“ERIAKOS” adı verilen kötü niyetli bir dolandırıcılık kampanyası, Facebook reklamları aracılığıyla 600’den fazla sahte web mağazasının tanıtımını yaparak ziyaretçilerin kişisel ve finansal bilgilerini çalmaya çalışıyor.
Siteler, ziyaretçileri çekmek için tanınmış markaların ürünlerini tanıtıyor ve önemli indirimler sunuyor; ancak güvenlik tarayıcılarının tespitinden kaçınmak için yalnızca mobil cihazlardan erişim sağlanabiliyor.
Recorded Future, ERIAKOS operasyonunu keşfetti ve kullanılan alan adı kayıt kuruluşu, kart ağları ve ödeme hizmeti sağlayıcılarına dayanarak bunun büyük olasılıkla Çin’den kaynaklandığını düşünüyor.
Araştırmacıların haritaladığı sitelerin çoğu kısa ömürlü oldukları için artık çevrimdışı olsa da kampanya hala aktif ve sürekli olarak insanların yeni oluşturulan siteleri ziyaret etmesini sağlayacak yeni reklam dalgaları üretiyor.
Dolandırıcılık kampanyası
Recorded Future, kampanyaya eriakos’ta barındırılan içerik dağıtım ağının adını verdi[.]com, tüm tanımlanmış sahte web mağazalarında ortaktır. Araştırmacılar dolandırıcılık kampanyasını 17 Nisan 2024’te keşfettiler, ancak ilk ne zaman aktif hale geldiği bilinmiyor.
Sahte sitelerin her biri, etkileşimi artırmak için yorumlara sahte kullanıcı referansları ekleyerek mobil kullanıcıları hedefleyen yaklaşık yüz Facebook reklamı yayınlıyor.
Reklamlarda Nike spor ayakkabıları, North Face kıyafetleri ve Amazon iPhone’lar gibi popüler ürünlerde büyük indirimler tanıtılıyor ancak potansiyel alıcıları çekmek için gerçekçi olmayan, süreli teklifler sunuluyor.
Recorded Future, Facebook’un zaman zaman reklamları tespit edip engellediğini, bunun da reklam platformunun dolandırıcılık karşıtı algoritmalarının bazı durumlarda etkili olduğunu gösterdiğini söylüyor.
Record Future’ın raporunda, “Facebook Ads zaman zaman dolandırıcılık amaçlı reklamları engelledi ve en sonunda reklam kampanyasından sorumlu hesabı engelledi. Bu durum, hizmetin dolandırıcılık tespit algoritmalarının en azından kısmen etkili olduğunu gösteriyor” ifadeleri yer alıyor.
“Ancak, gerçek dolandırıcılık alan adlarının kısa ömürlü olması, reklam kampanyalarının da muhtemelen kısa ömürlü olacak şekilde tasarlandığını ve operatörlerinin kurbanlarını hızla cezbetme ve dolandırma niyetinde olduğunu gösteriyor.”
“Bu taktik, dolandırıcılık amaçlı reklam kampanyaları büyük ölçekte yürütüldüğünde, bu kampanyada olduğu gibi, daha etkili olma olasılığı daha yüksektir.”
Araştırmacılar ve dolandırıcılık karşıtı firmalar tarafından tespit edilmekten kaçınmak için, açılış sayfalarına yalnızca mobil platformlar üzerinden veya Facebook’tan yönlendirildiklerinde erişilebilir. Sahte bir web mağazasının URL’si masaüstünde manuel olarak girilirse veya yönlendiren başlık eksikse, sayfa aşağıda gösterildiği gibi 404 hatası döndürür.
Bu tarama, anında tespit ve kaldırma işlemlerini önleyerek Facebook kullanıcılarının riske maruz kalmasını artırıyor.
Ayrıca, sahte online mağazalar için kullanılan kısa ömürlü alan adlarının sürekli yenilenmesi, kötü niyetli ağın eski sitelerden yeni sitelere hızlı bir şekilde sürekli geçiş yapması nedeniyle başka bir zorluk daha yaratıyor.
