Siber güvenlik araştırmacıları, saldırganların Google Ads sistemini kullanarak sahte ManageWP giriş sayfaları yaydığını ortaya çıkardı. ManageWP, GoDaddy bünyesinde çalışan ve birden fazla WordPress sitesini tek panelden yönetmeye yarayan popüler bir servis.
Araştırmaya göre saldırganlar, Google’da “ManageWP” araması yapan kullanıcıları hedefleyen sponsorlu reklamlar satın aldı. Reklama tıklayan kişiler, gerçek siteye çok benzeyen sahte bir giriş ekranına yönlendiriliyor.
Sahte reklamlar arama sonuçlarının en üstünde çıkıyor
Kullanıcı adı, parola ve iki aşamalı doğrulama (2FA) kodu girildiğinde bilgiler doğrudan saldırganların sistemine gönderiliyor. Güvenlik şirketi Guardio Labs, çalınan verilerin Telegram üzerinden saldırganlara iletildiğini söylüyor.
2FA bile tek başına yeterli olmayabiliyor
Saldırının dikkat çeken kısmı, yalnızca şifreleri değil 2FA kodlarını da gerçek zamanlı ele geçirmesi. Böylece saldırganlar kullanıcı hesabına anında giriş yapabiliyor. Araştırmacılar ayrıca saldırganların kullandığı altyapıya eriştiklerini ve burada modüler bir phishing sistemi bulunduğunu belirtti. Sistemin sıradan bir hazır kit olmadığı, özel geliştirilmiş bir platform olduğu düşünülüyor.
Rusça izler bulundu
Guardio Labs, saldırı altyapısında Rusça yazılmış bir “kullanım sözleşmesi” bulduğunu açıkladı. Belgede sistemin “eğitim ve araştırma amaçlı” olduğu iddia edilirken, Rus kullanıcıların hedef alınmasının yasaklandığı görülüyor. Bu durum saldırının Rusça konuşan tehdit aktörleriyle bağlantılı olabileceği şüphesini doğurdu, ancak araştırmacılar kesin bir atıf yapmadı.
En az 200 kurban doğrulandı
Şu ana kadar en az 200 kişinin saldırıdan etkilendiği doğrulandı. Tüm mağdurların uyarıldığı belirtiliyor.
Uzmanlar şu önerilerde bulunuyor:
- Sponsorlu Google reklamlarına karşı dikkatli olun.
- Giriş yapmadan önce URL adresini dikkatle kontrol edin. (Örn: https://www.google.com)
- Mümkünse şifre yöneticisi kullanın.
- SMS yerine uygulama tabanlı 2FA tercih edin.
- Kritik hesaplarda donanımsal güvenlik anahtarı kullanın.