700’den fazla alan adını kapsayan büyük çaplı bir dolandırıcılık kampanyasının, Paris’teki Yaz Olimpiyatları için bilet satın almak isteyen Rusça konuşan kullanıcıları hedef alması muhtemel.
Operasyonun Olimpiyat Oyunları’na sahte biletler satarak diğer önemli spor ve müzik etkinliklerinden de faydalandığı görülüyor.
Kampanyayı analiz eden araştırmacılar buna Ticket Heist adını verdiler ve bazı alan adlarının 2022 yılında oluşturulduğunu ve tehdit grubunun her ay ortalama 20 yeni alan adı kaydettiğini tespit ettiler.
Aşırı pahalı sahte Olimpiyat Oyunları biletleri
2023’ün sonlarında, tehdit istihbaratı şirketi QuoIntelligence’daki araştırmacılar, 26 Temmuz’da başlaması planlanan Paris Olimpiyat Oyunları hakkında artan bir konuşma olduğunu fark ettiler.
Etkinliğin her zaman jeopolitik etki aracı olarak kullanılması ve Uluslararası Olimpiyat Komitesi’nin Rus ve Belaruslu sporcuların kendi ülke bayrakları altında katılımını yasaklama kararı nedeniyle araştırmacılar konuyu takip etmeye devam etti ve internette şüpheli aktivite aradı.
QuoIntelligence, yeni kayıt edilen alan adlarında kullanılan belirli anahtar kelimeleri (örneğin bilet, Paris, indirim, teklif) takip etti ve Paris Olimpiyat Oyunları için geçerli biletler sattığını ve konaklama seçenekleri sağladığını iddia eden ikna edici web sitelerini barındıran 708 alan adına dayanan Ticket Heist adlı operasyonu keşfetti.
Keşfedilen ilk bu tür alan adları ticket-paris24’tür[.]com ve tickets-paris24[.]com’dur, ikincisi birincisinin bir klonudur.
“Muhtemelen Rusçadan İngilizceye doğrudan çeviriden kaynaklanan küçük yazım ve dil bilgisi hatalarına rağmen, web sitesi ve kullanıcı deneyimi üst düzey bir sitenin deneyimiyle karşılaştırılabilir düzeydeydi” – QuoIntelligence
Ticket Heist operatörlerinin ziyaretçiler için oluşturduğu kullanıcı etkileşimi meşru görünüyor ve siteyle etkileşimi ve bilet seçimini teşvik ediyor.
kaynak: QuoIntelligence
Araştırmacılar bugün yayınladıkları raporda, Ticket Heist ile ilgili tüm web sitelerinde aynı kullanıcı arayüzü çerçevesinin bulunduğunu, sahte web siteleri arasındaki farkın yalnızca içerik ve dilde küçük farklılıklar gösterdiğini söylüyor.
Web sitelerinin tasarımının yanı sıra, şemada öne çıkan şey, teklif edilen sahte biletlerin fiyatıdır. QuoIntelligence, fiyatların gerçek olanlara kıyasla şişirilmiş olduğunu belirtiyor.
“Örneğin, resmi web sitesinde rastgele bir etkinlik ve koltuk yeri 100 avrodan daha ucuza mal olabilirken, sahte web sitelerinde aynı biletler ve yerler en az 300 avroya, hatta çoğu zaman 1.000 avroya kadar fiyatlandırıldı” – QuoIntelligence
QuoIntelligence tehdit araştırmacısı Andrei Moldovan, BleepingComputer’a henüz bir doğrulama olmamasına rağmen, daha yüksek fiyatların, biletlerin resmi dağıtım kanalları aracılığıyla mevcut olmaması nedeniyle kurbanların ekstra para karşılığında “özel muamele” gördüklerine inanmalarını sağlamak için bir hilenin parçası olabileceğini söyledi.
Öte yandan, daha yüksek bir fiyat, mağdurların bilet sıkıntısından faydalanmak için yapılan bir karaborsa operasyonu olduğuna inanmasına da yol açabilir.
Ticket Heist’in amacı hakkındaki teorilerini test etmeye ve arkasında kimin olduğunu ortaya çıkarabilecek bilgileri toplamaya çalışan QuoIntelligence, dolandırıcı internet sitelerinden birinden alışveriş yapmaya çalıştı.
Tüm işlemlerin Stripe ödeme işleme platformu üzerinden gerçekleştirildiğini ve paranın yalnızca kartta yeterli bakiye olduğunda transfer edildiğini tespit ettiler.
Bu, operatörün amacının kredi kartı bilgilerini toplamak değil, kurbandan para çalmak olduğu anlamına geliyor.
Ayrıca bu test, 26 Kasım 2021 tarihinde kurulan ve hala aktif olan ancak web sitesinin hiçbir zaman genel arama motorları tarafından indekslenmediği VIP Events Team LLC şirket adını da ortaya çıkardı.
