Tatil öncesi kaotik telaştan yararlanmak için küstahça bir girişimde bulunan Microsoft Security, Şükran Günü Arifesinde başlatılan büyük ölçekli bir kimlik avı kampanyasını tespit etti ve ortadan kaldırdı.
Storm-0900 olarak takip edilen bir tehdit aktörü tarafından gerçekleştirilen saldırı, alıcıları panikletmek veya tehlikeye atılmış bağlantıları tıklamaları için kandırmak amacıyla tasarlanmış on binlerce kötü amaçlı e-postanın ABD genelindeki gelen kutularına akın etmesine neden oldu.
26 Kasım’da yükselişe geçen kampanya, özellikle Şükran Günü tatiliyle ilgili dikkat dağıtıcı unsurları silah haline getirdi.
Saldırganlar, acil park ihlalleri ve zamana duyarlı tıbbi sonuçlar gibi temalardan yararlanarak, çoğu kişinin işini tamamladığı, seyahat ettiği veya aile toplantılarına hazırlandığı bir dönemde kullanıcıları hazırlıksız yakalamayı amaçladı.
Yemlerin Anatomisi
Ele geçirilen e-postaların analizi, hem kişisel kaygıyı hem de idari aciliyeti hedef alan karmaşık ve çatallı bir stratejiyi ortaya koyuyor.
Saldırının bir çeşidi dost canlısı ama endişeli bir komşu gibi davrandı. Konusu sıradan bir aciliyet ifadesiyle yazılan e-posta, gönderenin arabasında muhtemelen alıcıya ait olan bir park cezası bulduğunu iddia ediyordu.
Mesajda “Muhtemelen sizinki olan bir park cezası aldık, plakalarımız gerçekten benzer” yazıyordu. “Bilet” etiketli kötü amaçlı bir bağlantı içeriyordu ve “Şükran Gününüz Kutlu Olsun! iPhone’umdan gönderildi” mesajıyla sona erdi.
Bu “komşu sahtekarlığı” taktiği toplumsal baskıya dayanıyor; Alıcı, komşusuyla olası bir yanlış anlaşılmayı çözmeye ve para cezasından kaçınmaya mecbur hissediyor ve bu da şüphelerini azaltıyor.
İkinci varyasyon daha resmi, kurumsal bir tonu benimsedi. Tıbbi hizmet sağlayıcısı görünümüne bürünen bu e-postalar, alıcılara “INR test raporunun” ekteki bağlantıda mevcut olduğu bilgisini veriyordu.
Hemen tıklama baskısını artırmak için mesajda, “Şükran Günü kutlamaları nedeniyle 28 Kasım Perşembe günü kapalıyız” ifadesi yer alıyordu; bu da sonucun şimdi kontrol edilmemesinin tatil hafta sonu boyunca uzun bir gecikmeye yol açacağını ima ediyordu.
INR testleri (Uluslararası Normalleştirilmiş Oran), kanın pıhtılaşmasının ne kadar sürdüğünü ölçer ve kan inceltici kullanan hastalar için kritik öneme sahiptir; bu, bu yemi özellikle sağlıkları konusunda endişe duyan savunmasız bireyler için yırtıcı hale getirir.
Güvenlik analistleri Storm-0900 saldırısının zamanlamasının tesadüfi olmadığını belirtiyor. Saldırıyı bilen bir siber güvenlik araştırmacısı, “Şükran Günü Arifesi tarihsel olarak dijital iletişim için trafiğin yoğun olduğu bir dönemdir” dedi.
“İnsanların dikkati dağılıyor, seyahat ederken mobil cihazlarda e-postalarını kontrol ediyorlar ve psikolojik olarak tatil tatilinden önce ‘yapılacaklar’ listelerini temizlemeye hazırlanıyorlar.
Saldırganlar, park cezası veya tıbbi sonuçla ilgili bir mesajın muhtemelen anında duygusal bir tıklama tepkisini tetikleyeceğini biliyor.”
Azaltmalar
Microsoft’un savunma sistemleri trafikteki artışı başarıyla tespit etti ve kampanyayı gerçek zamanlı olarak kesintiye uğrattı. Teknoloji devinden yapılan açıklamaya göre, hafifletme çok katmanlı bir savunma stratejisini içeriyordu:
- E-posta Filtreleme: Belirli dil kalıpları ve gönderenin itibarı işaretlendi ve bu e-postalardan binlercesinin doğrudan karantinaya gönderilmesiyle sonuçlandı.
- Uç Nokta Koruması: Microsoft Defender sistemleri, bağlantılarla ilişkili kötü amaçlı yükleri tanıyacak şekilde güncellendi.
- Altyapının Kaldırılması: Microsoft, saldırganın komuta ve kontrol altyapısını önleyici olarak engellemek için tehdit istihbaratından yararlandı ve kurbanlarla bilgisayar korsanları arasındaki bağlantıyı etkili bir şekilde kesti.
Bu özel dalga etkisiz hale getirilirken uzmanlar Storm-0900’ün aktif kaldığı konusunda uyarıyor. Kullanıcıların, acil eylem gerektiren veya beklenmedik bağlantılar sunan istenmeyen e-postalara, özellikle de kötü biçimlendirmeyi veya kısalığı mazur göstermek için “mobil cihazımdan gönderildi” imzalarını kullanan e-postalara karşı dikkatli olmaları tavsiye edilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.