Siber güvenlik araştırmacıları, Ekim 2024’ten bu yana ABD’deki ücretli yol kullanıcılarını finansal hırsızlık için hedefleyen “yaygın ve devam eden” SMS kimlik avı kampanyasını uyarıyorlar.
Cisco Talos araştırmacıları Azim Khodjibaev, Chetan Raghuprasad ve Joey Chen, “Ücretli yol sminging saldırıları, ‘Wang Duo Yu’ tarafından geliştirilen smaçlama kitini kullanan finansal olarak motive edilmiş birçok tehdit aktörü tarafından yürütülüyor.
Kimlik avı kampanyaları, şirkete göre, ABD’nin E-ZPass gibi elektronik ücretli toplama sistemlerini taklit ediyor, Washington, Florida, Pennsylvania, Virginia, Teksas, Ohio, Illinois ve Kansas’taki bireylere ücretsiz bir ücret hakkında ve sohbete gönderilen sahte bir bağlantıya tıklamak.
Ücretli kimlik avı kampanyasının bazı yönlerinin daha önce Ocak 2025’te güvenlik gazetecisi Brian Krebs tarafından vurgulandığını ve Telegram’da ilan edilen Lighthouse adlı Çin tabanlı bir SMS kimlik avı hizmetine kadar izlenen aktivite ile vurgulanmaya değer.
Apple iMessage, bilinmeyen gönderenlerden alınan mesajlardaki bağlantıları otomatik olarak devre dışı bırakırken, Smingsing metinleri alıcıları bağlantıyı etkinleştirmek için “Y” ile yanıt vermeye çağırıyor – Darcula ve Xiū Gǒu gibi kimlik avı kitlerinde gözlenen bir taktik.
Kurban bağlantıyı tıklarsa ve etki alanını ziyaret ederse, sahte bir görüntü tabanlı captcha mücadelesini çözmeleri istenir, daha sonra sahte bir e-zpass sayfasına (örneğin, “EZP-VA’ya yönlendirilirler[.lcom” or “e-zpass[.]com-etcjr[.]Xin “) faturaya erişmek için adlarını ve posta kodlarını girmeleri istenir.
Daha sonra hedeflerden, başka bir hileli sayfada ödemeyi yapmak için daha fazla ilerlemesi istenir, bu noktada girilen tüm kişisel ve finansal bilgiler tehdit aktörlerine sifonlanır.
Talos, birden fazla tehdit aktörünün Wang Duo Yu tarafından geliştirilen bir kimlik avı kitinden yararlanarak ücretli yol açma kampanyalarını işlettiğini ve Smishing Triad olarak bilinen başka bir Çin organize siber suç grubu tarafından benzer sminging kitlerinin kullanıldığını gözlemlediğini belirtti.
İlginç bir şekilde, Wang Duo Yu’nun güvenlik araştırmacısı Grant Smith’e göre Triad’ın smacağı tarafından kullanılan kimlik avı kitlerinin yaratıcısı olduğu iddia ediliyor. Smith, Ağustos 2024’te kapsamlı bir analizde, “Yaradan Çin’de mevcut bir bilgisayar bilimi öğrencisi, yanda oldukça kuruş yapmak için öğrendiği becerileri kullanıyor.”
Smishing Triad, en az 121 ülkede posta hizmetlerini hedefleyen büyük ölçekli sminging saldırıları yürütmekle bilinir, mesaj alıcılarını yeniden işleme için sözde bir hizmet ücreti kapsamında kişisel ve finansal bilgileri talep eden sahte bağlantıları tıklamaya tıklamak için başarısız paket teslimat yemini kullanır.
Ayrıca, bu kitleri kullanan tehdit aktörleri, kurbanların kart detaylarını mobil bir cüzdana kaydetmeye çalıştılar ve Ghost Tap olarak bilinen bir teknik kullanarak fonlarını ölçekte daha fazla para kazanmalarına izin verdiler.
Kimlik avı kitlerinin, yakalanan kredi/banka kartı bilgilerinin de çift hırsızlık olarak bilinen bir teknik olan içerik oluşturuculara eklenmesi nedeniyle geri yüklendiği bulunmuştur.
Talos, “Wang ikilisi Yu, belirli bir smaçma kitleri hazırladı ve tasarladı ve bu kitlere telgraf kanallarında erişim satıyor.” Dedi. “Kitler, tam özellikli bir geliştirme için her biri 50 ABD doları, vekil geliştirme (müşteri kişisel alan ve sunucu olduğunda), her biri sürüm güncellemeleri için 20 $ ve diğer tüm çeşitli destekler için 20 $ olarak fiyatlandırılan farklı altyapı seçenekleriyle mevcuttur.”
Mart 2025 itibariyle, e-suç grubunun çabalarını, Silent Push’a göre, Avustralya ve Asya-Pasifik bölgesindeki bankalardan ve finansal kuruluşlardan gelen kimlik bilgilerini hasat etmeye yönelik yeni bir deniz feneri kimlik avı kitine odakladığına inanılıyor.
Tehdit aktörleri ayrıca, kimlik avı kitiyle ilişkili sahtekarlık ve nakit çıkış planlarının çeşitli yönlerini desteklemek için “dünya çapında 300’den fazla ön büro personeline” sahip olduklarını iddia ediyor.
Şirket, “Sminging Triad, kimlik avı kitlerini telgraf ve muhtemelen diğer kanallar aracılığıyla kötü niyetli bir şekilde hizalanmış diğer tehdit aktörlerine satıyor.” Dedi. “Bu satışlar kitleri herhangi bir alt gruba atfetmeyi zorlaştırıyor, bu nedenle sitelerin hepsi burada Smishing Triad şemsiyesi altında atfediliyor.”
Geçen ay yayınlanan bir raporda Prodaft, Lighthouse’un taktiksel örtüşmeyi Lucid ve Darcula gibi kimlik avı kitleriyle paylaştığını ve Lucid Kit’in arkasındaki siber suç grubu Xinxin Grubu’ndan bağımsız olarak çalıştığını açıkladı. İsviçre siber güvenlik şirketi Wang ikilisi Yu’yu (aka Lao Wang) Larva-241 olarak izliyor.
Protaft, “Lucid ve Darcula panelleri kullanılarak yapılan saldırıların analizi, deniz fenerinin (Lao Wang / Wang Duo Yu), hedefleme, açılış sayfaları ve alan yaratma kalıpları açısından Xinxin Grubu ile önemli benzerlikler paylaştığını ortaya koydu.”
2023’te Smishing Triad’ı ilk belgeleyen ve aynı zamanda aldatmaca geçiş kampanyalarını izleyen siber güvenlik şirketi Reserce, Smishing Syndicate’in 60.000’den fazla alan adı kullandığını ve Apple ve Google’ın hileli etkinliği etkili bir şekilde engellemesini zorlaştırdığını söyledi.
Resecurity, “Yeraltı toplu SMS hizmetlerini kullanmak, siber suçluların operasyonlarını ölçeklendirmelerini sağlayarak milyonlarca kullanıcıyı aynı anda hedefliyor.” Dedi. “Bu hizmetler, saldırganların binlerce veya milyonlarca hileli IM mesajını verimli bir şekilde göndermelerine izin verir, kullanıcıları ayrı ayrı hedefler veya çeşitli bölgelerdeki belirli demografik özelliklere dayanan kullanıcı grupları.”