Sahte Gazeteci, Gerçek Hacker: Kripto Twitter'ın Yeni Dolandırıcılık Hilesi Ortaya Çıkıyor

Son aylarda tanınmış kanaat önderleri sosyal mühendislik saldırılarının ana hedefi haline gelirken, projenin resmi Twitter hesabı da sıklıkla çalındı.

Yazan: Luccy, ritim çalışanı, BlockBeats

Döviz çemberinde Twitter, ana sosyal medya olarak bilgi alışverişi için önemli bir platformdur ancak aynı zamanda birçok güvenlik riskini de açığa çıkarmaktadır. Son aylarda yeni bir hırsızlık trendi ortaya çıktı: Tanınmış kanaat önderleri (KOL) sosyal mühendislik saldırılarının ana hedefi haline geldi ve projenin resmi sosyal medya platformu X (eski adıyla Twitter) sıklıkla hesap hırsızlıklarıyla karşılaştı.

İyi planlanmış bu saldırılar yalnızca kişisel mahremiyeti ihlal etmekle kalmıyor, aynı zamanda tüm dijital varlığın güvenliğini de tehdit ediyor. BlockBeats, tanınmış KOL'lere yönelik yakın zamanda gerçekleşen birkaç sosyal mühendislik saldırısı vakasını inceleyerek, saldırganların dikkatlice tasarlanmış dolandırıcılık yöntemlerini nasıl kullandıklarını ve KOL'lerin ve sıradan kullanıcıların, giderek yaygınlaşan bu tür çevrimiçi tehditlere karşı korunmak için nasıl daha tetikte olabileceklerini ortaya çıkaracak.

Kılık değiştirmiş sahte muhabirler, KOL'lere yönelik sosyal mühendislik saldırıları

BlockBeats'in eksik istatistiklerine göre, sosyal hizmet uzmanları tarafından ilk saldırıya uğrayan kişi, Amerikan ana akım medyası "Forbes"un genel yayın yönetmeniydi. Sahtekar, arkadaş.tech ve diğer sahte Sosyal Fi projeleri hakkında şifreli Kol@0xmasiwei ile iletişim kurduktan sonra ona bir arkadaş.tech "kimlik doğrulama" bağlantısı gönderdi. SlowMist güvenlik personeli tarafından doğrulandıktan sonra bağlantının bir kimlik avı bağlantısı olduğu anlaşıldı.

Ayrıca SlowMist'in kurucusu Yu Xian,friend.tech'in entegre özelleştirme aracı FrenTechPro'nun bir kimlik avı dolandırıcılığı olduğunu belirledi.Kullanıcılar ŞİMDİ ETKİNLEŞTİR'e tıkladıktan sonra bilgisayar korsanları cüzdanla ilgili varlıkları çalmaya devam edecek.

İki ay sonra PeckShield benzer bir olayı yeniden tespit etti.

18 Aralık'ta, kripto veri araştırmacısı ve DeFiLlama katılımcısı Kofi (@0xKofi), sosyal medya platformunda DefiLama'nın sözleşmelerinin ve dApp'lerin güvenlik açıklarına karşı savunmasız olduğunu ve kullanıcıların varlık güvenliğini doğrulamak için tweet'e eklenen bağlantıya tıklamalarını gerektirdiğini paylaştı. Bu, sosyal mühendislik saldırısının tipik bir örneğidir: Dolandırıcılık çetesi, kullanıcıların güvenlik açığı korkusundan yararlanarak, sahte bağlantılara karşı korumalarını azaltmalarını sağladı.

Dün sabah saat 2'de @0xcryptowizard'ın bir sosyal mühendislik saldırısına uğraması, şifreleme çevresinde tartışmaları bir kez daha alevlendirdi. @0xcryptowizard, Arbitrum yazısını sosyal medya platformlarında tanıtmak için "makine çevirisi" Çincesini kullandı ve bir nane bağlantısı ekledi. Topluluk üyelerine göre, bağlantıya tıklar tıklamaz cüzdan boşaldı.

Yanıt olarak @0xcryptowizard, dolandırıcının kimlik avı bağlantısını yayınlamak için bu fırsattan yararlandığını paylaştı. Ardından @0xcryptowizard, Twitter profiline şu hatırlatmayı ekledi: "Gelecekte hiçbir bağlantı yayınlanmayacak; lütfen tweetlerdeki bağlantılara tıklamayın."

