Bir dahaki sefere bir paketi izlemeniz gerektiğinde, kötü amaçlı reklamların sizi bankacılık bilgilerinizi çalan sitelere yönlendirebileceğini unutmayın.
Kötü amaçlı reklamcılığı genellikle kötü amaçlı yazılım veya dolandırıcılığı teşvik eden kötü amaçlı reklamlar olarak düşünürüz ve haklı olarak bunlar muhtemelen en yaygın yüklerdir. Bununla birlikte, kötü amaçlı reklamcılık, genellikle spam e-postalar yoluyla daha sık gördüğümüz kimlik avı saldırıları için de harika bir araçtır.
Tehdit aktörleri, tek amacı popüler arama motorları aracılığıyla hileli reklamları kaçırmak olan doğrulanmış reklamcılar gibi davranarak markaları kötüye kullanmaya ve taklit etmeye devam ediyor. Bu blog gönderisinde, Amerika Birleşik Devletleri Posta Servisi web sitesi aracılığıyla paketlerini takip etmek isteyen hem mobil hem de Masaüstü kullanıcılarını hedef alan yakın tarihli bir kimlik avı saldırısını inceliyoruz.
Bir Google araması, tamamen güvenilir görünen bir reklam getirdi. Yine de, kurbanları önce adreslerini, kredi kartı bilgilerini toplayan ve doğrulama için banka hesaplarına giriş yapmalarını gerektiren kötü amaçlı bir siteye yönlendirir.
Bu ayrıntılı kimlik avı planı, arama sonuçları yoluyla kötü amaçlı reklamcılığın hem tüketicileri hem de tanınmış markalara güvenen işletmeleri etkileyen bir sorun olmaya devam ettiğini hatırlatıyor.
Kötü amaçlı reklam %100 meşru görünüyor
Bu kötü amaçlı reklam kampanyası ilk olarak Overt Operator Pazarlama Direktörü Jesse Baumgartner tarafından fark edildi. LinkedIn gönderisinde, bir paketi takip etmeye çalışırken ve bunun yerine bir dolandırıcılık web sitesine girerken yaşadığı deneyimin birkaç ekran görüntüsünü paylaşıyor.
Aynı kampanyayı “usp izleme” için basit bir Google araması yaparak hemen bulabildik. İnanılmaz bir şekilde, reklam snippet’i resmi web sitesini içeriyor Ve Amerika Birleşik Devletleri Posta Servisi logosu ve doğrulanmış yasal adı Анастасія Іващенко (Ukrayna) olan “reklamverenin” bununla hiçbir ilgisi yoktur.
Bu sahte reklamverenin, Mobil ve diğer Masaüstü kullanıcılarını hedeflediği anlaşılan 2 farklı reklam kampanyası vardı:
Adres doğrulama ve güncelleme, bankacılık kimlik bilgilerini almak için sadece bir numara
Tehdit aktörlerinin reklamdaki resmi URL’yi nasıl kullanabildikleri ve kurbanları kendi farklı web sitelerine nasıl yönlendirebildikleri merak edilebilir. Reklamda gösterilen URL’ler, gerçekte tıkladığınız şeyle hiçbir ilgisi olmayan tamamen görsel eserlerdir. Reklamı tıkladığınızda, döndürülen ilk URL, reklamla ilgili çeşitli metrikleri içeren Google’ın kendi URL’sidir ve ardından reklamverenin kendi URL’sidir. Kullanıcılar bunu asla göremez ve marka kimliğine bürünme yoluyla kötü amaçlı reklamcılığı bu kadar tehlikeli yapan da budur.
Reklamı tıklayan kurbanlar, tam da bekledikleri gibi kendilerinden takip numaralarını girmelerini isteyen bir web sitesine gelirler. Ancak, bu bilgileri gönderdikten sonra ” şeklinde bir hata alıyorlar.Teslimat adresindeki bilgilerin eksik olması nedeniyle paketiniz teslim edilememiştir.“
Bu tür bir bildirim almak da alışılmadık bir durum değildir. Kullanıcılardan daha sonra tekrar tam adreslerini girmeleri isteniyor ancak kredi kartı bilgilerini girerek 35 sentlik küçük bir ücret de ödemeleri gerekiyor. Bu, burada bir şeylerin ters gittiğine dair ilk ipucu.
Kurbanlar kredi kartı numaralarını bir kimlik avı web sitesine giriyor. Çalınan bu verilerin suç pazarlarında yeniden satılmasıyla yapılabilecek çok daha fazla zarar olduğundan, küçük ücret tamamen önemsizdir.
Son adım, kullanıcılardan finans kurumları için kimlik bilgilerini girmelerini istemekten oluşur. Kimlik avı sayfası dinamiktir ve daha önce girilen kart numarasına göre bir şablon oluşturur. Örneğin, burada bir VISA kartımız var ve ilgili banka JP Morgan:
MasterCard gibi farklı bir kart için, ilişkili kimlik avı sayfası şu şekildedir:
Kötü amaçlı reklamcılık için düşmek çok kolay
Güvenlik alanında, sıklıkla kullanıcı eğitimi ve öğretiminden bahseder ve tavsiye ederiz. Kötü amaçlı reklamcılık söz konusu olduğunda, farkındalık önemlidir, ancak eğitim ancak bir yere kadar gidebilir. Bu blog gönderisindeki örnek bunun nedenini gösteriyor: Kötü amaçlı reklamlar genellikle tamamen yasal görünüyor ve kullanıcıların herhangi bir suiistimali ayırt etmek için alan adları ve altyapı üzerinde sorgular çalıştırmasını bekleyemeyiz.
Marka kimliğine bürünme çok büyük bir sorundur ve bununla mücadele etmenin çözümü, arama motorlarının daha sıkı kontroller uygulamasıyla başlar. Yazılım indirme söz konusu olduğunda akla gelen çözümlerden biri, resmi indirme sayfası için bir yer tutucu ayırmak ve bir reklamın bu noktayı almasına asla izin vermemektir. Microsoft’un Bing’i bunu çoğunlukla oldukça iyi yaptı ve böyle bir politikanın milyonlarca kullanıcının güvenliği üzerinde ciddi bir etkisi olacaktır.
Malwarebytes gibi güvenlik sağlayıcıları, işletmeler ve tüketiciler için mevcut tarayıcı koruma araçları sayesinde kullanıcılarını korumaya devam edecek. Kötü amaçlı reklam öldürme zinciri, ilk reklamdan yüke (kötü amaçlı yazılım, kimlik avı veya dolandırıcılık) kadar kesintiye uğrayabilir. Yalnızca gerçek zamanlı korumaya sahip tam bir koruma paketi, bu kritik dağıtım noktalarını hedefleyebilir.
Bu olayı Google’a bildirdik ve Cloudflare, alanları zaten kimlik avı olarak işaretledi.
Uzlaşma Göstergeleri (IOC’ler)
logictrackngs[.]com
super-trackings[.]com
web-trackings[.]com
tracks4me[.]biz
forgetrackng[.]com
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE