“Maaş Bordrosu Korsanları” adı verilen karmaşık bir kimlik avı kampanyası şu anda çeşitli yüksek profilli kuruluşların çalışanlarını hedef alıyor.
Hedefler arasında Kaliforniya İstihdam Geliştirme Departmanı (EDD), Kaiser Permanente, Macy’s, New York Life ve Roche yer alıyor.
Devam eden bu kötü niyetli operasyon, özellikle Workday kullanıcılarına odaklanarak insan kaynakları (İK) sistemlerini istismar ederek bordro yönlendirmeleri gerçekleştirmeyi amaçlıyor.
Bunun yanı sıra Silent Push’taki siber güvenlik araştırmacıları, tehdit aktörlerinin şüphelenmeyen kurbanları cezbetmek için çok yönlü bir yaklaşım kullandığını keşfetti:-
- Kötü Amaçlı Arama Ağı Reklamcılığı: Sponsorlu kimlik avı web siteleri Google arama sonuçlarında görünür.
- Sahte İK Sayfaları: Meşru İK portallarının ikna edici kopyaları, çalışanları aldatmak için yaratılmıştır.
- Kimlik Bilgilerinin Kullanımı: Dolandırıcılar, muhtemelen yer altı forumlarından elde edilen sosyal güvenlik numaraları gibi ek bilgileri kullanarak çalışanların portal hesaplarına erişim sağlar.
- Fon Yönlendirme: İçeri girdikten sonra, fonları kontrolleri altındaki sahte hesaplara yönlendirmek için kurbanın banka bilgilerini değiştirirler.
.webp)
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Altyapı ve Taktikler
Maaş Bordrosu Korsanları operasyonlarında yüksek düzeyde gelişmişlik sergiliyor: –
- Web Sitesi Oluşturucuları: Hızlı alan adı kurulumu için Leadpages, Mobirise ve Wix gibi platformları kullanın.
- Özel IP Aralıkları: Belirli zaman dilimlerine göre uyarlanmış taktiksel değişikliklerle yeni altyapı havuzları kullanın.
- Tercih Edilen Kayıt Şirketleri: Kimlik avı içeriğini öncelikle Dynadot, Porkbun ve Namecheap’te barındırın.
- Özel Yapılar: Bazı durumlarda güvenilirliği artırmak için gerçek İK portal düzenleriyle eşleşen dizin yapıları oluştururlar.
Kampanyanın çeşitli İK ve bordro sistemlerini hedef aldığı gözlemlendi: –
- İş günü
- BambuHR
- İşsizlik portalları (California EDD gibi)
- Şirkete özel İK portalları (Macy’s, Roche, Kaiser Permanente gibi)
Sessiz Push Tehdidi Analistleri bu kampanyayla ilişkili yüzlerce alan belirledi.
.webp)
Tehdit aktörleri, işsizlik yardımı dolandırıcılığından maaş bordrosu kimlik avına ve şablonlarını güncellemeye geçerek taktiklerini sürekli olarak değiştiriyor.
Benzer kimlik avı teknikleriyle finansal kurumları hedef aldıkları da gözlemlendi.
Kuruluşlar ve çalışanlar dikkatli kalmalı ve güçlü güvenlik önlemleri uygulamalıdır: –
- İK ile ilgili iletişimlerin ve oturum açma sayfalarının orijinalliğini doğrulayın.
- İK ve bordro sistemleri için çok faktörlü kimlik doğrulamayı uygulayın.
- Çalışanlarınızı en yeni kimlik avı taktikleri ve tehlike işaretleri konusunda eğitin.
- Bordro bilgilerinde yetkisiz değişiklik olup olmadığını düzenli olarak izleyin.
Bunun dışında, güvenlik topluluğu içinde devam eden izleme ve tehdit istihbaratı paylaşımı, kurumsal bordro sistemlerine ve çalışanların mali güvenliğine yönelik bu kalıcı tehditle mücadelede hayati önem taşıyor.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses