Hizmet olarak kimlik avı, bugüne kadar dünya çapında en yaygın paket dolandırıcılığı operasyonu olarak ilan edilen operasyonla birlikte olgunlaştı.
Araştırmacılar, Çince hizmet olarak kimlik avı platformu 'darcula'nın 100'den fazla ülkeye yönelik siber saldırılarda 19.000 kimlik avı alanı oluşturduğunu söylüyor. İnternet altyapısı güvenlik sağlayıcısı Netcraft'taki araştırmacılara göre platform, siber suçlulara aylık yaklaşık 250 ABD doları tutarındaki abonelik fiyatları karşılığında markalı kimlik avı kampanyalarına kolay erişim sağlıyor.
Hizmet olarak kimlik avı platformları yeni değil, ancak Darcula daha teknik gelişmişlikle çıtayı yükseltiyor. JavaScript, React, Docker ve Harbor dahil olmak üzere uygulama geliştiricilerinin kullandığı araçların çoğunu çalıştırır.
Darcula, kısa mesaj göndermek için SMS yerine iMessage ve RCS'yi (Zengin İletişim Hizmetleri) kullanıyor; bu özellik, platform aracılığıyla gönderilen dolandırıcılık mesajlarının normalde şüpheli mesajların iletilmesini engelleyen SMS güvenlik duvarlarını atlamasına olanak tanıyor.
Paket Teslimatı Dolandırıcılığı
Darcula platformu, Kuveyt Post, BAE merkezli telekomünikasyon şirketi Etisalat, Jordan Post, Saudi Post dahil olmak üzere dünya çapındaki markaları hedefleyen yüzlerce şablonla kimlik avı sitelerinin kolay kurulumunu sunuyor. Australia Post, Singapore Post ve Güney Afrika, Nijerya, Fas ve daha fazlasındaki posta hizmetleri.
Son zamanlardaki saldırılardan farklı olarak Kabarık KurtDarcula dolandırıcılıkları genellikle işletmelerden ziyade tüketicileri hedef alıyor.
Kısa mesajları kullanan kimlik avı saldırıları, diğer bir deyişle vurucuyıllardır tehlike oluşturuyordu. Siber suçlular bunu kullanmaya çalışıyor 'Paketi kaçırdım' mesajları veya potansiyel markaları, posta taşıyıcısı veya banka kılığında sahte siteleri ziyaret etmeleri ve ödeme kartı ayrıntılarını veya kişisel bilgilerini vermeleri için kandırmaya benzer. Google aldı Root erişimli telefonlardan gelen RCS mesajlarını engelleme adımları ancak bu çaba yalnızca kısmen başarılı oldu.
İsrailli güvenlik araştırmacısı Oshri Kalfon en son Darcula'yı araştırmaya başladı. İbranice bir dolandırıcılık mesajı aldıktan bir yıl sonra.
Buzağı ortaya çıktı platformun işleyişi hakkında sayısız ipucu Dolandırıcıların varsayılan oturum açma kimlik bilgilerini değiştirmeyi unutması nedeniyle yönetici panelinin hacklenmesi kolay olan bir kontrol sitesine kadar dolandırıcılığın köklerinin izini sürdükten sonra.
Darcula platformu, çeşitli markaları kapsayan yaklaşık 200 kimlik avı şablonunu destekliyor. Dünya çapında posta hizmetleri ana hedeftir ancak kamu hizmetleri, finans kurumları, devlet kurumları (vergi daireleri vb.), havayolları ve telekom sağlayıcıları da dahil olmak üzere tüketiciyle yüz yüze kalan diğer kuruluşlar da listede yer almaktadır.
Saldırıya uğramış meşru alan adları yerine amaca yönelik olarak oluşturulanlar, Darcula tabanlı dolandırıcılıkların bir özelliğidir. Darcula için kullanılan en yaygın üst düzey alanlar (TLD'ler) .top ve .com'dur ve bunu çok sayıda düşük maliyetli genel TLD takip eder. Darcula sayfalarının yaklaşık üçte biri (%32) Darcula'nın belgelerinde tercih edilen bir seçenek olan Cloudflare'i kötüye kullanıyor. Tencent, Quadranet ve Multacom da sunucu olarak istismar ediliyor.
Kimlik Avı Ağları
Netcraft, 2024'ün başından bu yana Darcula'yı barındıran ortalama 120 yeni alan tespit edildi Günlük kimlik avı sayfaları.
Netcraft'ın ürün stratejisinden sorumlu başkan yardımcısı Robert Duncan, Darcula'yı şirketinin şimdiye kadar karşılaştığı “dünya çapındaki en yaygın paket dolandırıcılığı operasyonu” olarak tanımlıyor.
Duncan, “Son zamanlarda gördüğümüz diğer operasyonlar çok daha küçük ölçekli ve daha coğrafi olarak hedeflenmiş durumda” diyor. “Örneğin, Frappo/LabHost daha çok Kuzey Amerika'ya ve çok uluslu markalara odaklanmıştı.”
Tipik (son nesil) kimlik avı kitlerinin aksine, Darcula kullanılarak oluşturulan kimlik avı web siteleri, yeni özellikler ve tespit edilmeyi önleme işlevleri eklemek üzere anında güncellenebilir.
Örneğin, Netcraft, örneğin yakın zamanda yapılan bir Darcula güncellemesinin, kötü amaçlı içeriğin ön sayfa (example.com) yerine belirli bir yoldan (örn. example.com/track) erişilebilir olmasını sağlayacak şekilde kiti değiştirdiğini söylüyor. Taktik, saldırganın yerini gizler.
Darcula siteleri ön sayfada genellikle satış/bekletme sayfası için sahte bir alan adı görüntüler. Önceki sürümler, tarayıcıları ve botları çeşitli kedi türleri için Google aramalarına yönlendiriyordu.
Darcula, kapağın altında, React'ta yazılmış kimlik avı web sitelerinin Docker görüntülerini barındırmak için açık kaynaklı konteyner kayıt defteri Harbor'ı kullanıyor. Teknolojiyi kiralayan siber suçlular, markaya özel bir kimlik avı web sitesi ve Docker'da bir yönetici paneli yükleyen bir kurulum komut dosyasını çalıştırmadan önce hedefleyecekleri bir markayı seçerler.
Kanıtlar, operasyonun büyük ölçüde Çince konuşan siber suçlular için tasarlandığını gösteriyor.
Duncan, “Gözlemlediklerimize dayanarak, Darcula'nın öncelikle veya özel olarak Çince kullandığına ve diğer dillerdeki harici şablonların platformu kullananlar tarafından oluşturulduğuna inanıyoruz” diyor.
Palanga takımı
Kimlik avına karşı sıklıkla önerilen savunmaların çoğu, Darcula aracılığıyla oluşturulan dolandırıcılıklara karşı koruma sağlamak için burada da geçerlidir: beklenmedik iletilerdeki bağlantılara tıklamaktan kaçının ve bunun yerine doğrudan kaynağın posta hizmeti gibi web sitesine gidin.
Duncan, bu arada şirketlerin bilinen kimlik avı sitelerine erişimi engellemek için ticari güvenlik platformları kullanması gerektiğini söylüyor.