PNB MetLife sigorta müşterilerini hedef alan karmaşık bir kimlik avı kampanyası ortaya çıktı ve kurbanları, kişisel bilgileri çalan ve onları sahte UPI işlemlerine yönlendiren sahte ödeme ağ geçidi sayfaları aracılığıyla aldattı.
Dolandırıcılık, meşru premium ödeme hizmetlerini taklit eden, mobil cihazlar için optimize edilmiş ikna edici ödeme portalları oluşturarak PNB MetLife’ın güvenilir itibarından yararlanıyor.
Bu kötü amaçlı sayfalar, herhangi bir doğrulama olmaksızın politika numaralarını ve müşteri ayrıntılarını kabul ederek, yakalanan verileri otomatik kanallar aracılığıyla anında saldırganlara iletir.
Kimlik avı operasyonu öncelikle SMS mesajları yoluyla yayılıyor, ancak e-posta ve sosyal medya platformları da dağıtım kanalı olarak hizmet edebiliyor.
Kurbanlar bu sahte ödeme ağ geçitlerine ulaştıklarında isim, poliçe numarası ve cep telefonu numarası gibi temel bilgileri talep eden, profesyonelce tasarlanmış arayüzlerle karşılaşıyorlar.
Sayfalar, mağdurları hileli ödeme akışına dahil ederken meşruiyet yanılsamasını sürdürmek için keyfi değerleri kabul ederek arka uç doğrulamasından kasıtlı olarak kaçınıyor.
Güvenlik araştırmacısı Anurag Gawande, tehdit avlama faaliyetlerini yürütürken bu kimlik avı planının birden fazla çeşidini tespit etti. Araştırması, saldırganların bu sayfaları, başta EdgeOne Pages olmak üzere ücretsiz barındırma platformlarına dağıtarak, kötü amaçlı sitelerin hızlı dağıtımını ve rotasyonunu mümkün kıldığını ortaya çıkardı.
Kampanya, basit kimlik bilgileri hırsızlığının ötesinde, veri sızdırmayı doğrudan ödeme manipülasyonuyla birleştiren çok aşamalı operasyonlara doğru ilerleyerek finansal dolandırıcılık taktiklerinde açık bir evrimi ortaya koyuyor.
Saldırı zararsız bir şekilde başlıyor ancak mağdurlar görünürde meşru ödeme adımlarını uyguladıkça hızla artıyor. İlk ayrıntılar yakalandıktan sonra kimlik avı sayfası, UPI tabanlı ödeme mekanizmalarını uygulamaya koymadan önce ödeme tutarı toplama aşamasına geçer.
Bu kademeli ilerleme, şüphelenmeyen müşterilerden sistematik olarak farklı bilgi katmanları toplarken sahte güven de oluşturur.
Bu tehdidi özellikle tehlikeli kılan şey, sahte işlemleri tamamlamak için gerçek ödeme uygulamalarını kullanmasıdır.
Bu plan, yalnızca sahte ödeme işlemcilerine güvenmek yerine PhonePe, Paytm ve Google Pay gibi meşru UPI uygulamalarından yararlanarak kurban şüphesini önemli ölçüde azaltırken başarılı mali hırsızlık olasılığını da artırıyor.
Telegram Altyapısı Yoluyla Gizli Veri Hırsızlığı
Gösterişli arayüzün arkasında Telegram Bot API tarafından desteklenen gelişmiş bir veri filtreleme mekanizması yatıyor.
Kurbanlar bilgilerini gönderdiğinde, kimlik avı sayfası yakalanan ayrıntıları herhangi bir yasal ödeme arka ucu yerine sessizce doğrudan saldırganın kontrolündeki Telegram kanallarına iletir.
Bu gerçek zamanlı veri hırsızlığı, sayfanın JavaScript koduna gömülü sabit kodlu bot belirteçleri ve sohbet kimlikleri ile görünmez bir şekilde gerçekleşir.
.webp)
Kimlik avı altyapısına ilişkin soruşturma, dolandırıcılığı koordine eden çok sayıda Telegram botunu ve operatör hesabını ortaya çıkardı.
“pnbmetlifesbot” ve “goldenxspy_bot” adlı botlar kurbanların gönderimlerini toplarken, “darkdevil_pnb” ve “prabhatspy” gibi hesaplar çalınan bilgileri izliyor ve alıyor.
Çalınan veriler arasında isimler, poliçe numaraları ve cep telefonu numaraları yer alıyor ve kurbanlar her form alanını doldurduğunda anında iletiliyor.
İlk veri yakalandıktan sonra sayfa, herhangi bir politika doğrulaması yapmadan ödeme tutarlarını talep eder ve bu bilgiyi aynı Telegram kanallarına iletmeden önce girilen her türlü değeri kabul eder.
.webp)
Kimlik avı akışı daha sonra geri sayım sayaçları ve QR kodu ekranları aracılığıyla aciliyet sağlayarak kurbanlara UPI ödemelerini hızlı bir şekilde tamamlamaları için baskı yapıyor.
JavaScript, UPI ödeme URI’lerini dinamik olarak oluşturarak bunları, fonları saldırganın kontrolündeki hesaplara yönlendiren taranabilir QR kodları haline getirir.
Daha da endişe verici olanı, kurbanların ödeme uygulaması düğmelerini seçtiğinde kullanılan pano kötüye kullanma tekniğidir.
PhonePe veya Paytm düğmelerine tıklamak, meşru ödeme uygulamasına yönlendirilmeden önce sahte UPI kimliğini sessizce cihaz panosuna kopyalar ve kurbanlar QR kodunu görmezden gelse bile saldırganın ödeme ayrıntılarının yapıştırılmaya hazır olmasını sağlar.
.webp)
Bu kimlik avı kampanyasının gelişmiş çeşitleri, basit ödeme sahtekarlığının ötesine geçerek kapsamlı bankacılık kimlik bilgileri toplamaya doğru ilerliyor.
Bu gelişmiş şablonlar, meşru poliçe hizmeti yanılsaması yaratan “Tutar Güncelle”, “Tutarınızı İade Edin” ve “Otomatik Borç Sistemi Ekle” dahil olmak üzere çok sayıda seçenek sunar.
Kurbanlar bu seçenekleri seçtiklerinde, sonunda kart numaraları, son kullanma tarihleri ve CVV kodları da dahil olmak üzere banka hesabı ayrıntılarının ve banka kartı bilgilerinin tamamının talep edildiği sayfalarla karşılaşıyorlar.
Gönderilen tüm mali kimlik bilgileri aynı Telegram altyapısı üzerinden sızdırılıyor ve bu da operasyonu ödeme dolandırıcılığından tam ölçekli kimlik ve mali veri hırsızlığına dönüştürüyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
