullanıcıların kimlik avı (phishing) ve sesli kimlik avı (vishing) saldırılarına karşı son derece dikkatli olmaları gerektiğini söyledi. “Kod göndermeyin, arayanın Google olduğuna hemen inanmayın,” uyarısında bulundu.
'Sarkan kova' yöntemiyle gizli erişim sağlanıyor
Uzmanlara göre, hackerlar bir diğer taktik olarak “sarkan kova” yöntemini kullanıyor. Bu yöntemle, Google Cloud üzerindeki eski, unutulmuş ya da düzgün şekilde kapatılmamış erişim noktaları üzerinden sisteme sızılıyor. Güvenli olmayan bu girişlerden faydalanarak zararlı yazılımlar yerleştirilebiliyor veya veri çalınabiliyor.
Salesforce’un, müşteri bilgilerini merkezi olarak toplamak için kullanıldığı; zamanla bu verilerin, kullanıcı alışkanlıklarına dair detaylı profiller oluşturmak için kullanıldığı belirtiliyor. Google’ın bu veri tabanında 2,5 milyar kaydı işlemesi de bu yüzden oldu.
Google sessiz, hacker grubu tanıdık
Google, Ağustos ayında yayınladığı blog yazısında kaç müşterinin etkilendiğini açıklamadı. Şirket sözcüsü Mark Karayan da konu hakkında yorum yapmaktan kaçındı. Öte yandan ShinyHunters, daha önce de büyük şirketleri ve bulut veri tabanlarını hedef alan siber saldırılarla biliniyor.
James Knight, bu e-posta adreslerinin siber suçlular için "altın değerinde" olduğunu ve hackerların ciddi kazanç elde ettiğini belirtti. "Google’ın güvenlik için ciddi yatırımlar yaptığını biliyoruz. Bu kadar büyük bir açığın yaşanması şaşırtıcı," dedi.
