Blockchain tabanlı bir metaverse şirketi olan Sandbox, güvenlik ihlaliyle ilgili bir uyarı yayınladı.
The Sandbox’tan Uyarı!
Şirket Perşembe günü yayınladığı bir blog yazısında yetkisiz bir üçüncü tarafın bir çalışanın bilgisayarına eriştiğini ve platformun kullanıcılarına sahte bir e-posta gönderdiğini açıkladı.
Sahte e-posta, 26 Şubat’ta gönderilen “Sandbox Oyunu (PURELAND) Erişimi” başlığını taşıyordu ve tıklanması halinde kullanıcının bilgisayarına kötü amaçlı yazılım yükleyebilecek bağlantılar içeriyordu. Bu kötü amaçlı yazılım, üçüncü tarafa kullanıcının bilgisayarı üzerinde kontrol sağlayarak kişisel bilgilerine erişim imkanı veriyordu. Şirket, üçüncü tarafın yalnızca tek bir çalışanın bilgisayarına erişebildiğini ve The Sandbox’ın başka herhangi bir hizmetine veya hesabına erişemediğini belirtti.
Şirket, saldırganın erişebildiği tek verinin The Sandbox kullanıcılarının e-posta adresleri olduğunu söyledi. Şimdiye kadar herhangi bir mali kayıp bildirilmedi.
The Sandbox, ihlalin ardından kullanıcıları olası kimlik avı saldırılarına karşı dikkatli olmaları konusunda uyardı ve hedeflenen kullanıcılara “köprülü web sitesinden herhangi bir şey açmamalarını, oynatmamalarını veya indirmemelerini” söyledi. Ayrıca kullanıcıların şifrelerini güçlendirmelerini, iki faktörlü kimlik doğrulama uygulamalarını ve şüpheli bağlantılara tıklamaktan kaçınmalarını tavsiye etti.
Kimlik Avı Saldırısı
Proje, sahte e-postayı almış olabilecek kullanıcılara e-posta göndermek, çalışanın hesaplarını ve erişimini engellemek ve iki faktörlü kimlik doğrulama ile ilgili tüm şifreleri sıfırlamak da dahil olmak üzere sorunu ele almak için hızlı bir şekilde harekete geçti. Çalışanın dizüstü bilgisayarı da yeniden biçimlendirildi ve şirket güvenlik politikalarını ve uygulamalarını iyileştirmek için çalıştığını söyledi.
Bu ihlal, kripto varlıklarını çalmayı ya da kripto kullanıcılarının bilgilerini almayı amaçlayan bir dizi e-posta aşamalı kimlik avı girişiminin en sonuncusudur. Kısa bir süre önce, alan adı kayıt kuruluşu Namecheap’in e-posta sistemi ihlal edilmiş ve kullanıcılara kripto cüzdanlarını yükseltmelerini söyleyen yaygın bir sahte kimlik avı kampanyasıyla sonuçlanmıştı.
Bilgisayar korsanlarının bu tür kimlik avı e-posta kampanyalarıyla büyük miktarlarda para çalmayı başardığı zamanlar oldu. Örneğin, Şubat 2022’de kötü niyetli bir aktör, OpenSea kullanıcılarını bir e-posta bağlantısı aracılığıyla gönderilen kötü niyetli bir işlemi imzalamaları için kandırarak yaklaşık 2 milyon dolar değerinde NFT çaldı.