Genişleyen Bir Bot Ağı, Facebook’u Kandırmak İçin Sahte Porno Kullandı


Kasım 2021’de, İsveçli dijital adli bilişim kar amacı gütmeyen Qurium Media’nın teknik direktörü Tord Lundström, garip bir şey fark etti. Kar amacı gütmeyen kuruluş tarafından barındırılan alternatif bir Filipinler medya kuruluşu olan Bulatlat’ı hedef alan büyük bir dağıtılmış hizmet reddi (DDoS) saldırısıydı. Ve Facebook kullanıcılarından geliyordu.

Lundström ve ekibi bulundu saldırının sadece bir başlangıç ​​olduğunu söyledi. Bulatlat, binlerce Facebook hesabının kimlik bilgilerini ele geçiren ve onları, sayılarını artırmak için daha fazla hesabın kimlik bilgilerini hedef alan kötü niyetli botlara dönüştüren sofistike bir Vietnam trol çiftliğinin hedefi haline gelmişti.

Bu saldırının hacmi, uzun süredir hedef olan Bulatlat için bile sarsıcı oldu. sansür ve büyük siber saldırılar. Qurium’daki ekip, günde 60.000’e kadar IP adresinin Bulatlat’ın web sitesine erişimini engelliyordu. Lundström, “Bunun nereden geldiğini, insanların neden Bulatlat web sitesinin bu belirli bölümlerine gittiklerini bilmiyorduk” diyor.

Saldırının izini sürdüklerinde işler daha da tuhaflaştı. Lundström ve ekibi, Bulatlat’ın web sitesindeki sayfa isteklerinin aslında pornografi bağlantıları gibi görünmek için gizlenmiş Facebook bağlantılarından geldiğini buldu. Bu dolandırıcılık bağlantıları, Facebook kullanıcılarının kimlik bilgilerini ele geçirdi ve trafiği Bulatlat’a yönlendirdi, esasen aynı anda bir oltalama saldırısı ve bir DDoS saldırısı gerçekleştirdi. Oradan, güvenliği ihlal edilmiş hesaplar, ağlarına aynı sahte porno bağlantılarından daha fazla spam gönderecek şekilde otomatikleştirildi ve bu da giderek daha fazla kullanıcıyı Bulatlat’ın web sitesine yönlendirdi.

Facebook’un ana şirketi Meta, kimlik avı dolandırıcılıklarını ve sorunlu bağlantıları tespit etmek için sistemlere sahip olsa da, Qurium, saldırganların “sıçrayan bir alan” kullandığını tespit etti. Bu, Meta’nın algılama sistemi etki alanını test ederse, meşru bir web sitesine bağlantı vereceği, ancak normal bir kullanıcı bağlantıya tıkladığında kimlik avı sitesine yönlendirileceği anlamına geliyordu.

Aylarca süren araştırmaların ardından Qurium, kimlik avı siteleri için bazı alan adlarını kaydeden Mac Quan Inc. adlı Vietnamlı bir şirketin kimliğini tespit edebildi. Qurium, Vietnamlı grubun yaklaşık 100 farklı alan adı kullanarak 30’dan fazla ülkeden 500.000’den fazla Facebook kullanıcısının kimlik bilgilerini ele geçirdiğini tahmin ediyor. Bot ağı tarafından 1 milyondan fazla hesabın hedef alındığı düşünülüyor.

Saldırganlar, Meta’nın tespit sistemlerini daha da aşmak için, çalınan Facebook hesabıyla aynı ülkede bulunan bir aracı aracılığıyla trafiği yönlendiren “konut proxy’leri” kullandılar – normalde yerel bir cep telefonu – oturum açma yerel bir hesaptan geliyormuş gibi görünmesini sağlamak için. IP adresi. Lundström, “Dünyanın herhangi bir yerinden herkes bu hesaplara erişebilir ve onları istedikleri gibi kullanabilir” diyor.

“Mac Quan IT” için bir Facebook sayfası, sahibinin Namecheap.com alan adı şirketinde bir mühendis olduğunu belirtir ve 30 Mayıs 2021’de beğeni ve takipçi satışı yaptığı bir gönderi içerir: 350 beğeni için 10.000 yen (70 $) ve 1.000 takipçi için 20.000 yen. WIRED, yorum için Facebook sayfasına ekli e-posta ile iletişime geçti ancak yanıt alamadı. Qurium, alan adını Mien Trung Vinh adlı bir kişiye kayıtlı bir e-postaya kadar takip etti.


Kaynak : https://www.wired.com/story/facebook-bots-ddos-attack/

Yorum yapın

SMM Panel PDF Kitap indir