Netcraft’taki siber güvenlik araştırmacıları, Lucid ve Deniz Feneri Hizmet Olarak Kimlik Yardımı (PHAA’lar) platformuna bağlı iki sofistike kimlik avı kampanyası ortaya çıkardı ve 74 ülkede 316 markayı hedefleyen 17.500’den fazla kimlik avı alanı kullanan büyük bir operasyonu ortaya koydu.
Bu keşif, düşük vasıflı saldırganların sofistike kimlik avı operasyonlarını benzeri görülmemiş bir ölçekte gerçekleştirmelerini sağlayan artan ticari siber suç altyapısı tehdidini vurgulamaktadır.
Hizmet olarak kimlik avı platformlarının ortaya çıkması, siber suç manzarasında önemli bir değişimi temsil eder ve bu da sofistike saldırıları kapsamlı teknik uzmanlık olmadan suçlular için erişilebilir hale getirir.
Bu platformlar, dünya çapında yüzlerce meşru markayı taklit eden önceden yüklenmiş şablonları içeren kapsamlı kimlik avı yazılımı paketleri için aylık ücretler alarak bir abonelik modelinde çalışır.
Netcraft 2023’te popüler Darcula Phaas platformunu izlemeye başladığından beri, siber güvenlik firması, modern teknolojileri kullanan ve kullanıcı dostu arayüzler sunan benzer hizmetlerde dramatik bir artış gözlemledi.
Bu tehdidin ölçeği, PHAAS tespitlerinin bugüne kadar en yüksek seviyelerine ulaştığı Haziran 2025’te özellikle belirginleşti ve netcraft tarafından tespit edilen tüm kimlik avı ana bilgisayar adlarının% 13,5’i izlenen Phaas platformları tarafından güçlendirildi.
Lucid PHA’lar: Gelişmiş Kaçma
Daha önce Prodraft tarafından tanımlanan parmak izleri ile eşleşen Hizmet Olarak Plaj Platformu Platformu, hem hedefleme yeteneklerinde hem de kaçınma tekniklerinde dikkate değer bir karmaşıklık gösterir.
Platform, siber suçluların ücretli şirketler, devlet kurumları, posta hizmetleri ve finansal kurumlar da dahil olmak üzere çeşitli endüstrilere karşı kimlik avı kampanyaları başlatmasını sağlar.
Her bir Lucid Kimlik avı şablonu, finans şirketi Kuda’yı taklit etmek için kullanılan “Kuda295” teması gibi benzersiz bir tanımlayıcı alır.
Platformun izleme önleme özellikleri özellikle gelişmiş, kötü niyetli içerik görüntülemek için belirli koşullar gerektiriyor: Ziyaretçiler önceden belirlenmiş yollara erişmeli, belirli proxy ülkelerinden kaynaklanmalı ve mobil kullanıcı aracıları kullanmalıdır.
Bu kriterler karşılanmadığında, kurbanlar gerçek kimlik avı sayfası yerine ayakkabı veya kadın kıyafetleri satan jenerik sahte dükkanlar görüyorlar.
Netcraft’ın analizi, Lucid’in 63 farklı ülkeden 164 markayı hedefleyen kimlik avı URL’leri oluşturmak için kullanıldığını ve platformun küresel erişimini ve çeşitli bölgesel pazarlara ve dillere uyarlanabilirliğini gösterdiğini ortaya koyuyor.
Wangduoyu olarak bilinen bir kişi tarafından geliştirilen Hizmet Olarak Deniz Feneri Kimlik Avı Kiti, siber suç altyapısının prim kademesini temsil eder.
Abonelik fiyatları haftalık 88 $ ile yıllık 1.588 $ arasında değişen Lighthouse, özelleştirilebilir kimlik avı şablonları aracılığıyla iki faktörlü kimlik doğrulama kimlik bilgilerini çalmak için sık güncellemeler ve özel özellikler sunar.
Araştırmacılar, platformun satış materyallerinde gösterilen özdeş şablonlar ve Wangduoyu’nun gösteri alanına dağıtım da dahil olmak üzere çeşitli temel göstergeler aracılığıyla ağır bir şekilde gizlenmiş bir kimlik avı kampanyasını deniz fenerine bağladılar.
Kampanya, 50 ülkede 204 markayı hedef aldı ve aynen “yüksek sesle somun” sahte mağaza şablonu da dahil olmak üzere Lucid ile aynı anti-izleme tekniklerini kullandı.
Bağlı suç altyapısı
Soruşturma, farklı PHAAS operasyonları arasında ilgi çekici bağlantılar ortaya koydu. Hem Lucid hem de Deniz Feneri, neredeyse aynı izleme karşıtı sayfaları kullanır, bu da paylaşılan kalkınma kaynaklarını veya suç grupları arasında kasıtlı işbirliği önerir.
Ayrıca, araştırmacılar paylaşılan Telegram yönetimi ve örtüşen altyapı yoluyla daha önce belgelenmiş Haozi grubuna bağlantılar keşfettiler.
Bu bağlantılar, farklı suç örgütlerinin bireysel riski en aza indirirken operasyonel etkinliklerini en üst düzeye çıkarmak için kaynakları, teknikleri ve altyapıyı paylaştığı modern siber suç ekosistemlerinin birbirine bağlı doğasını vurgulamaktadır.
Bu tehditlere yanıt olarak, NetCraft, Lucid Phaas URL’lerinin tespitini artırmak için özel olarak tasarlanmış hedefli otomasyonu dağıtmıştır.
Bu proaktif yaklaşım, kampanyaların ilişkilendirilmesini, ortak altyapı kalıplarının belirlenmesini ve bu sofistike operasyonların etkisini azaltmak için hızlı bozulma mekanizmalarının uygulanmasını içerir.
Siber güvenlik topluluğunun Phaas operasyonlarını izleme ve bozma yeteneği, bu platformlar sofistike ve ölçekte gelişmeye devam ettikçe çok önemlidir.
Lucid ve deniz feneri kampanyaları, bu hizmetlerin ne kadar hızlı büyüyebileceğini ve adapte olabileceğini göstermektedir, bu da geleneksel reaktif güvenlik önlemlerini modern kimlik avı tehditlerine karşı yetersiz hale getirir.
Hizmet olarak kimlik avı platformları giderek daha sofistike ve düşük vasıflı suçlular için erişilebilir hale geldikçe, siber güvenlik endüstrisi uyanık izlemeyi sürdürmeli ve yenilikçi karşı önlemler geliştirmelidir.
Bu soruşturmada ortaya çıkan operasyon ölçeği – 74 ülkede 300’den fazla markayı hedefleyen 17.500 alan – dünya çapındaki kullanıcıları ve kuruluşları bu gelişen tehditlerden korumak için proaktif istihbarat toplama ihtiyacını ve hızlı yanıt yeteneklerini ortaya koymaktadır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.