Siber güvenlik araştırmacıları, Kara Cuma ve Siber Pazartesi alışveriş sezonunda tüketici ödeme bilgilerini toplamak ve yetkisiz finansal işlemleri yürütmek için kasıtlı olarak etkinleştirilen 2.000’den fazla sahte çevrimiçi vitrinden oluşan devasa bir ağı ortaya çıkardı.
Keşif, yüksek indirimler arayan tatil müşterilerini istismar etmek için ortak altyapıdan, otomatik şablonlardan ve marka kimliğine bürünme taktiklerinden yararlanan iki farklı ancak potansiyel olarak koordineli kimlik avı kümesini ortaya koyuyor.
İlk küme, Amazon temalı yazım hatası etrafında toplanmış 750’den fazla birbirine bağlı alandan oluşuyor ve hepsi tek tip tatil geri sayım afişleri, uydurma güven göstergeleri ve psikolojik aciliyet mesajları kullanıyor.
amaboxreturns gibi alan adları[.]com, amaznboxsaleus[.]com ve amazonreturnsbox[.]com, paylaşılan şüpheli bir CDN’de barındırılan aynı HTML flipclock tatil varlıklarını dağıtır (cdn.cloud360)[.]üstte) sahte Kara Cuma, Siber Pazartesi ve Noel indirimi ortamları oluşturmak için.
İkinci küme, daha geniş .shop alan adı ekosistemini kapsıyor ve Apple, Samsung, Dell, Cisco, HP, Logitech, Toshiba, Ray-Ban, Garmin, Shark, Seagate, Xiaomi ve Fujifilm dahil olmak üzere 30’dan fazla büyük tüketici markasını taklit eden siteleri kapsıyor.
Tatile özel banner’lara olanak tanıyan, diğer 750’den fazla alanı tanımlamak için kullanılan kaynağı da gösteren paylaşılan bir CSS yapısı.
Bu kümedeki en iyi 1000 alan adının analizi, birçok sitede tutarlı Kara Cuma model yapılarını ortaya çıkardı; bu da dolandırıcılıkla ilişkili aynı şablonun yaygın şekilde yeniden kullanıldığını gösteriyor.
Shell Web Siteleri Ödeme Hırsızlığına Olanak Sağlıyor
Bu sahte vitrinler, kurbanları PayPal ve ödeme kartı işlemlerini gerçekleştiren paravan satıcı web sitelerine yönlendirmeden önce, sahte ödeme sayfaları aracılığıyla tüm fatura ve kredi kartı ayrıntılarını ele geçiriyor.
Belgelenen durumlarda georgmat gibi alanlar[.]Çin merkezli Alibaba Cloud Computing aracılığıyla barındırılan ve Guangdong’u listeleyen kayıt ayrıntılarına sahip com.com, VirusTotal gibi güvenlik platformlarında işaretlenmeyen ödeme aracıları olarak hizmet ederek dolandırıcılık tespit olasılığını azaltır ve saldırganların yetkisiz işlemleri tamamlamasına olanak tanır.
Teknik analiz, her iki kampanyada da paylaşılan barındırma altyapısını ortaya çıkardı; bu altyapı, öncelikle Cloudflare’in içerik dağıtım ağını, kaynak IP adreslerini ve temel saldırgan altyapısını gizlemek için kullanıyor.
İlk kümenin WHOIS kayıt istatistikleri, DNSPod (203 alan adı), Gname.com (121 alan adı) ve Name.com (84 alan adı) aracılığıyla kaydedilen alan adlarını gösterir; çoğunluğu Kasım 2024 ile Mart 2025 arasında oluşturulmuş ve stratejik olarak tatil alışveriş sezonu için zamanlanmıştır.
İkinci küme, analiz edilen alan adlarının yaklaşık %70’inin ağırlıklı olarak Haziran ve Temmuz 2025’te Spaceship, Inc. aracılığıyla kaydedilmesiyle daha da fazla otomasyon sergiledi.
Gelişmiş Sosyal Mühendislik Taktikleri
Araştırmacılar, rastgele seçilmiş dosya adlarına rağmen binlerce .shop alanında aynı gövde içeriğine (SHA-256 hash: 095a3ebc77f4e46b3adda543b61d90b7d3f20b41532c07772edd31908d060bb2) sahip yinelenen JavaScript dosyaları tespit ederek, ek sahtekarlık sitelerinin ortaya çıkarılması için güvenilir bir imza sağladı.
Güvenlik uzmanları, alışveriş yapanları, ödeme bilgilerini girmeden önce alan adının orijinalliğini doğrulamaları, gerçekçi olmayan indirimler sunan yabancı perakendecilerden kaçınmaları ve URL’leri yazım hatası kalıplarına karşı incelemeleri konusunda uyarıyor.
Sahte mağazalar, güvenlik sertifikaları talep eden sahte güven rozetleri, sahte aciliyet yaratan geri sayım sayaçları, son zamanlarda yapılan sahte satın alımları gösteren açılır bildirimler ve “Acele Satın Alma” ve “Sıkı Envanter” gibi kıtlık mesajları dahil olmak üzere çok sayıda psikolojik manipülasyon tekniği kullanıyor.
Bu unsurlar, mağdurları sitelerin sahtekarlık niteliğini fark etmeden işlemleri tamamlamaya zorluyor.
Birçok alan adı, kayıt şirketleri ve barındırma sağlayıcıları tarafından kaldırılmış olsa da, birçoğu aktif olmaya devam ediyor ve bu da trafiğin yoğun olduğu tatil indirimi dönemlerinde tüketicilere yönelik devam eden riskin altını çiziyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.