ABD Federal Soruşturma Bürosu (FBI), siber suçluların, hesap ele geçirme (ATO) dolandırıcılık planlarını kolaylaştırmak amacıyla para veya hassas bilgileri çalmak amacıyla finansal kurumların kimliğine büründüğü konusunda uyardı.
Faaliyetin çeşitli büyüklüklerdeki ve sektörler arası bireyleri, işletmeleri ve kuruluşları hedef aldığını belirten ajans, dolandırıcılık planlarının yılın başından bu yana 262 milyon dolardan fazla kayba yol açtığını da sözlerine ekledi. FBI, 5.100’den fazla şikayet aldığını söyledi.
ATO dolandırıcılığı, genellikle tehdit aktörlerinin çevrimiçi bir finans kurumuna, bordro sistemine veya sağlık tasarruf hesabına yetkisiz erişim sağlayarak verileri ve fonları kişisel kazanç amacıyla ele geçirmesine olanak tanıyan saldırıları ifade eder. Erişim genellikle, kullanıcıların korkularını hedef alan mesajlar, aramalar ve e-postalar gibi sosyal mühendislik teknikleri veya sahte web siteleri aracılığıyla hedeflere yaklaşılarak elde ediliyor.
Bu yöntemler, saldırganların kullanıcıları kandırarak kimlik avı sitesine giriş bilgilerini vermelerini mümkün kılar ve bazı durumlarda kullanıcıları, hesaplarına karşı kaydedilen sahtekarlık amaçlı olduğu iddia edilen işlemleri bildirmek için bir bağlantıya tıklamaya teşvik eder.
FBI, “Bir siber suçlu, bir finans kurumu çalışanının, müşteri desteğinin veya teknik destek personelinin kimliğine bürünerek hesap sahibini, çok faktörlü kimlik doğrulama (MFA) kodu veya Tek Kullanımlık Şifre (OTP) dahil olmak üzere oturum açma bilgilerini vermesi için yönlendiriyor” dedi.
“Siber suçlu daha sonra yasal finans kurumunun web sitesinde oturum açmak ve parola sıfırlama işlemini başlatmak için oturum açma kimlik bilgilerini kullanıyor ve sonuçta hesapların tam kontrolünü ele geçiriyor.”
Diğer vakalar arasında, finans kurumu kılığına giren tehdit aktörlerinin hesap sahipleriyle iletişime geçmesi, bilgilerinin ateşli silahlar da dahil olmak üzere hileli satın alımlar yapmak için kullanıldığını iddia etmesi ve ardından hesap bilgilerini emniyet teşkilatı gibi davranan ikinci bir siber suçluya vermeye ikna etmesi yer alıyor.
FBI, ATO dolandırıcılığının, arama motorlarında işletme arayan kullanıcıları, kötü amaçlı arama motoru reklamları aracılığıyla benzer bir siteye yönlendiren sahte bağlantılara tıklamaları için kandırmak amacıyla Arama Motoru Optimizasyonu (SEO) zehirlenmesinin kullanımını da içerebileceğini söyledi.
Kullanılan yöntem ne olursa olsun, saldırıların tek bir amacı var: hesapların kontrolünü ele geçirmek ve kontrolleri altındaki diğer hesaplara hızla para aktarmak, şifreleri değiştirerek hesap sahibinin etkin bir şekilde kilitlenmesini sağlamak. Paranın aktarıldığı hesaplar ayrıca kripto para cüzdanlarına bağlanarak onları dijital varlıklara dönüştürüyor ve paranın izini gizliyor.
Tehdide karşı korunmak için kullanıcıların çevrimiçi veya sosyal medyada kendileri hakkında paylaşım yaparken dikkatli olmaları, hesapları herhangi bir finansal düzensizlik açısından düzenli olarak izlemeleri, benzersiz, karmaşık şifreler kullanmaları, oturum açmadan önce bankacılık web sitelerinin URL’sinden emin olmaları ve kimlik avı saldırılarına veya şüpheli arayanlara karşı tetikte olmaları tavsiye ediliyor.
FBI, “Evcil hayvanınızın adı, gittiğiniz okullar, doğum tarihiniz veya aile üyeleriniz hakkındaki bilgileri açıkça paylaşarak, dolandırıcılara şifrenizi tahmin etmeleri veya güvenlik sorularınızı yanıtlamaları için ihtiyaç duydukları bilgileri verebilirsiniz” dedi.
