Facebook’taki tıklama tuzağı gönderileri, kötü amaçlı web sitelerine yönlendirebilir. Bu kampanyada dolandırıcılar, Facebook kurbanlarını Google’ın altyapısında barındırılan dolandırıcılık sayfalarına yönlendiriyor.
Çevrimiçi suçlular, sosyal medya sitelerinde gizlenmek ve kullanıcıları kötü amaçlı bağlantıları ziyaret etmeleri için kandırmakla ünlüdür. Yakın zamanda, Facebook kullanıcılarının yalnızca sahte tarayıcı uyarıları yoluyla yüzlerce doları dolandırmak amacıyla kurulmuş harici web sitelerine yönlendiren gönderilere tıkladıkları bir şema gözlemledik.
Bu kampanyayı benzersiz kılan şey, Google Cloud Run’ın her birkaç dakikada bir yeni kötü amaçlı bağlantılar oluşturmak üzere kötüye kullanılmasıdır. Daha önce Google’ın sunucusuz platformunda barındırılan teknik destek dolandırıcılığını hiç görmemiştik ve kesinlikle bu ölçekte değil. Bu blogda, dolandırıcıların tespit edilmekten kaçarken kurbanları cezbetmek için kullandıkları teknikleri ifşa ediyoruz.
Bu olayları hem Facebook’a hem de Google’a bildirdik.
Kötü amaçlı bağlantılar içeren Facebook gönderileri
Facebook, kullanıcıların fotoğraf, video veya çeşitli hikayelere bağlantılar göndererek içerik paylaşmasına güvenir. Bununla birlikte, harici bir web sitesi için bir bağlantı yayınlandığında, Facebook artık kullanıcı deneyimini ve özellikle siteyi ziyaret etmekten doğabilecek herhangi bir riski kontrol edemez.
Tıklama tuzağı makalelerinden haber değeri taşıyan içeriğe kadar çeşitli hikayeler yayınlayan birkaç Facebook hesabı belirledik. Bu hesapların güvenliğinin ihlal edilip edilmediğinden emin değiliz, ancak aynı hesabın farklı zaman aralıklarında birden fazla kötü niyetli bağlantı yayınladığını fark ettik ve bu da bir tehdit aktörü tarafından kontrol edilmiş olabileceğini gösteriyor.
Bir sonraki bölümde, bu web sitelerinin gizleme olarak bilinen bir teknik kullanılarak güvenlik kontrollerini yanıltacak şekilde nasıl kurulduğuna göz atacağız.
yem/gizleme
Bir VPN çalıştırırken veya belki de hedeflenmeyen bir ülke üzerinden URL’leri ziyaret edecekseniz, herhangi bir dolandırıcılıktan yoksun tipik bir haber sitesi gibi görünen bir şey göreceksiniz. Ancak bu sitelere ne kadar yakından bakarsanız, sahte olduklarını o kadar çok anlarsınız: Aslında farklı alan adlarına sahip aynı içeriklerdir. Bu, bir dolandırıcının çevrimiçi platformları ve güvenlik araçlarını aldatmak için bir tuzak sayfası oluşturduğu aynı eski gizleme tekniğidir.
Şimdi, bir Facebook gönderisine gerçek bir insan olarak tıklarsanız (bot veya VPN değil), tamamen farklı bir şey elde edersiniz, çünkü gizleme alan adları 302 yönlendirmesi gerçekleştirir. Bu, başka bir web sitesini hemen ve sorunsuz bir şekilde yükleyecek basit bir sunucu tarafı talimatıdır.
Aşağıdaki şemada, her web isteği için ağ trafiğini ve ayrıntılarını görebiliriz ve sonunda hepimizin çok aşina olduğu bir sayfa yükleyebiliriz: sahte bir Microsoft uyarısı.
Google Cloud Run “altyapısı”
Hemen dikkatimizi çeken bir şey, sahte hata sayfalarının “container’ları doğrudan Google’ın ölçeklenebilir altyapısı üzerinde çalıştırmanıza izin veren yönetilen bir bilgisayar platformu” olan Google Cloud Run’da barındırılmasıydı. Temel olarak, geliştiricilerin yalnızca bir kapsayıcı oluşturması ve bunu bir sunucuya ihtiyaç duymadan bir mikro hizmet olarak dağıtması gerekir, bu da onların bunun yerine koda odaklanmalarına olanak tanır.
Bir dolandırıcı için bu, minimum genel giderle kötüye kullanabilecekleri başka bir platformdur. Aslında Google, yeni müşterilere Cloud Run’da harcamaları için 300 ABD doları tutarında ücretsiz kredi ve krediden ücret alınmadan ayda iki milyon ücretsiz istek sunar.
Gizleme etki alanlarını bir süre yakından izledik ve tehdit aktörünün her 5 dakikada bir yeni bir Cloud Run URL’si oluşturan zamanlanmış bir görev oluşturduğunu belirledik. Bu yeni URL hemen kullanılabilir ve kötü amaçlı yeniden yönlendirme için gizleme etki alanına atanır. Birkaç gün boyunca binlerce kötü amaçlı URL gözlemledik:
Yalnızca URL değişmekle kalmaz, aynı zamanda kullandıkları IP adresleri de diğer müşterilerle paylaşılır. Bu, bir etki alanına veya IP engelleme listesine dayanan herhangi bir güvenlik ürününün bu kampanyaya ayak uyduramayacağı anlamına gelir.
Sosyal medya ve dolandırıcılıkla korunmak
Sosyal medya, harika bir eğlence kaynağı veya aileniz ve arkadaşlarınızla bağlantı kurmanın bir yolu olabilir. Ancak, bu platformları kullanmanın doğal riskleri vardır ve dikkatli olunmalıdır. Tıklama tuzağı makaleleri, çeşitli düzmece tekliflere veya daha kötüsüne yol açmasıyla ünlüdür.
Başka bir konu da, mağdurlar bağlantılarıyla istemeden bağlantı paylaştıkça tanıtılan gönderilerin nasıl hızla viral hale gelebileceğidir. Kesinlikle, teknik destek dolandırıcıları, yaşlılar gibi belirli demografik grupları nasıl hedef alacaklarını ve onları aldatıcı Facebook gönderileri yoluyla nasıl cezbedeceklerini çok iyi biliyorlar. Her zaman olduğu gibi, şiddetli bir ses kaydı oynatılırken bilgisayar ekranınız aniden ele geçirilse bile paniğe kapılmamanızı öneririz. Hemen hemen her durumda, bu açılır pencereleri güvenli bir şekilde kapatabilir ve hızlı bir şekilde tekrar çalışmaya başlayabilirsiniz.
Malwarebytes Browser Guard, dolandırıcılar Google Cloud Run URL’lerini kaç kez değiştirirse değiştirsin, bu saldırılara karşı kusursuz bir şekilde koruma sağlayabilir. Yerleşik dolandırıcılık buluşsal motoru, kötü amaçlı kodu algılayabilir ve gerçek zamanlı olarak engelleyebilir.
Uzlaşma Göstergeleri
Etki alanlarını gizleme
trendingentertainers[.]com
trendingfilmreviews[.]com
trendingshowbiz[.]com
trendingtvshows[.]com
usunveiled[.]net
viralcelebrityzone[.]com
viralfamezone[.]com
virallaughtrack[.]com
viralstargossip[.]com
viralfunnylaugh[.]com
Gizleme barındırma
194.38.23[.]88
194.38.23[.]18
194.38.23[.]58
194.38.23[.]30
Google Cloud Run URL’leri (burada kısmi liste).