Tehdit aktörleri, ziyaretçileri sahte OnlyFans yetişkin arkadaşlık sitelerine yönlendirmek için Birleşik Krallık Çevre, Gıda ve Köy İşleri Bakanlığı’nın (DEFRA) resmi web sitesinde açık bir yönlendirmeyi kötüye kullandı.
OnlyFans, ücretli abonelerin yetişkin modellerin, ünlülerin ve sosyal medya kişiliklerinin özel fotoğraflarına, videolarına ve gönderilerine erişim sağladığı bir içerik abonelik hizmetidir.
Yaygın olarak kullanılan bir site olduğundan ve adı tanınabilir olduğundan, tehdit aktörleri abone kazanmak veya insanların kişisel bilgilerini çalmak için bir dizi sahte OnlyFans yetişkin arkadaşlık sitesi oluşturdu.
DEFRA’da açık yönlendirmeyi kötüye kullanma
Bu kötü niyetli kampanyanın bir parçası olarak, tehdit aktörleri meşru bir Birleşik Krallık hükümeti bağlantısı gibi görünen bir açık yönlendirmeyi kötüye kullandı, ancak ziyaretçileri sahte OnlyFans arkadaşlık sitesine yönlendirdi.
Bu yönlendirmenin bir örneği aşağıdadır:
http://riverconditions.environment-agency.gov.uk/relatedlink.html?class=link&link=https://pentestpartners.comYönlendirmeler, kullanıcıları başlangıçtaki siteden genellikle harici bir sitedeki başka bir URL’ye otomatik olarak yönlendiren web sitesi web adreslerindeki yasal URL’lerdir.
Örneğin, bir web sitesinde tıklandığında kullanıcıyı otomatik olarak Google’a yönlendiren www.example.com/redirect/www.google.com gibi bir yönlendirme olabilir.
Açık bir yönlendirme herkes tarafından değiştirilebilir, böylece tehdit aktörleri ve dolandırıcılar yasal bir siteden istedikleri herhangi bir siteye yönlendirmeler oluşturabilir.
Bu, tehdit aktörlerinin açık yönlendirmeleri kötüye kullanmasına ve kimlik avı formları görüntülemek veya kötü amaçlı yazılım dağıtmak için ziyaretçileri kontrolleri altındaki web sitelerine gönderen arama sonuçlarında meşru bağlantıların görünmesine neden olur.
DEFRA’nın nehir koşulları sitesindeki açık yönlendirmeyi kötüye kullanan kötü niyetli kampanya, bulgularını BleepingComputer ile paylaşan Pen Test Partners analistleri tarafından geçen hafta keşfedildi.
“Salı günü öğleden sonra, meslektaşlarımdan biri Adam Bromiley Birleşik Krallık Çevre Ajansı web sitesinde açık bir yönlendirme fark etti. SoC (Çip Üzerinde Donanım Sistemi) veri sayfalarını ararken bir Google araması sırasında ortaya çıktı!” Kalem Testi Ortakları.
Bu yönlendirmeler, muhtemelen daha sonra Google’ın indeksleme botları tarafından indekslenen web sitelerine eklendikten sonra porno ve yetişkin sitelerini tanıtan Google arama sonuçları olarak listelendi.
Kaynak: Kalem Testi Ortakları
Fiddler tarafından izlenen ağ taleplerinden de görebileceğiniz gibi, ‘riverconditions.environment-agency.gov.uk/relatedlink.html’ bağlantısına tıklamak, ziyaretçileri bir dizi yönlendirme yoluyla yönlendirdi ve sonunda onları çeşitli sahte yetişkin sitelerine yönlendirdi. ‘kap5vo.cyou’, ‘https://rvzqo.impresivedate olarak[.]com’ ve daha fazlası.
Kaynak: Kalem Testi Ortakları
Örneğin, rvzqo.impresivedate[.]com sitesi ilk açıldığında, büyük bir animasyonlu OnlyFans logosunu görüntüler, ardından aşağıdaki sahte tanışma sitesi gelir.
Kaynak: BleepingComputer
Bu sahte OnlyFans siteleri, kullanıcıdan aradıkları “buluşma” türüyle ilgili bir dizi soruyu yanıtlamasını ister ve sonunda onları bir kez daha yetişkinlere yönelik “hile” sitelerine yönlendirir.
Çoğu ‘.gov.uk’ sitesi HackerOne aracılığıyla güvenlik raporlarını kabul etse de, Çevre Ajansı programın bir parçası değildir. Bu nedenle, açık yönlendirmeyi bulmak ile Defra’daki doğru kişiye bildirmek arasında 24 saatlik bir gecikme vardı.
“riverconditions.environment-agency.gov.uk” adresinde kötüye kullanılan DEFRA alanı çevrimdışına alındı ve Pen Test Ortakları raporlarını gönderdikten yaklaşık 48 saat sonra DNS kayıtları kaldırıldı. Ne yazık ki, bunu yazarken web sitesine hala erişilemiyor.
Aynı zamanda, ikinci bir araştırmacı aynı sorunu Google Arama sonuçları aracılığıyla fark etti ve sorunu Twitter’da kamuya açıkladı.
BleepingComputer, yeniden yönlendirme saldırısı hakkında DEFRA ile iletişime geçti ve kendisine ajansın teknik sorunlardan haberdar olduğu ve içeriği hâlâ erişilebilen yeni bir konuma taşıdığı söylendi.
Bir Birleşik Krallık Çevre Ajansı sözcüsü BleepingComputer’a “Thames Nehri koşulları web sitesindeki teknik sorunların farkındayız. Ekiplerimiz, içeriği halkın artık kolayca erişebileceği yeni bir siteye taşımak için hızla çalıştı.”
Devletin açık yönlendirme sitelerinin yetişkinlere yönelik kimlik avı sitelerini zorlamak için kötüye kullanılması yeni değil.
2020’de, kötü niyetli bir SEO kampanyası, weather.gov gibi çok sayıda ABD hükümeti web sitesindeki açık yönlendirmeyi, ziyaretçileri porno sitelerine yönlendirmek için kötüye kullandı.
O yıl başka bir kötü amaçlı kampanya, ziyaretçileri kötü amaçlı yazılım yayan COVID-19 kimlik avı sitelerine yönlendirmek için HHS.gov’daki açık bir yönlendirmeyi kötüye kullandı.
Daha yakın bir zamanda, saldırganların Snapchat ve American Express sitelerindeki açık yeniden yönlendirmeleri kullanarak ziyaretçileri Microsoft 365 kimlik avı sitelerine yönlendirdiğini bildirdik.