Son günlerde ortaya çıkan CL Suite adlı Google Chrome eklentisi teknoloji dünyasında ciddi bir alarm yarattı. Kendini Meta Business Suite için hazırlanmış masum bir verimlilik aracı gibi tanıtan bu uzantı aslında arka planda bambaşka işler yapıyor. Kullanıcılara doğrulama pencerelerini kaldırma ve 2FA kodu üretme gibi kolaylıklar sunduğunu iddia ediyor. Ancak gerçek amaç Facebook Business Manager hesaplarının güvenliğini tamamen devre dışı bırakmak. Eklenti yüklendiği anda tarayıcıdan geniş izinler istiyor. Ardından iki faktörlü kimlik doğrulama için kullanılan gizli anahtarları sessizce toplamaya başlıyor. Kullanıcı hiçbir uyarı görmüyor. Her şey arka planda oluyor. Bu noktada saldırganlar artık kurban hesabın giriş kodlarını istedikleri zaman üretebilecek anahtara sahip oluyor. Yani 2FA fiilen anlamını kaybediyor.
Bu durum özellikle reklam yöneten ajanslar ve büyük işletmeler için çok daha tehlikeli. Çünkü sadece giriş bilgileri değil şirket içi analiz verileri de çalınıyor. Eklenti çalışan listelerini e posta adreslerini ve erişim seviyelerini bile topluyor. Reklam hesapları ödeme yöntemleri ve kampanya detayları da saldırganların eline geçiyor. Toplanan tüm bilgiler JSON paketleri halinde dış sunuculara gönderiliyor. Hatta sistemde özel bir işaret bulunuyor ve çalınan veriler anlık olarak Telegram kanalına aktarılıyor. Bu da siber suçluların saniyeler içinde hesap ele geçirme ya da reklam dolandırıcılığı yapabilmesini sağlıyor.
2fa neden artık sizi korumuyor?
Bu saldırının en ürkütücü tarafı eklenti silinse bile riskin bitmemesi. Çünkü saldırganlar bir kez 2FA anahtarını ele geçirdiğinde sonsuza kadar geçerli kod üretebiliyor. Yani sadece şifre değiştirmek yeterli olmuyor. Hesap tamamen savunmasız kalabiliyor. Kullanıcılar çoğu zaman her şeyi düzelttiklerini düşünüyor ama arka tarafta saldırgan hâlâ erişime sahip oluyor. Bu yüzden güvenlik uzmanları klasik parola değişiminin artık tek başına çözüm olmadığını söylüyor. Mutlaka iki faktörlü doğrulamanın sıfırlanması gerekiyor. Aktif oturumların iptal edilmesi gerekiyor. Yeni 2FA kurulumu yapılmadan hesap tekrar güvenli sayılmıyor.
Aşağıda güvenlik ekiplerinin dikkat etmesi gereken temel göstergeleri görebilirsin:
| Gösterge | Değer | Açıklama |
|---|---|---|
| Uzantı Adı | CL Suite | Kötü amaçlı Chrome eklentisi |
| Uzantı Kimliği | jkphinfhmfkckkcnifhjiplhfoiefffl | Chrome mağaza kimliği |
| C2 Alanı | getauth[.]pro | Veri sızdırma sunucusu |
| API Uç Noktası | telemetry.php | Çalınan bilgilerin gönderildiği adres |
| Geliştirici Mail | info@clmasters[.]pro | Şüpheli geliştirici hesabı |
Eğer bu eklentiyi kullandığından şüpheleniyorsan vakit kaybetmeden kaldırman gerekiyor. Ardından tüm aktif oturumları kapatman şart. Sonrasında iki faktörlü kimlik doğrulamayı tamamen silip yeniden kurman gerekiyor. Aksi halde saldırgan arka kapıdan erişmeye devam edebilir. Reklam hesaplarını ve ödeme yöntemlerini de tek tek kontrol etmek büyük önem taşıyor. Çünkü bu tür saldırılar genelde doğrudan maddi zararla sonuçlanıyor. Aslında bu durum CL Suite vakası tarayıcı eklentilerinin ne kadar tehlikeli olabileceğini bir kez daha gösterdi. Sadece güvenilir görünen araçlara güvenmek artık yeterli değil. İşletme hesabı yöneten herkesin uzantıları düzenli kontrol etmesi şart. Aksi halde birkaç tıklamayla yılların emeği ve reklam bütçeleri buhar olup uçabiliyor. Bu olay dijital güvenlikte dikkatsizliğin bedelinin ne kadar ağır olabileceğini net şekilde ortaya koyuyor.
Henüz hiç yorum yapılmamış. İlk yorumu sen yap!
