Bilgisayar korsanları, en son saldırıda kullanıcı giriş bilgilerini çalmak için Sendgrid’den istismar

Cofense Phishing Savunma Merkezi’ndeki (PDC) siber güvenlik araştırmacıları, kimlik bilgisi e-posta hizmeti SendGrid’den phishing e-postalarını dağıtmak için saygın bulut tabanlı e-posta hizmeti Sendgrid’den yararlanan yeni bir hasat saldırılarında yeni bir artış ortaya çıkardılar.

Saldırganlar, standart e -posta güvenlik ağ geçitlerinden kaçan mesajlar yapmak için SendGrid’in işlemsel ve pazarlama iletişimi için yaygın olarak kullanılan güvenilir durumunu kullanıyor.

Gönderen adreslerini taklit ederek ve meşru sendgrid bildirimlerini taklit ederek, bu tehdit aktörleri, otantik uyarılar olarak gizlenmiş kimlik avı yükleri sunar ve kullanıcı kimlik bilgilerinden ödün vermedeki başarı oranlarını önemli ölçüde artırırlar.

Gelişmiş kimlik avı kampanyası

Kampanya, her biri aciliyet, merak ve açgözlülük gibi psikolojik tetikleyicilerden yararlanmak için tasarlanmış üç farklı e -posta teması kullanıyor.

İlk varyant, cilalı markalaşma, doğru boyutlu logolar ve sahte bir IP adresinden ve konumdan imal edilmiş şüpheli giriş denemesi ile tamamlanan bir “yeni oturum açma konumu” nın bir konu satırı uyarısına sahiptir.

Alıcılara “Bu sizseniz, başka bir işlem gerekmez” gibi ifadelerle güvence verir, “Bu bağlantıyı tıklayarak erişim” etiketli kötü niyetli bir bağlantıya tıklamadan önce savunmaları ustaca düşürür.

Açık bir yönlendirme mekanizmasına gömülü olan bu bağlantı, kullanıcıları kimlik bilgisi hırsızlığı için tasarlanmış sahte bir Sendgrid oturum açma portalına huniler.

Benzer sahte tekniklere dayanan ikinci e -posta, kurbanları, özel avantajların cazibesinden yararlanan, premium faydalar içeren bir “elit katman” a ücretsiz yükseltme vaatleriyle ikna ediyor.

Vücut, kimlik avı sitesinin gerçek doğasını maskelemek için açık yönlendirmeleri tekrar kullanan zararlı bağlantıyı içeren bir “seçkin kademe faydaları aktive” istemiyle sonuçlanır.

Üçüncü tema, kullanıcının telefon numarasında yetkisiz bir değişiklik talep ederek paniğe yükselir ve aynı kimlik bilgisi hasat alanına yönlendiren bir “erişim hesabı ayarları” bağlantısı aracılığıyla derhal işlem yapmaya çağırır.

Açık yönlendirmelerin sömürülmesi

Bu saldırı zincirinin özünde, URL6849 gibi alanlarda gözlemlenenler gibi açık yönlendirme güvenlik açıkları istismar ediliyor[.]DestinpropertyExpert[.]com/ls/click?, keyfi URL’leri parametre olarak kabul eden ve buna göre yönlendiren.

Bu taktik, trafiği meşru olarak gizlerken tespit ve güvenlik kontrollerini atlayarak güvenilir alanların arkasındaki kötü niyetli hedefleri gizler.

Bu bağlantıları tıklayan kurbanlar, hxxps: // loginportalsg gibi kimlik avı sayfalarına arazi[.]com, bu Sendgrid’in arayüzünü titizlikle çoğaltır, ancak saldırgan kontrollü alanlar altında çalışır.

Anahtar kırmızı bayraklar, kullanıcıların kimlik bilgilerini girmeden önce incelemeleri gereken resmi olmayan URL’leri içerir.

Bu kimlik avı e -postaları, e -posta takma ad sahte bir şekilde birleştirerek gelişmiş sosyal mühendislik, tematik varyasyon ve duygusal manipülasyonu hassas bilgileri hasat etmek için birleştirir.

Rapora göre, PDC bu tür kampanyaların veri ihlalleri, itibar hasarı ve işletmeler için operasyonel aksamalar risklerini artırdığını vurgulamaktadır.

Azaltmak için kuruluşlar, sağlam e-posta filtreleme, URL’leri doğrulama konusunda kullanıcı farkındalık eğitimi ve çok faktörlü kimlik doğrulama uygulamalıdır. Bir demoyu cofense ile planlamak, gerçek dünyadaki tehdit tespiti ve savunma stratejileri hakkında daha derin bilgiler sağlayabilir.

Uzlaşma Göstergeleri (IOCS)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!