Amerikan vatandaşlarını hedefleyen sofistike bir kimlik avı kampanyası ortaya çıktı ve hassas kişisel ve finansal bilgileri hasat etmek için motorlu taşıtların devlet departmanlarının güvenilir itibarından yararlandı.
Mayıs 2025’te, siber suçlular, kurbanları hayali paralı ihlaller ödemek için kandırmak için aldatıcı SMS mesajları ve hileli web siteleri kullanarak ABD devlet DMV’lerini taklit eden koordineli bir saldırı başlattı.
Kampanya, siber güvenlik profesyonelleri ve devlet kurumları arasında önemli bir endişeye neden olan, ikna edici bir meşruiyet cephesi oluşturmak için yaygın SMS kimlik avı tekniklerinden yararlandı ve dikkatlice hazırlanmış web altyapısı.
.png
)
.webp)
Saldırı öncelikle, çoğu zaman yerel DMV ajanslarından kaynaklandığı görülür, ancak birçoğu Filipinler’e kadar uzanmış olsa da, sahtekâr telefon numaralarından gönderilen SMS mesajlarını kullandı.
Mağdurlar, derhal işlem yapılmadığı takdirde, ödenmemiş ücret ihlalleri, lisans askıya alma veya yasal cezalarla ilgili endişe verici bildirimler aldı. Bu mesajlar, güvenilirliklerini ve aciliyetlerini artırmak için tipik olarak belirli devlet idari kodları gibi hayali yasal kodları belirtmiştir.
Psikolojik manipülasyon özellikle etkili oldu, çünkü alıcılar küçük trafik ihlalleri gibi görünen şey için potansiyel yasal sonuçlardan korkuyordu.
Check Point araştırmacıları, ortak altyapı ve birden fazla eyalette tutarlı saldırı modellerini ortaya çıkararak kapsamlı teknik analiz yoluyla kampanyanın sofistike doğasını belirlediler.
Siber güvenlik firmasının soruşturması, kötü niyetli bağlantıları tıklayan kurbanların özel durumlarına uyacak şekilde temalı sahte DMV iniş sayfalarına yönlendirildiğini ortaya çıkardı.
Bu hileli web siteleri, kullanıcıları tam adlar, ev adresleri, e -posta adresleri, telefon numaraları ve tam kredi kartı detayları dahil olmak üzere kişisel olarak tanımlanabilir kapsamlı bilgiler talep eden formlara yönlendirmeden önce, genellikle 6,99 $ olan küçük bir ücret ödemeye teşvik etti.
Bu kampanyanın halka açık etkisi, FBI’ın İnternet Suç Şikayet Merkezi’nin benzer ücretli smishing dolandırıcılığı ile ilgili tek bir ayda 2.000’den fazla şikayet aldığı görülmemiş bir şekilde görülmemişti.
New York, New Jersey, Pennsylvania, Florida, Teksas ve California dahil olmak üzere birçok eyalet, Ulaştırma Bakanlığı ve DMV web siteleri aracılığıyla resmi uyarılar yayınladı.
Hikaye, CBS News, Fox News, The New York Post ve Time Magazine gibi büyük medya kuruluşlarında ulusal ilgi kazandı ve kampanyanın kapsamlı erişimini ve etkinliğini vurguladı.
Bu operasyonun ölçeği ve koordinasyonu, federal yetkilileri tehdit istihbarat büllerini dağıtmaya ve kolluk kuvvetleri, siber güvenlik satıcıları ve telekomünikasyon sağlayıcıları arasında müdahale çabalarını koordine etmesini isteyen en yaygın smaçma saldırılarından birini temsil ediyor.
Altyapı analizi ve ilişkilendirme
Kimlik avı kampanyasının teknik incelemesi, Çin tehdit aktörlerine işaret eden açık göstergelerle oldukça yapılandırılmış bir operasyon ortaya koymaktadır.
.webp)
Kötü niyetli web siteleri öngörülebilir bir etki alanı modeli izledi: https://[state_ID]dmv.gov-[4-letter-string].cfd/paykolayca kaydedilen ve yaygın olarak siber suçlular tarafından istismar edilen .cfd ve .win gibi düşük maliyetli üst düzey alanların kullanılması.
Analiz, bu alanların önemli bir bölümünün bilinen bir kötü amaçlı IP adresinde barındırıldığını ortaya koydu: 49.51.75.162, Pennsylvania, Georgia, Teksas, California, New Jersey, New York ve Florida dahil olmak üzere farklı eyaletlere eşleme.
Altyapı analizi, ortak DNS altyapısı yoluyla merkezi operasyonların zorlayıcı kanıtlarını ortaya çıkardı.
.webp)
Tüm alan adları, aynı ad sunucuları kullanıldı: alidns.com ve dns8.alidns.com, tutarlı bir SOA iletişim adresi ile [email protected]Çin etki alanı operasyonlarına güçlü bir ilişkilendirme bağlantısı sağlar.
Ayrıca, DOM analizi, her kimlik avı web sitesinin beş dosya seti içerdiğini ortaya koydu: iki JavaScript dosyası (c18umyzn.js, flicexij.js), bir CSS dosyası (c0zfn5gx.css) ve iki görüntü varlığı (bhcjxi3x.gif, bkbiyrmz.svg).
Bu varlıkların alanlar arasında tutarlı olarak yeniden kullanılması, merkezi bir kimlik avı kitinin kullanımını güçlü bir şekilde göstermektedir ve kaynak kodunda bulunan Çince yorumlar, Çince konuşan tehdit aktörlerine atfedilmeyi daha da güçlendirir.
Bu kanıt, Çince siber suç forumlarında sık sık ilan edilen düşük maliyetli, yüksek hacimli kimlik avı operasyonlarının bilinen kalıplarıyla uyumludur.
Herhangi biriyle erken tehdit tespiti, yükseltme ve hafifletme güçlendirin. 50 deneme araması alın.