Summary
1. Scammers inject fake phone numbers into legitimate company websites (Netflix, Microsoft, Bank of America) using malicious URL parameters.
2. Cybercriminals buy Google ads leading to real websites with encoded URLs that exploit search vulnerabilities to display fraudulent contact information.
3. Victims see authentic company URLs and layouts, making fake numbers appear as official search results.
4. Avoid calling numbers found in URLs, and verify contact info through official channels.Saldırganların sahte telefon numaralarını sergilemek için meşru web sitelerini manipüle ettiği Netflix, Microsoft ve Bank of America dahil olmak üzere büyük Amerikan şirketlerini hedefleyen sofistike bir aldatmaca operasyonu.
Teknik olarak bir arama parametresi enjeksiyon saldırısı olarak sınıflandırılan saldırı, dolandırıcı kontrollü iletişim bilgilerini doğrudan resmi şirket sayfalarına gömmek için web sitesi arama işlevlerindeki güvenlik açıklarından yararlanır.
Bu yöntem özellikle tehlikelidir, çünkü kurbanlar, bilmeden kötü niyetli içeriği görüntüleyerek otantik şirket URL’sini tarayıcı adres çubuğunda görürken, aldatmacayı özel güvenlik araçları olmadan tespit etmek neredeyse imkansız hale getirir.
.png
)
Arama parametresi enjeksiyon saldırısı
Malwarebebytes, dolandırıcıların Google’daki sponsorlu arama sonuçlarıyla başlayan çok aşamalı bir işlemle saldırılarını düzenlediğini bildiriyor.
Siber suçlular, kullanıcıları resmi destek sayfaları gibi görünenlere yönlendiren meşru markaları temsil ediyor gibi görünen reklamlar satın alırlar.
Bununla birlikte, bu bağlantılar, hedef web sitelerinin arama işlevselliğine yansıyan giriş güvenlik açıklarından yararlanan kötü amaçlı URL parametreleri içerir.
Mağdurlar bu zehirli bağlantıları tıkladıklarında, gerçek şirket web sitelerine (Netflix, Microsoft, Bank of America, PayPal, Apple, Facebook ve HP) inerler, ancak önemli bir farkla.
Saldırganlar, hileli telefon numaraları ile birlikte %20 (boşlukları temsil eden) ve %2B (artı işaretleri temsil eden) gibi kodlanmış karakterler içeren URL’ler oluşturur.
Bu parametreler, meşru destek numaraları yerine dolandırıcının iletişim bilgilerini belirgin bir şekilde görüntülemek için sitenin arama sonuçlarını değiştirir.
Netflix örneği, saldırganların sahte telefon numaralarını nasıl doğrudan arama sonuçları ekranına yerleştirdiğini göstererek, hileli sayı Netflix’in kendi sisteminden resmi bir arama sonucu gibi görünmesini sağlıyor.
Bu URL manipülasyon tekniği geleneksel güvenlik önlemlerini atlar, çünkü kurban tüm süreç boyunca otantik web sitesinde kalır.
Bu saldırıların başarısı, web sitelerinin arama sorgu parametrelerini düzgün bir şekilde sterilize edememesine dayanmaktadır. Kullanıcılar arama terimleri girdiğinde, birçok kurumsal web sitesi, URL’de görünen her türlü veriyi yeterli doğrulama olmadan yansıtır.
Bu, kötü niyetli içeriklerini enjekte etmek için dolandırıcıların kullandığı yansıyan bir giriş güvenlik açığı yaratır.
URL’lerdeki kodlanmış karakterler ikili bir amaca hizmet eder: Kötü amaçlı telefon numaralarının hedef web sitelerinde doğru görüntülenmesini sağlarken temel güvenlik filtrelerini atlamaya yardımcı olurlar.
Örneğin, %20 kodlama, telefon numaralarındaki boşlukların düzgün bir şekilde oluşturulmasına izin verirken, %2B artı işaretlerin uluslararası telefon numarası formatlarında doğru görünmesini sağlar.
Kullanıcılar, URL’lerde görünen telefon numaraları, tarayıcı adres çubuğunda “Şimdi Arayın” veya “Acil Destek” gibi şüpheli arama terimleri ve telefon numaralarının yanında aşırı kodlanmış karakterler de dahil olmak üzere kırmızı bayrakları izlemelidir.
Arama sonuçları ile bulunan herhangi bir destek numarasını aramadan önce, kullanıcılar özgünlüğü sağlamak ve bu sofistike dolandırıcılıklara mağdur olmaktan kaçınmak için resmi şirket iletişimi veya sosyal medya kanalları aracılığıyla iletişim bilgilerini doğrulamalıdır.
Canlı Kimlik Hırsızlık Saldırısı UN MASK & Anında Savunma – Ücretsiz Web Semineri