Marriott International ve Microsoft müşterilerini hedef alan karmaşık bir “homoglif” kimlik avı kampanyası. Saldırganlar, “m” harfini “rn” (r + n) kombinasyonuyla değiştiren alan adları kaydederek, gerçekleriyle neredeyse aynı görünen sahte web siteleri oluşturuyor.
Yazım hatası veya homoglif saldırısı olarak bilinen bu teknik, modern yazı tiplerinin metni görüntüleme biçiminden yararlanır. Birçok yazı tipinde “r” ve “n” harfleri yan yana yer alır (rn) görsel olarak “m” harfinden ayırt edilemez görünüyor (m).
Bilgisayar korsanları, beyninizin hataları tespit etme yeteneğini atlatmak için bu görsel numaraya güveniyor. Gibi bir URL’ye hızlı bir şekilde baktığınızda rnarriottinternational.combeyniniz genellikle “Marriott” yazdığını varsayarak gördüklerini “otomatik olarak düzeltir”.
Son Kampanyalar Belirlendi
Marriott International Hedeflendi
Güvenlik firması Netcraft yakın zamanda otel devini taklit etmeye çalışan bir dizi kötü amaçlı alan adı tespit etti. Bu alan adları muhtemelen sadakat hesabı kimlik bilgilerini veya kişisel konuk verilerini çalmak için kullanılıyor.
- Tanımlanan birincil alan adı:
rnarriottinternational.com. - Saldırganlar ayrıca aşağıdaki gibi varyasyonları da kaydetti:
rnarriotthotels.combelirli otel markalarını hedeflemek.
Microsoft Kullanıcıları Ateş Altında
Güvenlik firması Anagram’ın CEO’su Harley Sugarman, Microsoft kullanıcılarını hedef alan benzer bir kampanyanın altını çizdi. Bu kampanyadaki kimlik avı e-postaları etki alanını kullanıyor rnicrosoft.com sahte güvenlik uyarıları veya fatura bildirimleri göndermek için.
- Bu e-postalar resmi Microsoft logosunu, tonunu ve düzenini taklit eder.
- Saldırı, özellikle küçük ekranların “rn” ve “m” farkını görmeyi neredeyse imkansız hale getirdiği mobil cihazlarda tehlikelidir.
Uzlaşma Göstergeleri (IOC’ler)
Aşağıdaki alan adları kötü amaçlı olarak işaretlendi. Güvenlik ekipleri bunları derhal engellemeli ve kullanıcılar kendilerine yönlendiren bağlantılara karşı dikkatli olmalıdır.
| Kimlik avı alanı | Kimliğe bürünülmüş hizmet | Typosquatting Tekniği | Tespit Zorluğu |
|---|---|---|---|
rnarriottinternational.com | Marriott Uluslararası | ‘m’, ‘rn’ ile değiştirildi | Kritik |
rnarriotthotels.com | Marriott Otelleri | ‘m’, ‘rn’ ile değiştirildi | Kritik |
rnicrosoft.com | Microsoft 365 / Giriş | ‘m’, ‘rn’ ile değiştirildi | Yüksek (Mobil) |
micros0ft.com | Microsoft | ‘o’ ‘0’ ile değiştirildi | Orta |
microsoft-support.com | Microsoft Desteği | Tireleme / Sonek | Düşük |
Nasıl Güvende Kalınır?
- Gönderen Adresini Genişletin: Mobil e-posta uygulamalarında tam e-posta adresini görmek için gönderenin adına dokunun. “rn” numarasına yakından bakın.
- Tıklamadan Önce Fareyle Üzerine Gelin: Bilgisayarda, gerçek hedef URL’yi görmek için fare imlecinizi tıklamadan bağlantıların üzerine getirin.
- Manuel Giriş: Bir otel rezervasyonu veya hesabınızın sıfırlanmasıyla ilgili acil bir e-posta alırsanız bağlantıya tıklamayın. Bir tarayıcı açın ve yazın
marriott.comveyamicrosoft.comkendin. - Şifre Yöneticilerini Kullanın: Bir şifre yöneticisi, aşağıdaki gibi sahte bir sitede kimlik bilgilerinizi otomatik olarak doldurmaz:
rnicrosoft.comçünkü etki alanının gerçek olandan farklı olduğunu kabul eder.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