Saviynt’in baş tröst yetkilisi Jim Routh yaptığı açıklamada, “FBI duyurusunda atıfta bulunulan ATO hesaplarının büyük çoğunluğu, finansal kurumlar içindeki para hareketi için iç süreçlere ve iş akışlarına çok yakın olan tehdit aktörleri tarafından kullanılan, tehlikeye atılmış kimlik bilgileri yoluyla gerçekleşiyor” dedi.
“Bu saldırıları önlemek için en etkili kontroller manuel (doğrulama için telefon aramaları) ve onay için SMS mesajlarıdır. Bunun temel nedeni, şifresiz seçenekler mevcut olmasına rağmen bulut hesapları için kimlik bilgilerinin kabul edilen kullanımı olmaya devam ediyor.”
Bu gelişme, Darktrace, Flashpoint, Forcepoint, Fortinet ve Zimperium’un tatil sezonu öncesinde Kara Cuma dolandırıcılıkları, QR kodu dolandırıcılığı, hediye kartı kullanımı ve Amazon ve Temu gibi popüler markaları taklit eden yüksek hacimli kimlik avı kampanyaları dahil olmak üzere önemli siber güvenlik tehditlerini vurgulamasının ardından geldi.
Bu etkinliklerin birçoğu, son derece ikna edici kimlik avı e-postaları, sahte web siteleri ve sosyal medya reklamları üretmek için yapay zeka (AI) araçlarından yararlanıyor; bu, düşük beceriye sahip saldırganların bile güvenilir görünen saldırıları gerçekleştirmesine ve kampanyalarının başarı oranını artırmasına olanak tanıyor.
Fortinet FortiGuard Labs, son üç ayda kayıtlı en az 750 kötü amaçlı, tatil temalı alan adı tespit ettiğini ve birçoğunun “Noel”, “Kara Cuma” ve “Flash Sale” gibi anahtar terimleri kullandığını söyledi. Şirket, “Son üç ayda, büyük e-ticaret sitelerine bağlı ve hırsız günlükleri aracılığıyla erişilebilen 1,57 milyondan fazla giriş hesabı, yer altı pazarlarında toplandı” dedi.
Saldırganların ayrıca Adobe/Magento, Oracle E-Business Suite, WooCommerce, Bagisto ve diğer yaygın e-ticaret platformlarındaki güvenlik açıklarından aktif olarak yararlandıkları da tespit edildi. İstismar edilen güvenlik açıklarından bazıları arasında CVE-2025-54236, CVE-2025-61882 ve CVE-2025-47569 bulunmaktadır.
Zimperium zLabs’a göre, mobil kimlik avı (diğer adıyla mishing) sitelerinde 4 kat artış oldu; saldırganlar aciliyet yaratmak ve kullanıcıları tıklamaya, oturum açmaya veya kötü amaçlı güncellemeleri indirmeye ikna etmek için güvenilir marka adlarından yararlanıyor.”
Dahası, Recorded Future, tehdit aktörlerinin kurban verilerini çalmak ve var olmayan ürün ve hizmetler için hileli ödemelere izin vermek için sahte e-ticaret mağazaları kullandığı satın alma dolandırıcılıklarına dikkat çekti. Dolandırıcılıkları “yeni ortaya çıkan büyük bir dolandırıcılık tehdidi” olarak tanımladı.
Şirket, “Gelişmiş bir karanlık web ekosistemi, tehdit aktörlerinin hızlı bir şekilde yeni satın alma dolandırıcılığı altyapısı kurmasına ve etkilerini artırmasına olanak tanıyor” dedi. “Çalıntı kart verilerinin dark web tarama mağazası PP24’te satılması teklifi de dahil olmak üzere, geleneksel pazarlamayı yansıtan tanıtım faaliyetleri bu yeraltında oldukça yaygın.”
“Tehdit aktörleri, satın alma dolandırıcılıklarını yaymak için çalıntı ödeme kartlarıyla reklam kampanyalarını finanse ediyor, bu da daha fazla ödeme kartı verisinin tehlikeye atılmasına ve sürekli bir dolandırıcılık döngüsünün körüklenmesine neden oluyor.