ABD Posta Ofisi kimlik avı siteleri, gerçekleri kadar trafik alıyor

   Nisan 28, 2024  Posted in Bleeping Computer


ABD Posta Ofisi kimlik avı siteleri, gerçek siteler kadar trafik alıyor

Amerika Birleşik Devletleri Posta Hizmetini (USPS) hedef alan kimlik avı kampanyalarını analiz eden güvenlik araştırmacıları, sahte alan adlarına gelen trafiğin genellikle meşru site kayıtlarına benzer olduğunu ve tatil zamanlarında bu trafiğin daha da yüksek olduğunu gördü.

Kimlik avı operasyonları genellikle insanların hassas bilgilerini (hesap kimlik bilgileri, kart bilgileri) hedef alır veya kullanıcıları sahte mağazalara ödeme yapmaları için kandırmaya veya çeşitli nedenlerle beklemeye alınan öğelerin temizlenmesi için gerekli olduğu varsayılan ücretleri karşılamaya çalışır.

USPS kimlik avı

2023 tatil sezonu boyunca Akamai Technologies, USPS hizmetini taklit eden “birleşik” alan adlarına giden önemli miktarda DNS sorgusu gözlemledi.

“Gayri meşru alanlara giden trafik miktarı, normal bir günde meşru alanlara giden trafik miktarına neredeyse eşitti ve tatillerdeki meşru trafiği büyük ölçüde aştı.” – Akamai

Akamai, bir çalışanın kötü amaçlı JavaScript kodu içeren bir siteye yönlendiren şüpheli bir SMS almasının ardından Ekim 2023’te USPS temalı kimlik avını araştırmaya başladı.

Kimlik avı SMS'i
Kimlik avı SMS’i
Akamai

Daha sonra analistler, son beş aydaki aynı JS dosyasını kullanan tüm alan adlarının bir listesini derlediler ve yalnızca adlarında USPS dizesi bulunanları tuttular.

Bu sayfaların tasarımı son derece ikna edicidir ve durum güncellemeleri için gerçekçi izleme sayfalarıyla birlikte orijinal USPS sitesinin tam kopyaları gibi görünür.

Sahte izleme bilgileri sağlayan kimlik avı USPS sitesi
Sahte izleme bilgileri sağlayan kimlik avı USPS sitesi
Akamai

Bir vakada, kimlik avı yapan aktörler, tüketicilerin tatil sezonu için hediyeler ve koleksiyon ürünleri satın alma arayışına girmesiyle Kasım ayı sonlarında önemli miktarda trafik almaya başlayan, özel bir posta ürünleri mağazasına benzeyen bir mağaza kurdu.

Sahte USPS pul mağazası
Sahte USPS pul mağazası
​​​​​​​Akamai

Ekim 2023’ten Şubat 2024’e kadar Akamai’nin keşfettiği en popüler kötü amaçlı alan adları neredeyse yarım milyon sorgu aldı; bunların iki tanesinin her biri 150 bini aştı.

En fazla trafiği oluşturan kötü amaçlı alanlar
En fazla trafiği oluşturan kötü amaçlı alanlar
Akamai

Kimlik avı USPS temalı alan adlarıyla ilişkilendirilen en popüler üst düzey alanlar (TLD’ler) şunlardı:

  1. .com – 4459 alan adı ve 271.278 sorgu
  2. .tepe – 3.063 alan adı ve 274.257 sorgu
  3. .mağaza – 566 alan adı ve 58.194 sorgu
  4. .xyz – 397 alan adı ve 30.870 sorgu
  5. .org – 352 alan adı ve 16.391 sorgu
  6. .bilgi – 257 alan adı ve 7.597 sorgu

Akamai’nin araştırması kapsamında incelenen dönemde ortaya çıkarılan tüm kötü amaçlı web siteleri tarafından oluşturulan toplam sorgu sayısı 1.128.146’nın üzerindedir; bu, meşru USPS sitesi için kaydedilen 1.181.235 sorgunun çok az altındadır.

Toplam sorguların karşılaştırılması
Meşru (solda) ve kötü amaçlı etki alanları (sağda) arasındaki toplam sorguların karşılaştırılması
Akamai

Ancak istatistikler, Kasım ile Aralık ayları arasında kötü amaçlı alanlara yönelik trafiğin yasal olana kıyasla daha yüksek olduğunu gösteriyor; bu da kış tatili sezonunda kötü amaçlı etkinliklerin arttığını gösteriyor.

Zaman içinde trafik oluşumu
Zaman içinde trafik oluşumu
Akamai

Akamai bu araştırmayı yalnızca USPS’e odakladı; dolayısıyla, potansiyel olarak çok daha fazla markayı kapsayan bu birleşik kampanyaların gerçek ölçeği muhtemelen daha büyük.

Tüketiciler paket gönderileriyle ilgili SMS veya e-posta mesajları konusunda dikkatli olmalı ve şüpheci davranmalıdır.

Bu tür iletişimlerin meşruluğunu doğrulamak amacıyla, bir ürünün teslimat durumunu kontrol etmek amacıyla resmi web sitesini (tarayıcıya manuel olarak yükleyerek) kullanmanız önerilir.

Kargo takibi için mesajlarda yer alan bağlantılara tıklamak kötü amaçlı konumlara yol açabilir.



Source link