[ This article was originally published here ]
Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.
Siber saldırılar, genellikle manşetlere konu olan yaygın olaylardır, ancak kişisel bilgilerin, özellikle kredi kartı verilerinin sızdırılması, bireyler için ciddi sonuçlar doğurabilir. Bu hassas bilgileri çalmak için siber suçlular tarafından kullanılan teknikleri anlamak çok önemlidir.
Insider Intelligence’a göre, ABD’de kredi kartı dolandırıcılığı artıyor ve toplam kayıplar 2021’de yaklaşık 12,16 milyar dolara ulaşıyor. Card-Not-Present (CNP) dolandırıcılığı, bu kayıpların %72’sini oluşturdu ve önemli bir kısmı Çinli dolandırıcılara atfedildi.
Bu makale, Çinli siber aktörlerin CNP dolandırıcılığı ve değer zincirlerini işlemek için kullandıkları taktikleri tartışıyor.
Çinli dolandırıcılar öncelikle ABD’yi iki nedenle hedef alıyor: Nüfusun fazla olması kimlik avı saldırılarını daha etkili hale getiriyor ve ülkedeki kredi kartı limitleri diğer ülkelere göre daha yüksek. Bu faktörler, ABD’yi kart dolandırıcıları için çekici bir pazar haline getiriyor.
Kart bilgilerini elde etmenin yaygın yöntemleri arasında kimlik avı, web sitesi kurcalama yoluyla JavaScript enjeksiyonu ve Truva atı bulaşmaları yoluyla veri çalma yer alır. Kimlik avı en yaygın yöntemdir ve bu analiz, kimlik avı taktiklerine ve çalınan kredi kartı bilgilerinin para kazanma değer zincirine odaklanacaktır.
Çinli dolandırıcılar, operasyonları için kapsamlı ekosistemler geliştirdiler. Japonya ve ABD’yi hedefleyen bir kart sahtekarlığı topluluğuna 96.000’den fazla kullanıcı katıldı. Bitcoin’de 3.000 Çin yuanı karşılığında bireyler, kayıtlı videolar yoluyla kimlik avı tekniklerini öğrenmek ve kimlik avı siteleri oluşturmak ve çalıntı kredi kartlarından kar elde etmek için kaynaklara erişmek için bir acemi eğitim kampına kaydolabilir.
Topluluk liderine göre, yalnızca 2022’nin ilk yarısında 500’den fazla öğrenci kaydoldu. Bu lider, son üç yılda 56 BTC alarak önemli karlar elde etti.
Çin dolandırıcı ekosistemi: aktörün değer zinciri
Kart Yok dolandırıcılığının değer zinciri aşağıdaki resimde gösterilmiştir.
Bu faaliyetleri yürütmek için Çinli dolandırıcılar, güvenli bir ortam oluşturmakla başlayarak CNP dolandırıcılığı için bir değer zinciri oluşturuyor. Güvenlik araştırmacıları tarafından tespit edilmekten kaçınmak ve çeşitli güvenlik önlemlerini atlamak için kimlikleri anonimleştirir, IP adreslerini tahrif eder, saat dilimlerini ve dil ayarlarını değiştirir, MAC adreslerini ve cihaz kimliklerini değiştirir, kullanıcı aracılarını değiştirir ve çerezleri temizler.
Dolandırıcılar, hedeflenen web sitelerine dolaylı olarak erişmek ve izlenmekten kaçınmak için ev içi cihazlara bulaşan konut proxy’lerini de kullanır. Bu proxy’ler, çalıntı kredi kartları veya bitcoin ile yapılan ödemelerle çevrimiçi sağlayıcılardan satın alınabilir. Kullanıcılar, istedikleri IP adresini seçerek, hedef siteye sahte bir IP adresi ile erişebilir ve bu da faaliyetlerinin izlenmesini zorlaştırır.
Çinli dolandırıcılar arasında popüler olan bir konut proxy hizmeti, ücretsiz bir VPN hizmeti kisvesi altında dağıtılan yazılım kullanılarak oluşturulan “911”dir. Bir kez yüklendikten sonra, kullanıcılar farkında olmadan dolandırıcılar için kendi rızaları olmadan değerli konut proxy’lerine dönüştürülür. Hizmet, hedef kullanıcının coğrafi konumuyla eşleşmek için şehir ayrıntı düzeyinde konumlar sunar.
Ek olarak, dolandırıcılar ISP’yi ve tarayıcı sürümü, işletim sistemi ve ekran boyutu gibi cihaz parmak izlerini seçebilir. Bu bilgiler genellikle kimlik avı yoluyla elde edilir ve dolandırıcılar, her kurbanın kullanıcı davranışını taklit etmek için kurbanlar tarafından kullanılanları seçer.
Kanada’daki Sherbrooke Üniversitesi’ndeki araştırmacılar yakın zamanda “911” hizmetiyle ilgili bir analiz yayınladılar ve hizmet aracılığıyla yaklaşık 120.000 kişisel bilgisayarın kiralandığını ve en büyük sayının ABD’de olduğunu buldular. Araştırma hakkında daha fazla bilgiye adresinden ulaşılabilir.
Temmuz 2022’de “911” hizmeti kapatılsa da, artık Çinli dolandırıcılar tarafından kullanılan birçok yeni konut proxy sağlayıcısı ortaya çıktı.
Derinlemesine analiz: dolandırıcılıkla mücadele sistemlerinde tespit edilmekten kaçınmak için kaçırma teknikleri
Kimlik avı siteleri kurmak için, kimlik avı e-postalarını dağıtmak için bir e-posta veritabanı ve kimlik avı sitesi oluşturmak için bir kimlik avı kiti dahil olmak üzere çeşitli unsurların yerinde olması gerekir. Bu öğeler, çeşitli kanallar aracılığıyla çevrimiçi olarak edinilebilir. Kimlik avı siteleri oluşturmanın iki yöntemi vardır: mevcut bir web sitesini kurcalayarak veya kiralık sunucular veya sanal özel sunucular (VPS) kullanarak. İlki, yüksek itibar avantajına sahiptir, ancak genellikle hızlı bir şekilde tespit edilir ve kaldırılır. İkinci yöntem, çeşitli şirketlerin ve markaların kimliğine bürünmek için kimlik avı kitine dahil olan sunucunun ve şablonların kullanılmasını içerir.
Kart şirketlerini, ödeme hizmetlerini ve çevrimiçi bankacılığı kapsayan kimlik avı kiti şablonları karanlık ağda da mevcuttur. Bu kimlik avı kitleri, tespit edilmekten kaçınmak için bot erişimini engellemek ve güvenlik şirketlerinin ve araştırmacıların erişimini engellemek için bir kara liste hazırlamak gibi çeşitli önlemler içerir. Ek olarak, bu kimlik avı kitleri ayrıca proxy’ler aracılığıyla kendilerine erişen kişilerin gerçek IP adreslerini elde etmeye, coğrafi konum bilgilerini kontrol etmeye ve Çin ve ABD dışından erişim için hatalar döndürmeye çalışır.
Çinli dolandırıcılar, kimlik avı siteleri oluşturmak ve bunlara e-posta yoluyla erişen kullanıcıları aldatmak için ayrıntılı kimlik avı altyapıları ve kitleri kullanır. İstenmeyen e-posta filtreleri veya itibara dayalı engellemeler tarafından engellenmekten kaçınmak için içeriklerini ve ortamlarını sürekli olarak geliştirirler. Temiz bir durumu korurken IP adreslerini değiştirirler ve risklerini dağıtmak için birden fazla alan adı kullanırlar, bu da bir alan engellenmiş olsa bile kimlik avına devam edebilmelerini sağlar.
Ayrıca, bu dolandırıcılar, yüksek itibarlı URL’leri göstermek ve kimlik avı URL’lerini normal URL’ler gibi gizlemek için URL yönlendirme araçlarını kullanır. Bir kimlik avı URL’si e-posta filtreleri tarafından engellenirse, kimlik avına devam etmek için farklı bir URL kullanabilirler.
