Güvenlik araştırmacıları, sadece Amerika Birleşik Devletleri’nde 115 milyona kadar ödeme kartını tehlikeye atarak dijital cüzdan tokenizasyonundan yararlanan smishing saldırılarını düzenleyen Çince konuşan siber suçluların son derece gelişmiş bir ağını ortaya çıkardılar.
Ağustos 2023’ten bu yana önemli ölçüde gelişen bu işlemler, hizmet olarak kimlik avı (PaaS) platformlarından kimlik bilgilerini hasat etmek ve çok faktörlü kimlik doğrulama (MFA) mekanizmalarından yararlanarak, çalınan kart verilerini Apple Pay ve Google cüzdanı gibi tokenize varlıklara dönüştürür.
Smishing operasyonları dijital cüzdanları hedef
Geleneksel kart-mevcut olmayan (CNP) sahtekarlığın aksine, bu yöntem, saldırgan kontrollü cihazlara kartları sağlayarak, sorunsuz temassız ödemeler, çevrimiçi işlemler ve hatta doğrudan kart kullanım desenlerini tetikleyen küresel parasallık için NFC röle saldırılarını sağlayarak eski sahtekarlık algılama sistemlerini atlatır.
“Lao Wang” (Alias Wang Duo Yu) gibi aktörlerin liderliğindeki sendikalar, güvenlik satıcılarından ve TOR ağlarından algılamadan kaçınmak için coğrafi olarak, mobil kullanıcı-ajanı icra ve IP engelleme içeren esnek kimlik avı kitleri geliştirdi.
SMS, IMESSAGE veya RCS mesajları aracılığıyla ilk cazibeler, USPS veya Ücret ödemeleri gibi hizmetleri taklit ederek, kurbanlara kişisel olarak tanımlanabilir bilgileri (PII) yakalayan çok aşamalı veri toplama süreçleri, entegre banka kimlik numarası (BIN) veritabanları ve cüzdanı provisasyon için gerçek zamanlı OTP kodları ile zenginleştirilmiş kart detayları yoluyla yönlendirir.
Ağustos 2024’e kadar Lao Wang’ın “Deniz Feneri” platformu, 80’den fazla ülkeyi destekleyen ve 17’den yüzlerce hedefe yönelik markaları genişleten Modüler Frontends, Rol Tabanlı Erişim Kontrolü (RBAC) ve AJAX tabanlı Keystroke yakalamasını tanıttı.
Rapora göre, bu SaaS benzeri altyapı, kurbanların görünüşte meşru kontroller sırasında kimlik bilgileri girdiği ve PayPal hesap devralma modülleri tarafından daha da geliştirildiği sahte e-ticaret siteleri için WordPress ve WooCommerce entegrasyonlarını içeriyor.
Gelişen para kazanma taktikleri
Para kazanma stratejileri derin teknik zekâları göstermektedir, operatörler ABD kurbanları için cihaz başına 4-7 kart sağlıyor ve daha zayıf güvenlik özelliklerinden yararlanmak için eski iPhone modellerindeki İngiltere hedefleri için 7-10.
Hileli faaliyetler arasında 2-10 günlük bir dinlenme süresi sonrası yüksek hızlı işlemler, Stripe veya Flutterwave gibi platformlarda kötü niyetli satıcı hesapları aracılığıyla fiziksel pos aklama ve hava yükü yoluyla gönderilen önceden yüklenmiş cihazların toptan satışları bulunmaktadır.
Ekosistem, Chen Lun, Pepsidog, Darcula (gözlemlenen smishing URL’lerinin% 80-90’ı), Xinxin, Panda Shop ve fare gibi rakipleri, her biri bölgesel hedeflerde uzmanlaşmış ve hızlı marka değiştirme için GIT tabanlı sürüm kullanımı kullandı.
Hesap devralmaları için aracılık kimlik avı konusundaki son genişlemeler, kuruş stoklarını manipüle etmek için tehlikeye atılan hesapları kullanarak banka transferi eksfiltrasyonunu veya pompa ve döküm şemalarını mümkün kılar.
Etki Değerlendirmeleri, Temmuz 2023 ve Ekim 2024 arasında 32.094 USPS temalı alanların etki alanı analizinden yararlanarak, bağımsız çalışmalardan alan başına 387-3.485 kartın faktör ortalamaları 12.7 ila 115 milyon uzlaştırılmış kart tahmin ediyor.
Bu eşi görülmemiş ölçek, sendikaların meta, tiktok ve Google’da reklamı yapılan sahte e-mağazalara kaymasıyla daha da kötüleşen, geleneksel kullanıcı farkındalığı eğitimini baltalayarak, finansal kurumlara büyük maliyetler getiriyor.
Bu tehditlere karşı koymak için uzmanlar, uygulama tabanlı kimlik doğrulama, bankacılık uygulamalarına cihaz bağlanması, gerçek zamanlı sunum uyarıları ve donma gibi müşteri kontrolleri ile dijital cüzdan sağlanmasını elden geçirmeyi önermektedir.
Bankalar, Apple ve Google gibi teknoloji devleri ve telekom sağlayıcıları arasında endüstriler arası işbirliği tehdit istihbarat paylaşımı ve kalıp tespiti için çok önemlidir.
Bu reformlar olmadan, bu sendikaların uyarlanabilir doğası, temel dolandırıcılıklardan küresel PaaS imparatorluklarına doğru ilerlemelerinde belirgindir, dijital ödeme güvenliği için varoluşsal bir risk oluşturmaktadır ve devam eden ve gelecekteki kayıpları azaltmak için derhal koordineli eylem talep etmektedir.
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir