Google, dünya genelindeki yaklaşık 2 milyar Gmail kullanıcısını ciddi bir güvenlik riski konusunda uyardı. Şirketin açıklamasına göre, [email protected] adresinden gelmiş gibi görünen sahte e-postalar kullanıcıları kandırmaya çalışıyor. Google, bu sahte mesajların derhal silinmesini öneriyor.
Bu yeni siber saldırı dalgası, görünüşte Google’ın güvenlik biriminden gelen resmi bir mesaj gibi tasarlanmış. E-posta içeriğinde, kullanıcı hesabıyla ilgili yasal süreçlere dair bilgiler bulunduğu ve bir destek bağlantısının yer aldığı iddia ediliyor. Ancak bu bağlantıya tıklayan kullanıcılar, kişisel verilerini dolandırıcılara kaptırma riskiyle karşı karşıya kalıyor.
Bir Tıkla Başlayan Siber Tehdit
Google yetkililerine göre saldırı, kullanıcıların e-posta içindeki bağlantıya tıklayıp sahte belgeyi indirmesi veya erişim izni vermesiyle başlıyor. Bu adımın ardından, dolandırıcılar kullanıcının:
- E-posta kutusuna
- Drive içeriğine
- Hesap ayarlarına
sınırlı da olsa erişim kazanabiliyor. Bazı durumlarda ise indirilen dosya zararlı yazılım içeriyor ve bu yazılımlar aracılığıyla şifreler, banka bilgileri ve kişisel belgeler ele geçirilebiliyor.
Sahte E-Postalar Google Altyapısını Kullanıyor
Bu saldırının arkasındaki yapıyı inceleyen isimlerden biri de, daha önce Google ve Ethereum için çalışmış olan yazılım geliştiricisi Nick Johnson oldu. Johnson’a göre, saldırganlar Google’ın sunduğu meşru araçları kötüye kullanıyor.
Bu tür saldırılarda özellikle dikkat çeken unsur, Google OAuth aracının kötüye kullanılması. Dolandırıcılar, Google’a çok benzeyen bir alan adı kullanarak sahte bir üçüncü taraf uygulaması oluşturuyor. Bu uygulama üzerinden, kullanıcıya Google’dan gelmiş gibi görünen bir erişim izni talebi gönderiliyor. Kullanıcı bu izni verdiğinde, sahte uygulama hesap erişimine sahip oluyor.
Kullanıcılar Ne Yapmalı?
Google, kullanıcıların bu tür e-postaları hiç açmadan silmelerini ve hiçbir şekilde bağlantılara tıklamamalarını öneriyor. Ayrıca:
- Hesap ayarlarında “Güvenilen üçüncü taraf uygulamalar” listesi kontrol edilmeli
- Şüpheli erişimler derhal kaldırılmalı
- İki adımlı doğrulama aktif hale getirilmeli
Siber güvenlik uzmanları, bu saldırının sinsi olmasının nedenini şu sözlerle özetliyor: “Kurban, her şeyin gerçek olduğunu sanıyor; çünkü e-posta adresi, bildirim şekli ve kullanılan altyapı neredeyse birebir Google’a ait gibi duruyor.”