Hırsızlığın nedenine gelince @0xcryptowizard, bunun iyi planlanmış bir çevrimiçi dolandırıcılık olduğunu söyledi. Saldırgan @xinchen_eth, tanınmış kripto para medyası Cointelegraph'ın muhabiri gibi davrandı ve röportaj randevusu alma bahanesiyle hedefle iletişime geçti. Saldırgan, popüler bir planlama aracı olan Calendly'nin randevu sayfası görünümüne sahip, görünüşte normal bir randevu bağlantısına tıklaması için kandırıldı. Ancak bu aslında asıl amacı @xinchen_eth Twitter hesabının yetkilendirmesini tamamlayarak Twitter izinlerini almak olan gizlenmiş bir sayfadır.

Bu süreçte bağlantıdan şüphe duysa bile sayfanın tasarımı ve sunumu onu normal bir Calendly randevu arayüzü sanmasına neden oldu. Aslında sayfada Twitter tarafından yetkilendirilen herhangi bir arayüz gösterilmiyordu, yalnızca randevu zamanı arayüzü görüntüleniyordu ve bu da onu bir yanlış anlamanın içine sürüklemişti. Geçmişe bakıldığında @0xcryptowizard, bilgisayar korsanlarının sayfayı akıllıca gizlemiş olabileceğini düşünüyor.

Son olarak @0xcryptowizard, diğer tanınmış fikir liderlerine (KOL) ekstra dikkatli olmalarını ve normal hizmet sayfaları gibi görünseler bile bilinmeyen bağlantılara kolayca tıklamamalarını hatırlatır. Bu dolandırıcılığın son derece gizli ve aldatıcı doğası ciddi bir güvenlik riski oluşturmaktadır.

@0xcryptowizard'ın ardından NextDAO kurucu ortağı @_0xSea_ da bir sosyal mühendislik saldırısı yaşadı. Tanınmış şifreleme medya şirketi Decrypt'ten olduğunu iddia eden bir dolandırıcı, bazı fikirleri yaymak amacıyla kendisinden röportaj istemek için özel bir mesaj gönderdi. Çince konuşan kullanıcılara.

Ancak geçmişten alınan derslerle @_0xSea_, karşı tarafın gönderdiği Calendly.com yetkilendirme sayfasında "Calendlỵ'ye hesabınıza erişim yetkisi verin" cümlesindeki karakterin harf değil "ỵ" olduğunu dikkatlice fark etti. "y": Geçen seferki sahte sat'lara benzer şekilde, son karakter aslında "ts" yerine "ʦ"dir. Buradan bunun sahte bir hesap olduğu sonucuna varılabilir.

İyi eğitimli kripto korsan grubu Pink Drainer

@0xcryptowizard'a yapılan saldırıda Slow Mist Cosine, dolandırıcılık çetesi Pink Drainer'a dikkat çekti. Pink Drainer'ın, kullanıcıların hızlı bir şekilde kötü amaçlı web siteleri kurmasına ve kötü amaçlı yazılım aracılığıyla yasa dışı varlıklar elde etmesine olanak tanıyan bir hizmet olarak kötü amaçlı yazılım (MaaS) olduğu bildiriliyor.

Blockchain güvenlik şirketi Beosin'e göre kimlik avı URL'si, kullanıcıları isteği imzalamaları için kandırmak amacıyla bir kripto cüzdanı çalma aracı kullanıyor. Talep imzalandıktan sonra saldırgan, NFT ve ERC-20 tokenlarını kurbanın cüzdanından aktarabilecek. "Pink Drainer", kullanıcılardan çalınan varlıkları bir ücret olarak tahsil edecek ve bu miktarın çalınan varlıkların %30'una kadar çıkabileceği bildiriliyor.

Pink Drainer ekibi, Twitter ve Discord gibi platformlara Evomos, Pika Protokolü ve Orbiter Finance gibi olayları içeren yüksek profilli saldırılarıyla ünlüdür.

Geçen yıl 2 Haziran'da bilgisayar korsanları, Pink Drainer'ı kullanarak OpenAI'nin baş teknoloji sorumlusu Mira Murati'nin Twitter'ına saldırdılar ve OpenAI'nin AI dil modeline dayalı bir "OPENAI tokeni" piyasaya sürmek üzere olduğunu iddia ederek yalan haberler yayınladılar. ve netizenleri kontrol etmeleri için bilgilendirmek amacıyla bir bağlantı yayınladı.Ethereum cüzdan adresinin kısa yatırım almaya uygun olup olmadığı. Başkalarının mesaj alanındaki dolandırıcılığı ifşa etmesini önlemek için bilgisayar korsanı, mesajın herkese açık yanıtlama işlevini de devre dışı bıraktı.