Sahtekarlık kampanyasının yaygın göstergeleri şunlardır: web sitesinin işletim sistemi kullanımı[.]eriyaklar[.]com’u CDN olarak kullanmak, Alibaba Cloud Computing’e kayıtlı alan adları ve 47.251.50 IP adreslerinin kullanımı[.]19 ve 47.251.129[.]84.
BleepingComputer, VirusTotal’a yüklenen kötü amaçlı yazılımı buldu [1, 2] bu IP adresleriyle iletişim kuruyor. Ancak, bu kötü amaçlı yazılımların aynı tehdit aktörlerinden mi yoksa paylaşılan altyapıyı kullanan diğer siber suçlulardan mı kaynaklandığı bilinmiyor.
Dolandırıcılık şebekesinin birçok internet sitesi artık faaliyette olmasa da Recorded Future, BleepingComputer ile iki gün kadar öncesine ait reklam örneklerini paylaşarak kampanyanın hâlâ aktif olduğunu gösterdi.
Mayıs 2024’te SRLabs araştırmacıları, Çin’den faaliyet gösterdiği düşünülen bir başka çevrimiçi dolandırıcılık ağı olan “BogusBazaar”ı keşfettiler.
Recorded Future, BleepingComputer’a, raporlarını yayınlamadan önce Meta’yı sahte reklamlar konusunda bilgilendirdiklerini söyledi.
BleepingComputer ayrıca Meta’ya kampanya hakkında sorular sordu ve geri dönüş olması halinde haberi güncelleyeceğiz.
Güvenli alışveriş yapın
Bu tür dolandırıcılık kampanyaları, tüketicilere birçok şekilde zarar verebilir; bunların arasında kredi kartlarında uzun vadeli sahte alışverişlere yol açmak da yer alır.
Tüketiciler sahte sitelerden ürün satın aldıklarında, kartlarından ücret tahsil edilir ve bu da tehdit aktörlerinin paralarını çalmasına olanak tanır. Ancak, tehdit aktörleri artık kredi kartı bilgilerinizi de ele geçirir ve bu bilgiler genellikle diğer tehdit aktörlerinin dolandırıcılık amacıyla kullanması için karanlık web pazar yerlerinde satılır.
Bu nedenle internetten güvenli alışveriş yapmak ve bilmediğiniz sitelerden alışveriş yapmadan önce araştırma yapmak çok önemlidir.
Ayrıca, Facebook gibi büyük platformlardaki reklamlar yanlış bir meşruiyet duygusu taşıyabilir ve kullanıcıların inanılmaz bir fırsat gibi görünen bir şeyi satın almak için aceleci kararlar almasına neden olabilir.
Ancak kullanıcılar, sosyal medya sitelerindeki tüm koruma mekanizmalarına rağmen dolandırıcıların hâlâ sahte sitelerin reklamını yapmak için fırsat pencereleri bulduğunu unutmamalı.
Satın alma işlemine geçmeden ve sipariş sayfasına hassas bilgilerinizi girmeden önce, elektronik mağaza hakkında bir geçmiş kontrolü yapın, kullanıcı yorumlarını okuyun, hüküm ve koşulların varlığını kontrol edin ve bulunduğunuz alan adının HTTPS kullandığından emin olun.
Bu kontrolleri mobil cihazlarda yapmak daha zor olabilir; bu da dolandırıcıların mobil kullanıcıları hedef almasını açıklıyor olabilir; dolayısıyla kredi kartı bilgilerinizi verdiğiniz herhangi bir web sitesini araştırmanız önemlidir.
Site hakkında şüpheli işaretler varsa veya arama sonuçlarında eksiklik varsa, büyük ihtimalle kredi kartı bilgilerinizi ve kişisel bilgilerinizi çalmak amacıyla oluşturulmuş sahte bir web mağazasıdır ve bu siteden uzak durmalısınız.