Siber güvenlik araştırmacıları, popüler markaları taklit eden kimlik avı kampanyalarına dikkat çekiyor ve hedefleri tehdit aktörleri tarafından işletilen telefon numaralarını çağırmaya yönelik.
Cisco Talos Phishing olarak da bilinen telefon odaklı saldırı teslimi (kurbağa) olarak bilinen başka bir popüler sosyal mühendislik tekniği sergileyen, kurbanları, düşman kontrollü telefon numaralarını çağırmaya ikna etti. “Dedi.
5 Mayıs ve 5 Haziran 2025 arasında PDF ekleri olan kimlik avı e -postalarının analizi, Microsoft ve Docusign’ın en yakışıklı markalar olduğunu ortaya koydu. NortonLifelock, PayPal ve Geek Squad, PDF ekleri olan kurbağa e -postalarında en çok kişileştirilmiş markalar arasında.
Etkinlik, kötü niyetli eylemler başlatmak için insanların popüler markalarla olan güvenini artırmaya çalışan daha geniş kimlik avı saldırılarının bir parçasıdır. Bu mesajlar genellikle Microsoft oturum açma sayfalarını sahte olan kötü amaçlı QR kodlarını taramak veya kullanıcıları Dropbox gibi hizmet olarak kimlik avı sayfalarına yönlendiren bağlantıları tıklayan kötü amaçlı QR kodlarını taramak için Adobe ve Microsoft gibi meşru markalar içeren PDF eklerini içerir.
QR kodu kimlik avı e -postalarının PDF yükleri içeren e -postaların, URL’leri bir PDF eki içindeki yapışkan bir not, yorum veya form alanları içine yerleştirmek için PDF ek açıklamalarından da yararlanırken, QR kodlarını mesajların güvenilir olduğu izlenimini vermek için otantik bir web sayfasına bağlar.
Kurbağa tabanlı saldırılarda, kurbanlar bir sorunu çözmek veya bir işlemi onaylamak için iddia edilen bir girişimde bir telefon numarasını çağırıyor. Telefon görüşmesi sırasında, saldırgan meşru bir müşteri temsilcisi olarak maskelenir ve kurbanı ya hassas bilgileri ifşa etmeye veya cihazlarına kötü amaçlı yazılım yüklemeye yönlendirir.
Çoğu kurbağa kampanyası aciliyet yanılsamasına dayanır, ancak etkinlikleri genellikle, yazılı saldırganların gerçek destek iş akışlarını nasıl taklit ettiğine – komut dosyası çağrı merkezi taktiklerini kullanarak, müzik tutar ve hatta arayan kimliklerini nasıl taklit eder.
Bu teknik, tehdit aktörleri arasında, kalıcı erişim elde etmek için Android cihazlara bankacılık truva atlarını ve kurban makinelerine uzaktan erişim programları kurma konusunda popüler bir yöntem olmuştur. Mayıs 2025’te, ABD Federal Soruşturma Bürosu (FBI), Luna Güve adlı finansal olarak motive olmuş bir grup tarafından, BT departmanı personeli olarak poz vererek hedef ağları ihlal etmek için bu tür saldırılar konusunda uyardı.
Mirzaei, “Saldırganlar, kurbanın telefon görüşmelerine olan güvenini ve telefon iletişiminin bir kuruluşla etkileşim kurmanın güvenli bir yolu olduğu algısından yararlanmak için doğrudan ses iletişimi kullanıyor.” Dedi. “Ayrıca, bir telefon görüşmesi sırasında canlı etkileşim, saldırganların sosyal mühendislik taktiklerini kullanarak kurbanın duygularını ve yanıtlarını manipüle etmelerini sağlar.”
Cisco Talos, çoğu tehdit aktörünün anonim kalmak ve izlemeyi zorlaştırmak için İnternet Protokolü (VoIP) numaraları üzerinden ses kullandığını, dört gün kadar art arda tekrar kullanıldığını ve saldırganların aynı sayıyı kullanarak çok aşamalı sosyal mühendislik saldırılarını çekmesine izin verdiğini söyledi.
Şirket, “Marka kimliğine bürünme en popüler sosyal mühendislik tekniklerinden biridir ve saldırganlar tarafından farklı e -posta tehditlerinde sürekli olarak kullanılıyor.” Dedi. “Bu nedenle, bir marka takviyesi algılama motoru siber saldırılara karşı savunmada çok önemli bir rol oynuyor.”
Son aylarda, kimlik avı kampanyaları da Microsoft 365’te (M365) meşru bir özellikten yararlandı. Doğrudan dahili kullanıcılara parodi gönderin ve bir hesaptan ödün vermeye gerek kalmadan kimlik avı e -postaları teslim edin. Yeni yöntem, Mayıs 2025’ten bu yana Varonis’e göre 70’den fazla kuruluşu hedeflemek için kullanılmıştır.
