Dünyanın dört bir yanındaki kurumsal bankacılık hesaplarını hedefleyen bir kimlik avı operasyonu CTM360 tarafından yeni bir raporda analiz edildi. Kampanya, hassas oturum açma kimlik bilgilerini çalmak ve MFA’yı atlamak için sahte Google reklamları, gelişmiş filtreleme teknikleri kullanıyor.
Araştırmacılar, 35 benzersiz potansiyel kimlik avı reddütörü şablonuna yayılmış 12.000’den fazla kötü amaçlı kredi seçmen URL’sini ortaya çıkardılar. Altyapı, her ikisi de tespit edilmesi zor olan ve otomatik tarama araçlarından kaçınmak için tasarlanmış iki farklı kimlik avı tekniğini desteklemektedir.
Bu kampanyayı öne çıkaran şey, erişiminin ve gerçek zamanlı kontrol saldırganlarının kimlik avı oturumlarında sürdürdüğü. Tehdit aktörleri, statik, tek bedene uyan kimlik avı sayfalarını kullanmak yerine, kurbanla gerçek zamanlı olarak etkileşime girer. Bankacılık giriş ve işlem sürecinin her adımı boyunca hedeflere rehberlik eder, güvenlik istemlerine dinamik olarak yanıt verirler ve hesaplara erişmek ve fon transferlerini başlatmak için gereken her kimlik bilgisi veya kodu toplarlar.
Aldatmaca nasıl çalışır
Saldırganlar, çevrimiçi bankacılık portalları arayan işletme müşterileri tarafından kullanılan ortak arama terimleriyle bağlantılı Google reklamları satın alarak başlar. Birisi bu reklamlardan birini tıkladığında, bankalarının giriş ekranını taklit etmek için tasarlanmış bir kimlik avı sayfasına yönlendirilir. Bu iki şekilde olur:
Etki Alanı Yeniden Yönlendirme: Reklam, kullanıcıyı cihazlarını, konumlarını ve davranışlarını kontrol eden bir yeniden yönetici etki alanına götürür. Belirli kriterleri karşılıyorlarsa, kimlik avı sayfasına gönderilirler. Değilse, blog veya küçük işletme sayfası gibi zararsız bir siteye gönderilirler. Bu, saldırganların araştırmacılardan ve otomatik algılama araçlarından gizli kalmasına yardımcı olur.
Dahili yeniden yönlendirme: Hem Redirektör hem de Kimlik Yardım İçeriğini barındıran tek bir alana işaret eder. Saldırganlar alt dizinler veya alt alanlar kullanır ve kimlik avı sitesini çoğu ziyaretçiden gizlemek için benzer filtreleme taktikleri uygularlar.
Bir hedef belirlendikten ve kimlik avı sayfasına indiğinde, saldırı etkileşimli hale gelir. Sayfa, mağdur davranış verilerini tehdit oyuncusu ve kontrol sunucusuna gönderir. Saldırgan daha sonra kurbanın gerçek bankacılık sitesindeki giriş girişimini yansıtıyor.
Gerçek site bir OTP veya güvenlik sorusu gibi ek doğrulama istediğinde, kimlik avı sitesi kurbanı hemen aynı bilgileri girmesini ister. Bu canlı bayrak saldırganların MFA’yı gerçek zamanlı olarak atlamasına izin verir. Bazı kimlik avı kitleri, kurbanlara sistemin bakım altında olduğunu veya şirket yöneticilerinden ek girişler istediğini söyleyen banka mesajlarını zaman satın almak için bile simüle ediyor.
Banka hesabına girdikten sonra, saldırganlar hızlı bir şekilde hareket eder. Para katır hesaplarına işlem başlatırlar, ardından fonları kripto para birimine dönüştürürler. Bazı durumlarda, kurban, şüphe uyandırmaktan kaçınmak için nihayetinde gerçek banka web sitelerine yönlendirilir.
Bu kampanya neden önemlidir?
