Büyük bir kimlik avı kampanyası, ödeme kartı bilgilerini çalmak için 4.300’den fazla sahte alan adı kullanarak dünya çapındaki gezginleri hedef alıyor.
Operasyon, güvenilir seyahat şirketlerinden geliyormuş gibi görünen sahte rezervasyon onay e-postaları göndererek tatil planlayan veya otellere giriş yapmak üzere olan kişilere odaklanıyor.
Saldırganlar, gerçek otel rezervasyon sayfalarına benzeyen, tanıdık logolar ve profesyonel tasarımlarla tamamlanan bir web siteleri ağı oluşturarak bunların dolandırıcılık olarak tespit edilmesini zorlaştırıyor.
Kampanya, kurbanlara e-posta yoluyla gönderilen bağlantılara uyum sağlayan, iyi oluşturulmuş bir kimlik avı kiti kullanıyor. Birisi sahte e-postadaki bir bağlantıya tıkladığında, tarayıcısı kimlik avı sayfasına gelmeden önce çeşitli web sitelerine yönlendiriliyor.
E-postalar, iptali önlemek için otel rezervasyonunun 24 saat içinde onaylanması gerektiğini iddia ediyor ve mağdurları ayrıntıları dikkatlice kontrol etmeden hızlı hareket etmeye iten bir aciliyet duygusu yaratıyor.
Sahte sayfalar, meşru görünmek için logolarını ve tasarım öğelerini kullanarak Airbnb, Booking.com, Expedia ve agoda gibi büyük seyahat markalarını taklit ediyor.
.webp)
Netcraft güvenlik araştırmacıları, kimlik avı kitinin kaynak kodunda bulunan kapsamlı Rusça yorumlara dayanarak, bu kampanyanın arkasındaki tehdit aktörünün Rusça konuştuğunu belirledi.
Operasyon Şubat 2025’te başladı ve saldırganın neredeyse her gün yeni alan adlarını kaydetmesiyle istikrarlı bir şekilde büyüdü. Dikkate değer bir artış, 20 Mart 2025’te tek bir günde 511 alan adının kaydedilmesiyle meydana geldi.
Alan adları, adlarında görünen “onay”, “rezervasyon”, “misafir doğrulama”, “kart doğrulama” veya “rezervasyon” gibi ifadelerle tutarlı kalıpları takip eder ve genellikle rastgele sayılarla birleştirilir.
Saldırgan öncelikle dört alan adı kayıt şirketi kullanıyor: WebNIC, Public Domain Registry, Atak Domain Bilgi Teknolojileri AS ve MAT BAO Corporation.
Yüzlerce alan adı, dünyanın dört bir yanından belirli lüks ve butik otellere atıfta bulunarak, dolandırıcılığın potansiyel kurbanlar için daha hedefli ve ikna edici görünmesini sağlıyor.
Yönlendirme Zinciri ve Enfeksiyon Mekanizması
Kimlik avı saldırısı, izlenmesini ve engellenmesini zorlaştıran karmaşık bir yönlendirme sistemine dayanır.
Kurbanlar sahte e-postadaki “Rezervasyonu Onayla” düğmesini tıkladıklarında doğrudan kimlik avı sitesine gitmiyorlar.
Bunun yerine, bağlantı onları ilk olarak 2016 yılında bir film tanıtımı için kaydedilen eski, kullanılmayan bir web sitesi alanına gönderiyor. Bu site daha sonra Google’ın ücretsiz blog platformu olan Blogspot’taki bir sayfaya yönlendirir ve bu sayfa da sonunda gerçek kimlik avı sayfasına yönlendirir.
Bu çok adımlı yeniden yönlendirme zinciri çeşitli amaçlara hizmet eder. Saldırganların, kötü amaçlı sitelere doğrudan bağlantıları işaretleyebilecek güvenlik sistemleri tarafından tespit edilmesini önlemelerine yardımcı olur.
Blogspot gibi meşru platformların kullanılması, ara URL’nin iyi bilinen bir hizmette görünmesi nedeniyle bir güven katmanı ekler. Zincir aynı zamanda güvenlik araştırmacılarının nihai hedefi bulmasını ve operasyonu durdurmasını da zorlaştırıyor.
.webp)
Kurbanlar kimlik avı sayfasına ulaştıklarında meşru bir otel rezervasyon onay formu gibi görünen bir form görüyorlar.
Sayfada, gerçekte çalışmayan ancak sahte güven oluşturmak için Cloudflare markasını kullanan sahte bir Cloudflare CAPTCHA görüntüleniyor.
Bu sahte güvenlik kontrolünü geçtikten sonra kurbanlardan kart sahibinin adı, kart numarası, CVV kodu ve son kullanma tarihi dahil olmak üzere ödeme kartı bilgilerini girmeleri isteniyor.
Sayfa, arka planda sahte bir işlem gerçekleştirmeye çalışmadan önce kart numarası formatının doğru olup olmadığını kontrol etmek için Luhn doğrulaması gerçekleştirir.
Bu gerçekleşirken, kurbanlara bankalarından gelen SMS bildirimlerini onaylamalarını söyleyen otomatik mesajların yer aldığı sahte bir destek sohbet penceresi beliriyor; bunlar aslında saldırganların denediği yetkisiz ödemeler tarafından tetiklenen gerçek dolandırıcılık uyarılarıdır.
Kimlik avı kiti, 43 farklı dil desteği ve kullanıcı tuş vuruşlarını yaklaşık saniyede bir kez saldırganın sunucusuna geri gönderen gerçek zamanlı yoklama gibi gelişmiş özellikler içerir.
Sayfalar, URL’de hangi seyahat markasının kimliğine bürünüleceğini belirleyen “AD_CODE” adı verilen benzersiz bir tanımlayıcı kullanır ve farklı kodlar aynı alanda farklı markalama oluşturur.
Bu, saldırganların aynı altyapıyı kullanarak aynı anda birden fazla kampanya yürütmesine, her kurban için özelleştirilmiş sayfalarla farklı markaları ve otelleri hedeflemesine olanak tanır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
