Microsoft’un arama motoru aracılığıyla tüketicileri hedef alan, bankacılık kimlik bilgilerine yönelik yeni bir kimlik avı dalgası tespit ettik. ‘Anahtar Bankası girişi’ için bir Bing arama sorgusu şu anda ilk sayfada ve bazen de en üstteki arama sonucu olarak kötü amaçlı bağlantılar döndürmektedir. Dolandırıcılık sitelerini zaten Microsoft’a bildirdik.
Microsoft’un Bing’i arama motoru pazar payının yalnızca %4’üne sahip olsa da, dolandırıcılar Google’a alternatif olarak ona yöneliyor. Özellikle ilginç bir ayrıntı, henüz iki hafta önce oluşturulan bir kimlik avı web sitesinin resmi siteden önce nasıl dizine eklendiği ve görüntülendiğidir.
Bu blog yazısında, suçluların Bing’i nasıl kötüye kullandıklarına ve aynı zamanda iki faktörlü kimlik doğrulama gibi gelişmiş güvenlik özelliklerini atlarken aynı zamanda radar altında kaldıklarına bir göz atacağız.
Bing arama motoru zehirlenmesi
İlk olarak 29 Kasım’da Bing’in arama motorundan Keybank müşterilerini hedef alan bir kimlik avı kampanyası fark ettik. İlk sonuç olarak kötü amaçlı bir bağlantı gösteriliyor ve Keybank’ın giriş sayfası gibi görünüyor.
Kullanılan alan adı: ixx-kexxx[.]iletişim 15 Kasım’da tescil edildi. Henüz iki haftalık olduğu ve henüz daha önce ortaya çıktığı göz önüne alındığında ibx.key.com (gerçek web sitesi), saldırganların Bing’in arama algoritmalarını kötüye kullandığını tahmin ediyoruz.
Tek seferde indeksleme ve gizleme
Bağlantıya tıklayan kullanıcılar, gerçek kimlik avı sayfasına yeniden yönlendirilmeden önce samimi ve yararlı bir web sitesine yönlendirilir. Ancak birkaç “siyah şapka” tekniğini görmek için burada biraz durmamız gerekiyor.
Bu ilk sayfa yalnızca içeriği kazıyacak, dizine ekleyecek ve sayfanın temiz olduğunu görecek tarayıcılar ve tarayıcılar (ve ilgilenmeyen kullanıcılar) içindir. Bu teknik oldukça yaygındır ve aslında benzer örnekleri reklam sahtekarlığında da görmekteyiz. Buradaki fikir, bir blog gibi gerçek görünen ancak kötü niyetli (para kazanma veya başka) bir amaç taşıyan içerik oluşturmaktır.
Gerçek kurbanlar bu sayfayı göremezler çünkü hemen başka bir web sitesine yönlendirilirler, bu sefer tamamen kötü niyetlidirler. Yönlendirme, tarayıcı profili, IP adresi ve diğerleri gibi kullanıcı özelliklerine göre sunucu tarafında gerçekleşir.
Bu sayfa resmi markayı kullanır ve KeyBank için bir giriş portalıdır. Bir kurban kullanıcı kimliğini ve şifresini yazdığında suçlular verileri hemen alacak. Kimlik avı sitesinin https kullandığını unutmayın; bu, burada kesinlikle hiçbir şey ifade etmez (bilgiler aktarım sırasında şifrelenir ancak alıcı tarafından açık metin olarak alınır).
Çok faktörlü kimlik doğrulamayı atlamak
Bazı kimlik avı kampanyalarında, yeni bir kurban dolandırıcılık sayfalarına giriş yapmaya çalıştığında suçlular gerçek zamanlı olarak bilgilendirilir. İlk ekrandan sonra kimlik avı sayfasında dikkatimizi çeken şey internet bağlantısının zayıf olduğunu iddia eden bir mesajdı. Bu, perde arkasında olup bitenlerin gizlenmesidir:
Suçluların genellikle önce birkaç engeli aşması gerekir. Kurbanla aynı yerden giriş yapmaları gerekiyor (sahte siteleri onlara IP adresini veriyor ve bir proxy kullanabilirler) ve çok faktörlü kimlik doğrulamadan geçmeleri gerekebilir. Bazen yapılacak en kolay şey sadece istemektir.