Bu sahte mesajlar sadece kurban organizasyonunun içinden değil, aynı zamanda akıllı ana bilgisayar adreslerinin öngörülebilir bir model izlemesinden de yararlanıyorlar (“
Bu taktik, Vishing, Teknik Destek Dolandırıcılığı ve İş E -posta Uzlaşması (BEC) ile benzerlikleri paylaşır, ancak teslimat vektörü ve kalıcılığında farklılık gösterir. Bazı saldırganlar kurbanları AnyDesk veya TeamViewer gibi uzaktan erişim yazılımlarını indirmeye iterken, diğerleri onları sahte ödeme portalları aracılığıyla yönlendiriyor veya kredi kartı bilgilerini hasat etmek için faturalandırma departmanlarını taklit ediyorlar – saldırı yüzeyini sadece kimlik doğrulığının ötesine geçiyor.
17 Haziran 2025’te gönderilen bir kimlik avı e -postasında, mesaj gövdesi bir sesli mesaj bildirimine benzedi ve alıcıları Microsoft 365 kimlik bilgileri hasat sayfasına yönlendiren bir QR kodu içeren bir PDF eki ekledi.
Güvenlik araştırmacısı Tom Barnea, “İlk erişim denemelerinin çoğunda, tehdit oyuncusu, standart gelen e -postaya kıyasla daha az incelemeye tabi olan kimlik avı mesajlarıyla bireysel bir kuruluşu hedeflemek için M365 doğrudan gönderme işlevini kullandı.” Dedi. “Bu sadelik doğrudan kimlik avı kampanyaları için çekici ve düşük çaba gösteren bir vektör gönderir.”
Netcraft’ın yeni araştırması, büyük dil modellerinin (LLMS) Finans, Perakende, Tech ve yardımcı programlar gibi çeşitli sektörlerde 50 farklı markanın nereye giriş yapacağını sormanın, ilgisiz ana bilgisayar adlarını ilk etapta markaların sahip olmadığı yanıtlar olarak önerdiğini buldu.
“Zamanın üçte ikisi, model doğru URL’yi iade etti.” Dedi. “Ancak geri kalan üçüncüsünde sonuçlar bu şekilde bozuldu: Alanların yaklaşık% 30’u kayıt dışı, park edilmiş veya başka bir şekilde aktif değil, onları devralmaya açık bıraktı.% 5’i tamamen ilgisiz işletmelere işaret etti.”
Bu aynı zamanda kullanıcıların sadece yapay bir zeka (AI) chatbot’a nerede oturum açacağını sorarak, tehdit aktörleri bu kayıt dışı veya ilgisiz alanların kontrolünü iddia ettiklerinde marka kimliğine bürünme ve kimlik avı saldırılarının kapısını açarak sahte bir web sitesine gönderilebileceği anlamına gelir.
Tehdit aktörleri zaten ölçekli kimlik avı sayfaları oluşturmak için AI destekli araçlar kullanırken, en son geliştirme, siber suçluların sorgulara yanıt olarak kötü niyetli URL’leri ortaya çıkararak bir LLM’nin yanıtını oynamaya çalıştığı yeni bir bükülme işaret ediyor.
Netcraft, Solana Blockchain’deki işlemleri saldırgan kontrollü bir cüzdana yönlendirmek için işlevselliği barındıran GitHub’a sahte API’ler yayınlayarak sahte API’leri yayınlayarak imleç gibi AI kodlama asistanlarını zehirleme girişimlerini de gözlemlediğini söyledi.
Güvenlik araştırmacısı Bilaal Rashid, “Saldırgan sadece kodu yayınlamadı.” Dedi. “Tanıtmak için blog öğreticileri, forum Soru-Cevap ve düzinelerce Github depoları başlattılar. Birden fazla sahte Github hesabı, zengin biyografiler, profil görüntüleri, sosyal medya hesapları ve güvenilir kodlama faaliyetleri olan hesaplar arasında tohumlanan bir projeyi paylaştı.
Gelişmeler ayrıca, tehdit aktörlerinin, arama motorlarını arama sonuçlarındaki kimlik avı sitelerine öncelik vermek için etkilemek için tasarlanmış JavaScript veya HTML ile tanınmış web sitelerini (örneğin .gov veya .EDU alanları) enjekte etmek için uyumlu çabaları da takip ediyor. Bu, Hacklink adı verilen yasadışı bir pazarla gerçekleştirilir.
Güvenlik araştırmacısı Andrew Sebborn, hizmetin “siber suçluların binlerce ödün verilen web sitesine erişim satın almalarını ve arama motoru algoritmalarını manipüle etmek için tasarlanmış kötü niyetli kodlar enjekte etmelerini sağlıyor.” Dedi. “Dolandırıcılar, kimlik avı veya yasadışı web sitelerine bağlantılar eklemek için meşru ancak tehlikeye giren alanların kaynak koduna hacklink kontrol panelleri kullanır.”
Bu giden bağlantılar belirli anahtar kelimelerle ilişkilidir, böylece kullanıcılar ilgili terimleri aradığında saldırıya uğrayan web siteleri arama sonuçlarında sunulur. Daha da kötüsü, aktörler, söz konusu sitenin kontrolünü ele geçirmek zorunda kalmadan, marka bütünlüğünü ve kullanıcı güvenini etkilemeden ihtiyaçlarına uyacak şekilde arama sonucunda görünen metni değiştirebilir.