Perception Point’teki güvenlik araştırmacıları, “Uncle Scam” adı verilen karmaşık bir kimlik avı kampanyasını ortaya çıkardı. Yapay zeka destekli bu kampanyada, tehdit aktörleri çok sayıda Amerikan şirketine sahte ihale davetleri göndermek için ABD hükümet kurumlarını taklit ediyor.
Saldırganlar, son derece ikna edici kimlik avı e-postaları oluşturmak için etkileşimli kitler ve büyük dil modelleri (LLM’ler) dahil olmak üzere gelişmiş teknikler kullanıyor.
Kimlik avı operasyonu, Genel Hizmetler İdaresi’nden (GSA) geldiği iddia edilen ve alıcıları federal bir projeye teklif vermeye davet eden bir e-postayla başlıyor.
E-posta, kullanıcıları meşru siteyi yakından taklit etmek için tasarlanmış sahte bir GSA web sitesine yönlendiren bir bağlantı içeriyor. Bu sahte site, gerçek GSA sayfalarına yönlendiren gezinme bağlantıları ve arama seçenekleri içeriyor, bu da güvenilirliğini artırıyor ve kullanıcıların aldatmacayı tespit etmesini zorlaştırıyor.
“RFQ İçin Kaydol” düğmesine tıkladıklarında, kullanıcılar saldırganların otomatik güvenlik araçları tarafından tespit edilmekten kaçınmak için kullandıkları bir taktik olan bir CAPTCHA sayfasıyla karşılaşırlar. Kullanıcılar bilgilerini gönderdikten sonra, saldırganlar kimlik bilgilerini başarıyla toplarlar.
Sahte site, gerçek siteyle neredeyse aynı olduğundan, ziyaretçileri sitenin gerçek olduğuna inandırmaya çalışıyor.
Saldırganlar ayrıca, kullanıcılara RFQ’ya nasıl kayıt olacaklarını anlatan ayrıntılı bir açılır mesaj da eklediler ve sahte giriş sitesine ulaşmak için birden fazla tıklama yapmaları gerekiyor.
Algı Noktasına Göre rapor Cyber Security News ile paylaşılan, “Bağlantıya tıkladığında, kullanıcı sahte bir GSA sayfasına yönlendiriliyor ve bu sayfa, meşru GSA alan adını (www.gsa.gov) taklit eden (gsa-gov-dol-procurement-notice(.)procure-rfq(.)online) bir alan adıyla tamamlanıyor. Kimlik avı sitesi, meşru siteyle neredeyse aynı ve ziyaretçileri sözde özgünlüğü konusunda yatıştırıyor.”
Bu davranış, sitenin güvenilirliğini artırmanın yanı sıra kullanıcıların kötü amaçlı bir sitede olduklarını anlamalarını da zorlaştırır.
Microsoft’un Dynamics 365 Pazarlama Platformunun Kötüye Kullanımı
Bu kampanyanın dikkat çeken bir yönü Microsoft’un Dynamics 365 Marketing platformunun kötüye kullanılmasıdır. Saldırganlar, alt etki alanları oluşturmak ve kötü amaçlı e-postalar göndermek için dyn365mktg.com etki alanını kullanır.
Bu alan adının Microsoft ile olan ilişkisi, kimlik avı e-postalarının spam filtrelerini atlatarak gelen kutularına ulaşmasını sağlayarak kampanyanın etkinliğini artırıyor.
Bu alan adı, Microsoft tarafından önceden doğrulanmış olup DKIM ve SPF standartlarına uygundur; bu da bu alan adından gelen e-postaların spam filtrelerini atlatıp doğrudan gelen kutularına ulaşma olasılığının daha yüksek olmasını sağlar.
Bu ön kimlik doğrulama ve Microsoft ile ilişki, yüksek teslimat oranına katkıda bulunarak, dyn365mktg(.)com adresinden gönderilen kimlik avı e-postalarının spam olarak işaretlenme olasılığını azaltır.
Ayrıca, güvenilir bir pazarlama platformuna olan bağlantısından kaynaklanan alan adının yerleşik güvenilirliği, bu alan adından gelen e-postaların daha meşru görünmesini sağlayarak etkinliğini artırır. Kimlik avı kampanyaları.
Perception Point araştırmacıları, her ikisi de LLM’lerin yardımıyla hazırlanmış iki kimlik avı kampanyası çeşidini tanımladı. Bu modeller, saldırganların büyük ölçekte karmaşık ve bağlamsal olarak doğru e-postalar üretmesini sağlar. E-postalar, farklı ABD hükümet departmanlarını taklit ederek profesyonel bir ton korur ve departmana özgü ayrıntıları içerir.
Koruma Önlemleri
Bu tür karmaşık kimlik avı saldırılarına karşı korunmak için kuruluşlara şunlar önerilir:
- Gönderenin E-postasını iki kez kontrol edin:Gönderenin e-posta adresinin meşruiyetini inceleyin.
- Tıklamadan Önce Üzerine Gel: Gerçek URL’yi doğrulamak için bağlantıların üzerine gelin.
- Hataları Ara: Dil bilgisi hatalarına veya alışılmadık ifadelere karşı dikkatli olun.
- Gelişmiş Algılama Araçlarından Yararlanın: Yapay zeka destekli, çok katmanlı güvenlik çözümlerini kullanın.
- Ekibinizi Eğitin: Çalışanlarınızı kimlik avı e-postalarını tanımaları ve istenmeyen iletişimleri doğrulamaları konusunda eğitin.
- İçgüdülerinize güvenin:Gerçek olamayacak kadar iyi görünen tekliflere karşı dikkatli olun ve bunların gerçekliğini güvenilir kanallardan doğrulayın.