Giriş Ayrıntılarını Çalmak İçin Google Gruplarını Kullanan Geri Arama Kimlik Avı Saldırıları

   Ekim 22, 2024  Posted in CyberSecurityNews


Giriş Ayrıntılarını Çalan Google Gruplarına Yönelik Geri Arama Kimlik Avı Saldırılarına Karşı Dikkatli Olun

Kimlik avı saldırıları, saldırganların bireyleri “hassas bilgileri” ifşa etmeleri için kandırmak amacıyla saygın varlıkların kimliğine büründüğü aldatıcı planlardır.

Bu saldırılar genellikle kurbanları “kötü amaçlı bağlantılara” tıklamaya veya “zararlı ekleri indirmeye” teşvik etmek için acil bir dil kullanan e-posta yoluyla gerçekleşir.

Hizmet Olarak SIEM

Trustwave siber güvenlik analistleri yakın zamanda oturum açma ayrıntılarını çalmak için Google gruplarını hedef alan Geri Arama Kimlik Avı saldırıları konusunda uyardı.

Geri Çağırma Kimlik Avı Saldırıları

Trustwave SpiderLabs, Temmuz ve Eylül ayları arasında “geri arama kimlik avı saldırılarında” (“Telefon Odaklı Saldırı Teslimatı” veya “TOAD” olarak da bilinir) “%140” oranında önemli bir artış olduğunu belgeledi.

Saldırıların, daha önce Google Grupları aracılığıyla “sahte sipariş spam planı” keşfetmelerinden kaynaklandığını keşfettiler.

Join ANY.RUN's FREE webinar on How to Improve Threat Investigations on Oct 23 - Register Here 

Bu karmaşık “karma siber saldırı”, “geleneksel e-posta kimlik avını”, tehdit aktörlerinin çeşitli “TTP’ler” kullandığı “telefon görüşmeleri” yoluyla “sosyal mühendislik” ile birleştiriyor.

Saldırı, “metin gizleme içeren kimlik avı e-postaları” (‘base64 kodlaması ve ‘görünmez karakterler kullanan’), “görüntü tabanlı spam” (‘.gif dosyaları’) veya “belge tabanlı tuzaklar” (‘PDF,’) ile başlar. ‘.txt,’ ‘.doc’ formatları) meşru markaların kimliğine bürünüyor.

Geri arama kimlik avı saldırı akışı (Kaynak – Trustwave)

Bu e-postalar, mağdurların “sahte faturalar” veya “hesap sonlandırma” ile ilgili olarak verilen telefon numaralarını aramalarını teşvik ediyor ve yalnızca “metin tabanlı spam filtrelerinden” sıklıkla kaçmalarını sağlamakla kalmıyor.

Saldırı daha sonra üç ana vektöre karar verir: –

  • Kişisel bilgileri ve bankacılık kimlik bilgilerini çalmak için vishing (sesli kimlik avı).
  • Kötü amaçlı yazılım dağıtımı (“BazarCall”ın “BazarLoader kötü amaçlı yazılımını” dağıtması gibi).
  • Uzaktan erişim istismarı (“Luna Moth kampanyalarında” görüldüğü gibi).
Calendly zamanlayıcı (Kaynak – Trustwave)

Programın etkinliği, “telefon görüşmeleri”, “minimum dijital ayak izi nedeniyle gecikmeli tespit” ve “zamanlama için Calendly gibi yasal hizmetlerle entegrasyon” aracılığıyla “gerçek zamanlı sosyal manipülasyon”un dahil edilmesine yardımcı olan “çift kanallı yaklaşımından” kaynaklanmaktadır. sahte destek çağrıları.”

Bunlar, geleneksel güvenlik önlemlerinin tespit edilmesini ve önlenmesini özellikle zorlaştırıyor.

Paypal kullanılarak geri arama gönderildi (Kaynak – Trustwave)
Xero (Kaynak – Trustwave) kullanılarak gönderilen geri arama kimlik avı
Sahte QuickBooks faturası (Kaynak – Trustwave)
Honeybook kullanılarak gönderilen geri arama kimlik avı (Kaynak – Trustwave)

Finansal platformlar, saldırganların “geri arama kimlik avı” yoluyla “PayPal”, “Xero”, “QuickBooks” ve “HoneyBook” gibi meşru hizmetlerden yararlandığı karmaşık siber güvenlik ihlalleriyle karşı karşıya kalıyor.

Bu saldırılar, güvenlik önlemlerinden kaçınmak için “DKIM” (‘DomainKeys Identified Mail’) imzaları ve “platforma özel başlık damgaları” gibi orijinal e-posta kimlik doğrulama protokollerinden yararlanır.

Saldırganlar, “gerçek kurbanlara iletmeden” önce “sahte e-posta adreslerine” göndererek ve böylece “e-posta kimlik doğrulama kontrollerinden” kaçarak sahte ödeme talepleri ve faturalar oluşturuyor.

Kötü amaçlı e-postalar meşru “Kimden” adresleri, “gerçek platform bağlantıları” ve “gerçek web sitesi yönlendirmeleri” içerir, bu da onları özellikle aldatıcı kılar.

Ancak ayırt edici tehlike işaretleri arasında “şüpheli ödeme notları”, “yeni kayıtlı alan adlarını kullanan eşleşmeyen “Alıcı” adresleri” ve “sahtekar müşteri hizmetleri telefon numaraları” yer alıyor.

Bu saldırı vektörü, e-postaların güvenilir finansal platformlardan gelmesi nedeniyle “güvenlik filtrelerinden” geçtiği, ancak “geciken ödemeler” veya “hesap anormallikleri” gibi acil tetikleyicileri de içerdiği “sosyal mühendislik” ile “teknik meşruiyeti” birleştirdiği için özellikle etkilidir. ” kurbanları sahte destek numaralarını aramaya yönlendirmek için.

Süreç, saldırganların yerleşik finansal platformların altyapısına olan güveni istismar ederken geleneksel kimlik avı düzenlerinin insan manipülasyonu yönünü koruduğu “TOAD”ın karmaşık evrimini göstermektedir.

Öneriler

Aşağıda tüm önerilerden bahsettik: –

  • Davetsiz e-postalara karşı dikkatli olun.
  • E-postayla sağlanan numaraları değil, resmi kişileri kullanın.
  • Aramalarda kişisel bilgilerinizi paylaşmayın.
  • Banka hesaplarını takip edin ve usulsüzlükleri bildirin.
  • Kimlik avı konusunda güncel kalın ve çalışanları eğitin.

Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here



Source link