Sahte haber, yayınlandıktan bir saat sonra silinmesine rağmen şimdiden 80.000'den fazla Twitter kullanıcısına ulaştı. Scam Sniffer'ın sunduğu verilere göre hacker, bu olaydan yaklaşık 110.000 dolar yasa dışı gelir elde etti.

Geçtiğimiz yılın sonlarında Pink Drainer, 4,4 milyon dolar değerindeki Chainlink (LINK) tokeninin çalınmasıyla sonuçlanan oldukça karmaşık bir kimlik avı dolandırıcılığına katıldı. Siber hırsızlık, "yetki artırma" özelliğiyle ilgili bir işlemi imzalaması için kandırılan tek bir kurbanı hedef aldı. Pink Drainer, kullanıcıların diğer cüzdanlara aktarılabilecek token sayısına sınırlama getirmesine olanak sağlamak için kripto alanında standart bir prosedür olan "yetki ekleme" özelliğini kullanıyor.

Bu eylem, mağdurların bilgisi olmadan iki ayrı işlemde 275.700 LINK tokeninin yetkisiz transferiyle sonuçlandı. Kriptografik güvenlik platformu Scam Sniffer'dan alınan ayrıntılar, başlangıçta 68.925 LINK tokeninin Etherscan tarafından "PinkDrainer: Wallet 2" etiketli bir cüzdana aktarıldığını; geri kalan 206.775 LINK'in ise "E70e" adresiyle biten başka bir cüzdana gönderildiğini gösteriyor.

Kurbanları token transferlerine izin vermeleri için nasıl kandırdıkları belli değil. Scam Sniffer ayrıca hırsızlıktan bu yana geçen 24 saat içinde Pink Drainer ile ilgili en az 10 yeni dolandırıcılık web sitesi keşfetti.

Bugün Pink Drainer'ın faaliyetleri hala yükselişte.Dune verilerine göre, bu yazının yazıldığı an itibariyle Pink Drainer, onbinlerce kurbanla toplamda 25 milyon dolardan fazla dolandırdı.

Resmi proje promosyonları sıklıkla çalınıyor

Sadece bu da değil, geçen ay sık sık proje yetkililerinin tweet'lerinin çalınması vakaları yaşandı:

22 Aralık'ta, ARPG karanlık hazine ele geçirme zincir oyunu "SERAPH: In the Darkness"ın resmi X platformu hesabının çalındığından şüphelenildi. Kullanıcılara şimdilik bu hesap tarafından gönderilen hiçbir bağlantıya tıklamamaları tavsiye ediliyor.

25 Aralık'ta, merkezi olmayan finansal protokol Set Protokolünün resmi tweet'inin çalındığından şüphelenildi ve kimlik avı bağlantıları içeren çok sayıda tweet yayınlandı.

30 Aralık'ta DeFi kredi verme platformu Compound'un resmi tweet'inin çalındığından şüphelenildi ve phishing bağlantısı içeren bir tweet atıldı ancak yorum izni açılmadı. BlockBeats, kullanıcılara varlık güvenliğine dikkat etmeleri ve kimlik avı bağlantılarına tıklamamaları gerektiğini hatırlatır.

Güvenlik şirketleri bile bu durumdan muaf değil. 5 Ocak'ta CertiK'in Twitter hesabı ele geçirildi. Uniswap yönlendirici sözleşmesinin yeniden giriş güvenlik açığına karşı savunmasız olduğunun tespit edildiğini iddia eden yalan haberler yayınlandı. RevokeCash'e eklenen bağlantı bir kimlik avı bağlantısıdır. Hırsızlığa yanıt olarak CertiK, sosyal platformunda şunları söyledi: "Tanınmış bir medyayla ilişkili doğrulanmış bir hesap, bir CertiK çalışanıyla temasa geçti, ancak hesabın ele geçirildiği görülüyor ve bu da çalışanlarımıza yönelik bir kimlik avı saldırısına yol açtı. CertiK hızla zafiyeti keşfetti ve dakikalar içinde ilgili tweet'leri sildi. Yapılan incelemeler bunun geniş çaplı ve sürekli bir saldırı olduğunu ortaya çıkardı. Soruşturmaya göre olay önemli bir hasara yol açmadı."

Topluluktan gelen geri bildirimlere göre, 6 Ocak'ta Solana ekolojik NFT borç verme protokolü Sharky'nin resmi tweet'i hacklendi ve bir kimlik avı bağlantısı yayınlandı. Kullanıcılara, resmi tweet tarafından gönderilen hiçbir bağlantıya tıklamamaları tavsiye ediliyor.