ÖZET:
- Araştırmacılar, BAE’de SMS aracılığıyla Dubai Polisi’nin kimliğine bürünen kimlik avı saldırılarında artış tespit etti.
- Saldırganlar, “.xyz” ve “.top” gibi yazım hatası ve şüpheli uzantılara sahip sahte alan adları kullanır.
- Birçok alan adı, önceki kötü amaçlı faaliyetlerle bağlantılı Singapur sunucularından kaynaklanmaktadır.
- Dolandırıcılık, 999 gibi acil durum numaralarını kullanarak finansal verileri çalmayı ve korkuyu istismar etmeyi amaçlıyor.
- Site sakinleri güvende kalmak için web sitelerini doğrulamalı, bilinmeyen kişilerden kaçınmalı ve “HTTPS”yi kontrol etmelidir.
BforeAI’deki siber güvenlik araştırmacıları, Birleşik Arap Emirlikleri sakinlerini hedef alan kimlik avı saldırılarında bir artış tespit etti (BAE) Dubai Polisi’ni taklit ederek. Saldırılar öncelikle SMS metinleri aracılığıyla aktarılıyor ve kullanıcıları kötü amaçlı alanlara yönlendiriyor.
Araştırmacılar kalıpları ve eğilimleri belirlemek için 17 Eylül’den 22 Kasım’a kadar 268 alanı analiz etti. Alan adlarının çoğu Singapur sunucularından gelmektedir ve spam, kimlik avı ve botnet’ler de dahil olmak üzere kötü amaçlı etkinlik geçmişine sahiptir. Bu alan adlarının yaklaşık %50’si Gname, geri kalanı ise NameSilo ve Dominet tarafından kaydedildi.
Daha fazla araştırma, iki düzineden fazla alan adının süresinin dolduğunu ve bazılarının Kasım ayı gibi yakın bir tarihte kaydedildiğini ortaya çıkardı. Hindistan ve Dubai’den iki tescil sahibinin meşru şirket kökenlerini düşündüren şüpheli isimleri var. Ancak BeforeAI’nin ortaya çıkardığına göre tehdit aktörleri kimliklerini anonim tutmayı başardılar. danışma yayınlanmadan önce Hackread.com ile özel olarak paylaşılmıştır.
Bu güncelleme aşağıdaki gibidir geçen ayki açıklamalar BAE’nin .ae alan adlarının %99’unun, yetersiz DMARC uygulaması nedeniyle kimlik avı ve kimlik sahtekarlığı saldırılarına karşı savunmasız olduğu belirtildi.
Neler oluyor?
Saldırganlar mağdurları kandırmak için çok yönlü bir yaklaşım kullanıyor. Bu, çok sayıda alan adının genellikle sıralı numaralandırmayla hızlı bir şekilde art arda kaydedilmesini, otomatik araçların kullanıldığını ima etmeyi ve Yazım hatası. Bu, şüphelenmeyen alıcıları gayri meşru bağlantılara tıklamaları için kandırmak amacıyla “Dubai Polisi”nin (örneğin “dubaiploce”) yanlış yazılmış varyasyonlarını oluşturdukları anlamına geliyor.
Ayrıca saldırganlar, resmi ve güvenilir görünmek için alan adlarına “polis”, “gov”, “portal” ve “çevrimiçi” gibi terimler ekliyor.
Saldırganlar, “.com” alanının ötesinde, onlara daha fazla anonimlik sağlayan “.top”, “.xyz” ve “.click” gibi daha az düzenlemeye tabi uzantıları yoğun bir şekilde kullanıyor. İlginç bir şekilde, alan adlarının önemli bir kısmı, daha önce kötü amaçlı faaliyetlerle bağlantılı olan Singapur’daki Tencent sunucuları kullanılarak kaydedildi.
Hedefler kimlerdir?
Bu dolandırıcılık kampanyalarının iki ana hedefi var gibi görünüyor: Meşru bir devlet kurumuyla etkileşimde olduklarına inanan kişilerden mali bilgi çalmak ve sözde para cezalarından endişe duyanları veya gerçek para cezalarını arayanları hedef almak için 999 (BAE acil servisleri) gibi acil durum numaralarını dahil ederek korkuyu istismar etmek. Dubai Polisinden yardım.
Araştırmacılar bu kimlik avı kampanyalarının geri dönüş süresinin kısa olduğunu gözlemledi. Birçok alan adının süresi haftalar içinde doluyor, bu da saldırganların tespit edilmekten kaçınmak için sık sık, kısa süreli operasyonlar başlattığını gösteriyor.
Bu tür dolandırıcılıkların kurbanı olmaktan kaçınmak için BAE sakinleri resmi web sitelerini doğrulamalı, tanıdık olmayan temaslara karşı dikkatli olmalı ve “HTTPS” protokolü olmayan web sitelerine, bozuk bağlantılara veya profesyonel olmayan tasarıma karşı dikkatli olmalıdır.
İLGİLİ KONULAR
- Çalınan BAE InvestBank Verileri Dark Web’de Satıldı
- Anonim Sudan, DDoS Saldırısıyla BAE’nin Flydubai’sini Vurdu
- DocuSign Kimlik Avı Dolandırıcılıklarında ABD Devlet Kurumlarının Taklidi Yapılıyor
- BAE’de Katar’ı İnternette Desteklemek Artık Siber Suçtur
- Google, BAE’deki kiralık hack gruplarıyla bağlantısı olan sitelere el koyuyor