Çok faktörlü kimlik doğrulama hala şiddetle tavsiye ediliyor ancak kullanıcılar, suçluların gerçek banka gibi davranarak doğrudan doğrulama kodu isteyebileceğinin farkında olmalıdır. SMS doğrulamanın iki faktörlü kimlik doğrulama için en zayıf yöntemlerden biri olduğunu da belirtmeliyiz.
Güvenlik soruları (genellikle 3 adet) şifreyi sıfırlamak için veya başka bir doğrulama amacıyla (belki yeni bir tarayıcıdan veya konumdan giriş yapmak için) kullanılır. Bu kimlik avı kiti ayrıca kurbanlardan şu bilgileri girmelerini ister:
Çözüm
Kimlik avı, tüketicilerin her gün karşılaştığı en büyük tehditlerden biridir. Kötü amaçlı bağlantılar onlara e-posta, kısa mesaj, sosyal medya aracılığıyla gönderilebilir veya bir arama motoru aracılığıyla bunlara rastlayabilirler.
Bu özel örnekte Bing, yasal görünen ancak kimlik avı portalına açılan bir kapı olduğu ortaya çıkan bir web sitesini dizine eklemesi için kandırıldı. Etki alanı adı o sırada Microsoft tarafından bilinmediğinden kullanıcıları korumada başarısız oldu.
Herkesin, önemli web sitelerinde oturum açmak için kimlik avına karşı daha dayanıklı yöntemler benimsemesini önemle tavsiye ederiz. Şifre gerektirmediği için hemen akla şifre anahtarları geliyor. Başka bir deyişle, şifre yazmanıza gerek yoksa çalınacak şifre de yoktur.
Ne yazık ki tüm web siteleri müşterilerini korumak için en son teknolojileri sunmuyor. Kimlik doğrulama için ikinci bir faktör eklemek önemli olsa da, daha az güvenilir olan SMS doğrulaması yerine Authenticator uygulamasına geçmek isteyebilirsiniz. Belki de unutulmaması gereken en önemli şey, suçluların sizden bu tek seferlik kodları talep etmeye çalışabilecekleri ve bunları herhangi bir çevrimiçi web sitesine girmeden (veya bilinmeyen bir metne yanıt vermeden) önce her zaman son derece dikkatli olmanız gerektiğidir.
Malwarebytes Tarayıcı Koruması, kullanıcıları daha önce kötü amaçlı web sitelerini görmeden bu kimlik avı kampanyasına karşı zaten koruyordu. Bunun nedeni, bağlantıyı kesen ve bir uyarı mesajı görüntüleyen yerleşik kimlik avı önleme buluşsal kurallarıdır:
Bankacılık bilgilerinizin zaten çalındığından şüpheleniyorsanız, finansal kuruluş(lar)ınızla iletişime geçerek ve tüm şifrelerinizi sıfırlayarak (özellikle bunlardan herhangi birini farklı web siteleri için tekrar kullandıysanız) mümkün olan en kısa sürede harekete geçmeye çalışın.
Yalnızca tehditleri rapor etmiyoruz; dijital kimliğinizin tamamının korunmasına yardımcı oluyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Kimlik korumasını kullanarak sizin ve ailenizin kişisel bilgilerini koruyun.
Uzlaşma Göstergeleri
Alan adlarını gizleme
ixx-kexxx[.]com
Kimlik avı alanları
xxx-ii-news[.]net
xxx-ii-news[.]com
ixxx-blognew[.]com
xxx-ii-news[.]net
new-bllog-i[.]com
info-blog-news[.]com
xv-bloging-info[.]com
xxx-new-videos[.]com
Barındırma sunucusu
200.107.207[.]232