Google’da Uniswap arayan kripto kullanıcıları, bir kez daha tanıdık bir tuzağa düşüyor. Son Uniswap kimlik avı Google Reklamları vakasında, sahte sponsorlu bağlantıların, kullanıcıları güvenlerini kazanacak kadar gerçek görünen klon bir siteye yönlendirerek dolandırıcıların en az 400.000 $ çalmasına yardımcı olduğu bildirildi.
Bu vakayı öne çıkaran şey, kurulumun ne kadar sıradan görünmesi. Bir kullanıcı bir büyük DeFi markasını arıyor, meşru bağlantının üzerinde ücretli bir sonuç görüyor, tıklıyor, bir cüzdan bağlıyor ve bir işlemi onaylıyor. Birkaç dakika sonra varlıklar yok oluyor.
Bu model kripto genelinde endişe verici derecede yaygın hale geldi. Bu arada güvenlik araştırmacıları, Uniswap temalı bu kampanyanın, arama sonuçları üzerinden yayılan daha geniş bir sahte kripto reklamları ve Google arama kimlik avı siteleri dalgasının parçası olduğunu söylüyor.
Summary
Google’daki sahte Uniswap reklamları reportedly en az 400.000 $ boşalttı
Sahte Uniswap kampanyasıyla bağlantılı bildirilen kayıplar, güvenlik gözlemcilerinin atıfta bulunduğu zincir üstü raporlara göre en az 400.000 $’a ulaştı.
Zincir üstü analist b-block, operasyonu 146 ETH tutan iki cüzdan adresiyle ilişkilendirdi. Makale, bu cüzdanların birlikte, Etherscan verilerine göre, o sırada yaklaşık 306.000 $ tuttuğunu söylüyor.
Green Dots’un kurucusu Stacy Muur, kimlik avı reklamlarının Google aramasında meşru Uniswap bağlantılarının üzerine yerleştirildiğini söyledi. Ayrıca sahte sponsorlu sonucu gösteren bir ekran görüntüsü paylaştı ve bu tür bir Google arama kimlik avı kurulumundaki temel sorunun altını çizdi: kötü amaçlı bağlantı gerçek olandan önce görünebiliyor.
Bu önemli çünkü arama sıralaması kullanıcı davranışını hızla değiştiriyor. Kullanıcıların genellikle cüzdan bağlamak, token takası yapmak veya piyasa hareketlerini kovalamak için hızlı davrandığı kriptoda, tek bir yanlış tıklama rutin bir ziyareti tam bir cüzdan ele geçirilmesine dönüştürebilir.
Kimlik avı kampanyası nasıl çalıştı
Mekanik basitti ama etkiliydi. Güvenlik raporları, kampanyayı resmi Uniswap listelemesini taklit eden sponsorlu Google arama reklamlarına bağladı. Kullanıcılar tıkladıktan sonra, Uniswap arayüzünü yakından kopyalayan bir kimlik avı sayfasına yönlendirildiler.
Buradan sonra tuzak zincir üstüne taşındı.
Saldırganlar, kurbanları sınırsız varlık transferini onaylamaya kandırmak için kötü amaçlı bir akıllı sözleşme kullandı. Bu onay verildikten sonra, dolandırıcıların fonları taşımak için özel anahtarlara ihtiyacı kalmadı. Onayın kendisi kapıyı açtı.
Pratikte, cüzdan boşaltma dolandırıcılığı tanıdık bir sırayı izledi:
- Sahte sponsorlu bir reklam, meşru Uniswap sonucunun üzerinde görünüyor
- Kurban, klonlanmış bir arayüzde cüzdan bağlıyor ve bir onay imzalıyor
- Kötü amaçlı sözleşme transfer izinleri kazanıyor ve varlıkları boşaltıyor
Uniswap kimlik avı Google Reklamları tehdidinin bu kadar etkili olmasının nedenlerinden biri bu. Geleneksel anlamda bir cüzdana girmeye dayanmaz. Bunun yerine, kullanıcı güvenini ve merkeziyetsiz uygulamalara yerleşik normal onay akışını suistimal eder.
Güvenlik grupları tehdidin büyüdüğünü neden söylüyor
Güvenlik grupları, aylardır sahte kripto reklamlarının münferit olaylar olmadığını söylüyor. Bunlar, tekrar eden saldırı kanalları.
SEAL daha önce, Google Arama reklamlarıyla bağlantılı kimlik avının yalnızca 13 Mart ile 30 Mart arasında 1,27 milyon $’dan fazla çaldığını söylemişti. Kuruluş ayrıca geçen yıl 356’dan fazla kötü amaçlı reklam bağlantısını engellediğini belirtti.
Bu ölçek, sorunun artık yalnızca tek bir protokol için marka taklidi problemi olmadığını gösteriyor. Kripto keşfinin altyapı sorunu haline geliyor. Eğer büyük DeFi hizmetleri, kullanıcıların onları ilk bulduğu arama motorlarında taklit ediliyorsa, saldırı yüzeyi, herhangi biri bir uygulamaya ulaşmadan önce başlıyor demektir.
SEAL, saldırganların ya doğrudan Google reklamları satın aldığını ya da büyük protokolleri ve borsaları taklit eden sahte bağlantılar dağıtmak için meşru reklamveren hesaplarını ele geçirdiğini söyledi. Grup ayrıca kötü niyetli aktörlerin, kimlik avı sayfalarının sponsorlu arama sonuçlarının en üstüne çıkmasına yardımcı olacak şekilde, genellikle meşru şirketlerden daha yüksek teklif verdiğini belirtti.
Google Ads modeli dolandırıcılar için neden bu kadar kullanışlı
Google Ads modeli, saldırganlar için işe yarıyor çünkü arama motorunun kendisinden güven ödünç alıyor. Sonuç olarak, kullanıcılar, özellikle Uniswap gibi tanıdık bir isim kullanıldığında, sponsorlu bir sonucun güvenli olduğunu varsayabiliyor.
Kriptoda bu güven boşluğu özellikle tehlikeli. Kullanıcılar genellikle hızlı hareket ediyor ve tek bir onay bile kötü amaçlı bir sözleşmeye fonları boşaltma izni verebiliyor.
Uniswap’in ötesine uzanan bir model
Son olay daha geniş bir trende uyuyor.
Scam Sniffer daha önce, bir kullanıcının sahte bir site üzerinden Uniswap NFT’lerinde 1,23 milyon $’dan fazla kaybettiğini bildirmişti. O vakada da kimlik avı sayfasının gerçek arayüzü kopyaladığı ve onaydan sonra fonları boşaltmak için kötü amaçlı bir işlem akışı kullandığı bildirildi.
PeckShield Alert ayrıca Google arama sonuçlarında görünen sahte Aave reklamları konusunda uyardı. Bu da sorunun tek bir token, tek bir borsa veya tek bir kampanyayla sınırlı olmadığını gösteriyor. Birden fazla tanınabilir DeFi markasını etkiliyor.
Güvenlik araştırmacıları ayrıca klonlanmış arayüzlere ve Punycode alan adlarına, tekrar eden taktikler olarak işaret etti. Bu sahte siteler, özellikle ücretli bir reklam ve tanıdık bir marka adıyla eşleştirildiğinde, gerçeğine neredeyse birebir benzeyebiliyor. Hızlı hareket eden kullanıcılar için farkı görmek zor olabilir.
Bu durum kripto kullanıcıları ve DeFi platformları için neden önemli
Bu hikâye, tek bir kimlik avı çetesinden daha fazlası hakkında.
Daha büyük sorun, arama reklamcılığının doğrudan bir cüzdan boşaltma dolandırıcılığı hunisi olmaya devam etmesi. Kripto platformları için bu, kendi sistemleri ihlal edilmese bile bir marka ve güven sorunu yaratıyor. Kullanıcılar içinse, bir protokolün ana sayfasını aramak gibi temel eylemlerin bile gizli risk taşıdığı anlamına geliyor.
Bu durum, güvenlik ekiplerinin neden yalnızca şifreler veya seed phrase’ler yerine onaylara odaklanmaya devam ettiğini de açıklamaya yardımcı oluyor. Bu saldırıların çoğunda kurbanlar özel anahtarlarını teslim etmiyor. Meşru görünecek şekilde tasarlanmış arayüzler üzerinden kötü amaçlı transferleri yetkilendiriyorlar.
Bu ayrım önemli çünkü kripto hırsızlığının nasıl gerçekleştiğini değiştiriyor. Zayıf nokta çoğu zaman cüzdan yazılımının kendisi değil, kullanıcıların bir uygulamaya ulaşmak için izlediği yol oluyor.
Arama savaşı kripto güvenliğinin bir parçası haline geliyor
Son Uniswap kimlik avı Google Reklamları kampanyası, kripto güvenliğinin artık arama görünürlüğü, reklam yerleşimi ve marka taklidiyle ne kadar yakından örtüştüğünü gösteriyor.
b-block’un 146 ETH tutan iki cüzdana yaptığı bağlantı, vakaya zincir üstü bir dayanak sağlarken, SEAL’den gelen daha geniş rakamlar, hâlâ sektör genelinde kullanıcıları vuran daha büyük bir trende işaret ediyor. Aave’yi içeren uyarıları ve önceki Uniswap bağlantılı kayıpları da ekleyince, mesajı gözden kaçırmak zor: birçok saldırgan için kurban avı, bir cüzdan bağlanmadan çok önce başlıyor.