Özetle, Çinli dolandırıcılar izleme ve tespitten kaçmak için gelişmiş kimlik avı kitleri kullanıyor. Bu kimlik avı kitleri, güvenlik araştırmacılarına ve kuruluşlarına karşı koymak için dolandırıcılığı önleme özellikleri içerir. Spam filtreleri ve itibara dayalı engellemeler tarafından engellenmemek için içeriklerini ve ortamlarını sürekli olarak geliştirirler. Birden fazla alan adı kullanıyorlar ve risklerini dağıtmak için IP adreslerini değiştiriyorlar ve kimlik avı URL’lerini normal URL’ler gibi gizlemek için URL yönlendirme araçlarını kullanıyorlar.
Popüler platformlar aracılığıyla para çekme: TikTok ve NFT istismarı
Çinli dolandırıcıların, kartların kurulumu ve kötüye kullanımından haksız kazanç elde ettikleri nakde çevirme aşamasına kadar uzanan bir değer zinciri var.
Para çekmenin çeşitli yöntemleri vardır. Yöntemlerden biri, ABD kartları için popüler olan çalıntı kredi kartı bilgilerini kullanan web siteleri aracılığıyla doğrudan kripto para birimi veya hediye kartları satın almaktır.
Diğer bir yöntem de çalıntı kredi kartı bilgileri kullanılarak bir e-ticaret sitesinden ürün satın almak ve yerli bir işbirlikçiye ürünleri teslim ettirmektir. Yerli işbirlikçi daha sonra satın aldığı malları Çin’e gönderiyor ve Japonya’da ve coğrafi olarak Çin’e yakın olan diğer Asya ülkelerinde yaygın olarak kullanılan parayı alıyor.
Para kazanma aşamasında dolandırıcılar, ev aletleri, marka çantalar, cep telefonları ve hediye çekleri gibi kolayca yeniden satılabilen ürünleri tercih ediyor.
Son üç yılda TikTok ve NFT’leri kullanan yeni yöntemler ortaya çıktı. Bir yöntem, çalınan kart bilgileriyle TikTok paraları satın almayı ve bunları kötü niyetli etkileyicilere bağışlamayı içerir. Bazı durumlarda dolandırıcı ve influencer aynı kişi olabilir veya başka bir kişi komisyon ücreti alabilir. Ek olarak, NFT’ler ve e-Kitaplar da kara para aklama için uygundur.
TikTok’ta bağış yapıldığında, kredi kartı istismarcısının bir dolandırıcı mı yoksa sadece favori bir etkileyiciye bağış yapmak isteyen biri mi olduğunu ayırt etmek zordur.
Dolandırıcılar, para çekmenin bir ön adımı olarak kredi kartı limitini onaylar. Hak sahibiymiş gibi davranarak (sosyal mühendislik) ve limiti doğrulamak için kart şirketinin çağrı merkezini arayarak, kart kullanımı için gerekli olan tek seferlik şifre doğrulamasını devre dışı bırakarak veya diğer sosyal mühendislik taktiklerini kullanarak yöntemler kullanabilirler. Ancak dil engeli nedeniyle Çinli dolandırıcılar bu yöntemi pek kullanmazlar.
Para kazanma aşamasında dolandırıcılığı önleme: Güvenlik önlemlerini artırma
Dolandırıcılığın değer zincirinde aktörlerin rolleri üç kategoriye ayrılır: kimlik avcıları, kredi kartı bilgilerini kötüye kullanan kredi kartı kötüye kullananlar ve çalınan bilgilerden para kazanan para kazanma tacirleri. Rolleri bölüşerek kendi uzmanlık alanlarına konsantre olabiliyorlar ve polis tarafından soruşturulsalar bile sadece arkadaşlarından bir şey aldıklarını ve olan bitenden habersiz olduklarını söyleyerek yasal yaptırımlardan kurtulabiliyorlar.
Yukarı akışa odaklanırken CNP dolandırıcılığıyla uğraşmak zordur. Para kazanma sürecinde kötüye kullanımın önlenmesi çok önemlidir. Günümüzde ortadaki adam saldırısı kimlik avı teknikleri ana akım haline geldi ve tek seferlik parola (OTP) kimlik doğrulaması artık bu saldırılara karşı savunmada yetersiz kalıyor. FIDO veya geçiş anahtarları gibi daha gelişmiş kimlik doğrulama yöntemleri ve daha gelişmiş makine öğrenimi modelleri yakında vazgeçilmez olacaktır.
reklam