Sosyal mühendisliği gelişmiş kimlik bilgisi hırsızlığı teknikleriyle birleştiren, Calendly temalı e-postalarla iş profesyonellerini hedef alan karmaşık bir kimlik avı kampanyası ortaya çıktı.
Saldırı, özellikle Google Workspace ve Facebook Business hesaplarına odaklanıyor ve dikkatle hazırlanmış iş fırsatlarını kullanarak kullanıcıları giriş bilgilerini paylaşmaları için kandırıyor.
Kampanya, bir müşterinin lüks ürünler grubu LVMH’den bir işe alım uzmanının kimliğine bürünen son derece ikna edici bir e-posta almasıyla başladı.
.webp)
E-posta, alıcının profesyonel başarılarını övdü ve LVMH’nin dijital performans ekibinde ümit verici bir iş fırsatı sundu.
Mesajın gerçek olduğu ortaya çıktı çünkü kurbanın iş deneyimiyle ilgili kişisel ayrıntılar içeriyordu ve şirkette İK yöneticisi olduğunu iddia eden biri tarafından imzalanmıştı.
Saldırganın, bu bilgileri LinkedIn gibi halka açık kaynaklardan toplamak ve kişiselleştirmek için muhtemelen yapay zekayı kullandığı düşünülüyor.
Push Security güvenlik analistleri, saldırının birden fazla çeşidi ve markayı kapsayan çok daha büyük bir kampanyanın parçası olduğunu keşfettikten sonra kötü amaçlı yazılımı tespit etti.
Araştırmacılar, saldırı altyapısının tamamında yer alan gelişmiş sosyal mühendislik taktiklerini ve tespitten kaçınma tekniklerini fark etti.
Kimlik Bilgisi Hırsızlığı Nasıl Çalışır?
Saldırı, e-posta güvenlik filtrelerini atlamak için tasarlanmış çok aşamalı bir dağıtım yöntemi kullanıyor.
İlk e-postada alıcının bu fırsatla ilgilenip ilgilenmediği soruluyor ve saldırgan ancak yanıt verdikten sonra Calendly planlama bağlantısı olarak gizlenmiş kötü amaçlı bir bağlantı içeren bir takip mesajı gönderiyor.
Bu aşamalı yaklaşım, kimlik avı e-postasının, genellikle şüpheli bağlantılara sahip mesajları işaretleyen içerik tarama araçlarından kaçmasına yardımcı olur.
Kurbanlar bağlantıya tıkladıklarında, meşru hizmetle neredeyse aynı görünen, ikna edici, sahte bir Calendly sayfasına yönlendiriliyorlar.
CAPTCHA doğrulamasını tamamladıktan sonra “Google ile Devam Et” seçeneğini tıklamak, kullanıcıları Ortadaki Saldırgan (AiTM) kimlik avı sayfasına yönlendirir.
.webp)
Bu sayfa, Google’ın giriş arayüzünü taklit eder ancak meşru görünmesi için özel olarak Calendly öğeleriyle markalanmıştır.
Kimlik avı altyapısı, yetkisiz e-posta etki alanlarının sayfaya erişmesini engelleyen akıllı doğrulama mekanizmaları içerir.
.webp)
Yalnızca hedeflenen kurbanın kuruluş alanıyla eşleşen e-postalar şifre giriş alanına ilerleyebilir.
Araştırmacılar ayrıca, VPN veya proxy bağlantılarından yapılan incelemeleri önleyen IP engelleme ve geliştirici araçları açıldığında tetiklenen erişim kısıtlamaları gibi gelişmiş anti-analiz özelliklerini de keşfetti.
.webp)
Bu korumalar, saldırganların güvenlik araştırmacılarının ve otomatik analiz araçlarının önünde kalmak için aktif olarak çalıştıklarını gösteriyor.
Saldırı, iki yıl önceki başlangıcından bu yana önemli ölçüde gelişti; saldırganlar sürekli olarak taktiklerini geliştiriyor ve operasyonel etkinliği sürdürmek için yeni tespitten kaçınma yöntemleri sunuyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
