Bu yazıdaki örnekler, Malwarebytes Kıdemli Araştırma Direktörü Jérôme Segura tarafından bulunan gerçek dolandırıcılık girişimleridir.
Siber suçlular, popüler markalara olan güvenimizden yararlanmak için sık sık sahte arama motoru listelerini kullanırlar ve sonra bizi dolandırırlar. Genellikle, birçok saldırıda olduğu gibi, Google’da sponsorlu bir arama sonucuyla başlar.
Bu tür bir aldatmaca örneğinde, teknoloji destek dolandırıcılarının Apple, Bank of America, Facebook, HP, Microsoft, Netflix ve PayPal için 7/24 destek arayan sonuçlarını kaçırdıklarını bulduk.
İşte böyle çalışıyor: Siber suçlular, Google’da büyük bir marka gibi davranan sponsorlu bir reklam için ödeme yaparlar. Genellikle, bu reklam insanları sahte bir web sitesine götürür. Bununla birlikte, yakın zamanda bulduğumuz durumlarda, ziyaretçi küçük bir farkla meşru bölgeye götürülür.
Ziyaretçiler markanın web sitesinin yardım/destek bölümüne götürülür, ancak gerçek telefon numarası yerine, korsanlar onun yerine scammy numaralarını görüntüler.
Tarayıcı adres çubuğu meşru sitenin bunu gösterecektir ve bu nedenle şüphe için bir neden yoktur. Ancak, ziyaretçinin gördüğü bilgiler yanıltıcı olacaktır, çünkü arama sonuçları, dolandırıcının numarasını resmi bir arama sonucuna benzeyen belirgin bir şekilde görüntülemek için zehirlendi.
Numara çağrıldıktan sonra, dolandırıcılar kurbanlarını kişisel verileri veya kart detaylarını teslim etmek veya hatta bilgisayarlarına uzaktan erişime izin vermek amacıyla marka olarak poz verecektir. Bank of America veya PayPal durumunda, dolandırıcılar kurbanlarının finansal hesabına erişim istiyorlar, böylece parayı boşaltabilirler.
Bu tür bir saldırı için teknik olarak daha doğru bir isim bir arama parametresi enjeksiyon saldırısı olacaktır, çünkü dolandırıcı kendi sahte telefon numaralarını orijinal sitenin meşru arama işlevine yerleştiren kötü amaçlı bir URL hazırladı.
Netflix’in aşağıdaki örneğine bakın:
Bu taktikler çok etkilidir çünkü:
- Kullanıcılar Adres Çubuklarında Meşru Netflix URL’sini görüyor
- Sayfa düzeni otantik görünüyor (yine, çünkü gerçek Netflix sitesi)
- Sahte numara, arama sonucuna benzeyen şeyde görünür ve resmi görünmesini sağlar.
Bu gerçekleşebilir, çünkü Netflix’in arama işlevselliği, kullanıcıların arama sorgusu parametresine uygun bir sanitizasyon veya doğrulama olmadan körü körüne yansıtır. Bu, dolandırıcıların sömürebileceği yansıtılmış bir giriş güvenlik açığı yaratır.
Neyse ki, Malwarebytes tarayıcı koruyucusu bunu yakaladı ve “Ara algılamayı arama” hakkında bir uyarı gösteriyor ve aşırı bir telefon numarası ile arama sonuçları için yetkisiz değişiklikler yapıldığını açıklıyor.
Ancak Netflix sadece bir örnektir. Daha önce de belirttiğimiz gibi, PayPal, Apple, Microsoft, Facebook, Bank of America ve HP gibi diğer markaların dolandırıcılar tarafından aynı şekilde istismar edildiğini bulduk.
HP örneği, dolandırıcılar metninin önünde gösterilen “4 sonuç” dediği gibi şüpheli olarak tanımlamak biraz daha açıktır. Ama o zaman bile gerçek bir web sitesinde olsanız bile, gerçek bir numara görmeyi bekliyorsunuz, değil mi?
İlginç bir şekilde, Apple, dolandırıcının numarasının yanlış olarak tanımlanması en zor olduğunu bulduğumuz kişidir.
Bu, web sayfası ziyaretçiye aramaları için eşleşmediklerini söylüyormuş gibi görünüyor, bu nedenle numarayı sergilemeye daha iyi çağırıyorlar. Bu onları doğrudan dolandırıcıların kollarına götürür.
Teknik Destek Dolandırıcılıklarından Nasıl Güvenli Kalılır
Bu durumlarda gösterildiği gibi, Malwarebytes tarayıcı koruyucusu bu tür bir aldatmaca karşı büyük bir savunma mekanizmasıdır ve kullanımı ücretsizdir.
Ayrıca göz kulak olmak için başka kırmızı bayraklar da var:
- URL’de bir telefon numarası
- Tarayıcının adres çubuğunda “Şimdi Arayın” veya “Acil Destek” gibi şüpheli arama terimleri
- Telefon numaraları ile birlikte %20 (boşluk) ve %2b (+ işaret) gibi birçok kodlanmış karakter
- Bir tane girmeden önce bir arama sonucu gösteren web sitesi
- Web Sitesinde Acil Dil (Şimdi Arayın, Hesap Askıya Alınan, Acil Destek Desteği)
- Bilinen dolandırıcılıklar için bir tarayıcı uyarısı (bunu görmezden gelmeyin).
Herhangi bir markanın destek numarasını aramadan önce, şirketle (e -posta veya sosyal medyada) önceki iletişimdeki resmi numarayı arayın ve arama sonuçlarında bulduğunuzla karşılaştırın. Farklıysa, hangisinin meşru olduğundan emin olana kadar araştırın.
Arama sırasında, aradığınız konu ile hiçbir ilgisi olmayan kişisel bilgiler veya bankacılık detayları istenirse, telefonu kapatın.
Sadece tehditler hakkında rapor vermiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Bugün MalwareBebytes’i indirerek tehditleri cihazlarınızdan uzak tutun.