Bu kimlik avı kampanyası tipik kimlik bilgisi hasat dolandırıcılığının ötesine geçiyor. Seçici, uyarlanabilir ve ölçek için inşa edilmiş. Google reklamları gibi reklam platformlarının kullanımı, saldırganlara görünürlük ve erişim sağlarken, gelişmiş filtreleme altyapılarını izlemeyi zorlaştırır.
Sahte bankacılık portalları sadece yakın taklit değildir. Her kurbanın etkileşimine yanıt veren komut dizileri ile gerçek zamanlı olarak kontrol edilirler. “OTP”, “Soru” veya “2nd_user” gibi komutlar, kullanıcıyı ek ayrıntıları teslim etmesini, QR kodlarını taramasını veya diğer çalışanları dahil etmesini ve potansiyel hasarı artırmasını ister.
Araştırmacılar binlerce yeniden yönetmen alanı, yüzlerce benzersiz kimlik avı URL’si ve Kuzey Amerika, Orta Doğu ve Avrupa’da faaliyeti hedefleme gözlemlediler. Finansal kurumlar, özellikle ticari veya hazine hizmetleri sunanlar birincil odak noktasıdır.
Şirketler ne yapmalı
Araştırmacılar, finansal kurumların ve ticari müşterilerinin bu tür kimlik avı saldırılarına maruz kalmayı azaltmak için proaktif adımlar atmasını önermektedir.
Bankalar ve finansal hizmet sağlayıcıları için:
- Olağandışı yönlendiriciler veya şüpheli alanlardan gelen trafik için web trafiğinizi izleyin. Yönlendiriciler genellikle meşru alanları dolandırır veya sevk günlüklerinde görünür.
- Müşterilere cihaz bağlama özellikleri sunun. Bu, işlemleri yalnızca güvenilir cihazlardan sağlar.
- Müşterileri arama motoru manipülasyonu riskleri konusunda eğitin ve arama motorlarını kullanmak yerine çevrimiçi bankacılık portallarına doğrudan navigasyonu teşvik edin.
Kurumsal bankacılık hizmetlerini kullanan şirketler için:
- Google üzerinden bankanızın giriş sayfasını aramaktan kaçının. Bunun yerine, meşru URL’yi yer imlerine ekleyin veya güvenli bir dahili portal üzerinden erişin.
- Giriş sırasında beklenmedik istemleri izleyin, özellikle normal sipariş dışında birden fazla kullanıcı girişi veya güvenlik sorusu isteyenler.
- Çalışanları kimlik avı girişimlerinin belirtilerini tespit etmek ve şüpheli giriş sayfalarını derhal bildirmek için eğitin.
- Hassas işlemler için bant dışı kimlik doğrulama uygulamayı düşünün.
Kalıcı bir tehdit
Bu kampanya, saldırganların başarı oranlarını artırmak ve tespitten kaçınmak için otomasyon, canlı kontrol ve hedeflenen filtrelemeyi kullandıkları kimlik avı taktiklerindeki bir evrimi yansıtmaktadır. Ayrıca, Google Reklamlar gibi platformların kötü amaçlı bağlantılara güvenilirlik sağlamak için nasıl kötüye kullanılabileceğini de gösterir.
Kimlik avı içeriğinin yalnızca özenle seçilmiş kurbanları olduğu gösterildiğinden, altyapının çoğu uzun süre algılanmamıştır. Bu, saldırganların radarın altında kalırken yüksek değerli kampanyalar ölçeklendirmelerini sağlar.
Kimlik avı kitleri daha sofistike ve etkileşimli büyüyor, bu da spam filtreleri ve MFA’yı artık yeterli değil. Savunma artık işletmeler, finansal kurumlar ve reklam ağları arasında daha sıkı bir işbirliği gerektiriyor. Ayrıca uyanıklık, farkındalık ve kullanıcı alışkanlıklarında bir değişim gerektirir.
Kimlik avı altyapısına, saldırı akışına ve teknik göstergelere daha derin bir bakış için, CTM360’ın Cyberheist Phish raporunu indirin.