“Alan adı, şirketin kurulduğu gün kaydedildi. VIP Events Team LLC’den Google, sosyal medya, TrustPilot veya diğer mevcut OSINT kaynaklarında bahsedilmiyor” – QuoIntelligence
Araştırmacılar, şirketin New York merkezli gibi görünse de, ticket-paris24’teki “bizimle iletişime geçin” bölümünün[.]com’da şirketin Gürcistan’ın Tiflis kentinde olduğu belirtiliyor.
Ticket Heist operasyonunun arkasındaki altyapıyı analiz eden araştırmacılar, tüm sahte alan adlarının aynı IP adresinde barındırıldığını keşfettiler.[.]43[.]166[.]54, bir sağlayıcıya ait olan bir bilginin birden fazla servis tarafından kötü amaçlı faaliyetlere bağlanmasıdır.
Her web sitesinin kendine özgü bir SSL sertifikası olmasına rağmen QuoIntelligence, kullanılan alan adı ve benzersiz alt alan adlarının yapısında bir kalıp olduğunu fark etti.
Alt alan adlarının genellikle şunları içerdiğini gözlemlediler: jswidget, widget-çerçevesiveya widget-apiDNS kayıtları ve ortak JavaScript dosyalarıyla bir araya getirilen , 708 etki alanından oluşan tüm ağı açığa çıkarmalarına yardımcı oldu.
Tehdit aktörü her ay ortalama 20 yeni alan adı kaydederken, geçtiğimiz kasım ayında bu sayı önemli ölçüde artarak 50 yeni alan adı oluşturuldu.
Şu anda, Ticket Heist’e bağlı alan adlarının %98’i, kitle kaynaklı analiz hizmetleri tarafından kötü amaçlı yazılımlardan temizlenmiş olarak kabul ediliyor. Bu da, amacın meşru bir ödeme hizmeti aracılığıyla doğrudan kurbanlardan çalmak olduğu teorisini destekliyor.
Etkinlik cazibeleri ve kurbanları
Paris’teki Olimpiyat etkinlikleri Ticket Heist operasyonundaki tek cazibe değildi. Dolandırıcılar ayrıca bu yıl UEFA Avrupa Şampiyonası için sahte biletlerle kurbanları kandırmaya çalıştılar.
QuoIntelligence, futbol etkinliğine bilet satan çok sayıda İngilizce internet sitesi buldu.
kaynak: QuoIntelligence
Araştırmacılar ayrıca bu dolandırıcılık faaliyetinde, Twenty One Pilots, Iron Maiden, Metallica, Rammstein gibi ünlü grupların ve müzisyenlerin (Bruno Mars, Ludovico Einaudi) yer aldığı müzik konserlerine bilet sattığını iddia eden web siteleri de keşfettiler.
Araştırmacılar, bu durumlarda sahte biletlerin Moskova ve Rusya’nın diğer büyük şehirlerindeki konserlere ait olduğunu söylüyor.
QuoIntelligence, bu sayfaların İngilizce olmasına rağmen Ticket Heist sitelerinin çoğunun sadece Rusça olması nedeniyle operasyonun asıl hedefinin Rusça konuşan kullanıcılar olduğunu öne sürüyor.
Bu sonuca ulaşmamızı sağlayan bir diğer gösterge ise Rus mobil servislerine ait telefon numaralarını kullanarak iletişim bilgilerinin bulunmasıdır.
Moldovan, “Elbette bu, Rusça konuşan bireyleri hedef alma niyetinin %100 kanıtı değil, ancak birçok gösterge ve bulgu bu yönde işaret ediyor” dedi.
Paris’teki Olimpiyat Oyunları için bilet sattığını iddia eden dolandırıcılık web siteleri daha önce bildirilmişti. Fransız Ulusal Jandarması geçen ay, çoğu ülke dışında barındırılan 338 dolandırıcı site bulduğunu bildirdi.
Siber güvenlik şirketi Proofpoint ise farklı bir raporda, böyle bir web sitesinin sponsorlu arama motoru sonuçlarında öne çıkarıldığı konusunda uyardı.
Reddit’te bir kullanıcı paris24tickets’tan bilet almaya çalıştıktan sonra dolandırıldığını şikayet etti[.]com.
QuoIntelligence, web sitesinin artık aktif olmaması nedeniyle işlemin nasıl gerçekleştirildiğini doğrulayamamış olsa da Moldovan, arşivlenen kaynaklara göre web sitesinin barındırma altyapısı, ağ yapılandırması ve kullanıcı arayüzü açısından tamamen farklı olduğunu söylüyor.
QuoIntelligence, bu örneklere rağmen Bilet Soygunu operasyonunun devam ettiğini ve kamuoyuna açık bir araştırmada bildirilmediğini, bu da çok sayıda dolandırıcının bu yılki Olimpiyat Oyunları’ndan çıkar sağlamaya çalıştığını gösteriyor.
Tehdit istihbarat şirketi, siber güvenlik topluluğunun müşterilerini korumak için kullanabileceği Ticket Heist operasyonu için bir dizi tehlike göstergesi (IoC) sağlıyor.