Parola gerektirmeden Gmail hesaplarını çalan zararlı yazılım!
Siber güvenlik kuruluşu Kaspersky, Gmail hesaplarını herhangi bir parolaya ihtiyaç duymadan ele geçiren Umbrij adlı yeni bir kötü amaçlı yazılım tespit etti. 2020 yılından bu yana Avrupa ve Asya'da aktif olan "ToddyCat" adlı siber casusluk grubuna ait bu araç, özellikle tarayıcılarda açık bırakılan kurumsal oturumları hedef alıyor.
Umbrij, Chromium tabanlı tarayıcıların geliştiriciler için sunduğu uzaktan hata ayıklama (remote debug) özelliğini kötüye kullanıyor. Hedef cihazda tarayıcıyı gizli modda açan yazılım, sanki kullanıcıymış gibi davranarak Gmail, Google Drive ve kişi listelerine otomatik olarak erişim izni veriyor ve bir OAuth erişim anahtarı (token) oluşturuyor.
Bu yöntemin en korkutucu yanı, geleneksel güvenlik adımlarını etkisiz kılmasıdır. Sisteme sızıldıktan sonra parolayı değiştirmek veya bilgisayarı sıfırlamak işe yaramıyor; saldırganın erişimi, yetkilendirme Google hesabı üzerinden manuel olarak iptal edilene kadar devam ediyor.
NASIL KORUNABİLİRSİNİZ?
Şirketlerin ve çalışanların bu tehdide karşı alabileceği başlıca önlemler şunlardır:
- Uygulama İzinlerini Denetleyin: Google hesabınıza bağlı uygulamaları düzenli olarak kontrol edin. Bilginiz dışında yetkilendirilmiş "Google Workspace Migration/Sync for Microsoft Outlook" gibi şüpheli araçların erişimini derhal iptal edin.
- Açık Oturum Bırakmayın: Kullanılmayan kurumsal hesapların oturumlarını, özellikle ortak cihazlarda açık bırakmaktan kaçının.
- Geliştirici Araçlarını Kısıtlayın: İhtiyaç duymayan personelin tarayıcılarındaki hata ayıklama gibi gelişmiş işlevleri devre dışı bırakın.
Umbrij vakası, siber saldırganların doğrudan parola çalmak yerine meşru yetkilendirme sistemlerini (OAuth) istismar etmeye odaklandığı yeni ve zorlu bir döneme işaret ediyor.