Kimlik avı saldırıları, saldırganların bireyleri “hassas bilgileri” ifşa etmeleri için kandırmak amacıyla saygın varlıkların kimliğine büründüğü aldatıcı planlardır.
Bu saldırılar genellikle kurbanları “kötü amaçlı bağlantılara” tıklamaya veya “zararlı ekleri indirmeye” teşvik etmek için acil bir dil kullanan e-posta yoluyla gerçekleşir.
Trustwave siber güvenlik analistleri yakın zamanda oturum açma ayrıntılarını çalmak için Google gruplarını hedef alan Geri Arama Kimlik Avı saldırıları konusunda uyardı.
Geri Çağırma Kimlik Avı Saldırıları
Trustwave SpiderLabs, Temmuz ve Eylül ayları arasında “geri arama kimlik avı saldırılarında” (“Telefon Odaklı Saldırı Teslimatı” veya “TOAD” olarak da bilinir) “%140” oranında önemli bir artış olduğunu belgeledi.
Saldırıların, daha önce Google Grupları aracılığıyla “sahte sipariş spam planı” keşfetmelerinden kaynaklandığını keşfettiler.
Join ANY.RUN's FREE webinar on How to Improve Threat Investigations on Oct 23 - Register Here
Bu karmaşık “karma siber saldırı”, “geleneksel e-posta kimlik avını”, tehdit aktörlerinin çeşitli “TTP’ler” kullandığı “telefon görüşmeleri” yoluyla “sosyal mühendislik” ile birleştiriyor.
Saldırı, “metin gizleme içeren kimlik avı e-postaları” (‘base64 kodlaması ve ‘görünmez karakterler kullanan’), “görüntü tabanlı spam” (‘.gif dosyaları’) veya “belge tabanlı tuzaklar” (‘PDF,’) ile başlar. ‘.txt,’ ‘.doc’ formatları) meşru markaların kimliğine bürünüyor.
Bu e-postalar, mağdurların “sahte faturalar” veya “hesap sonlandırma” ile ilgili olarak verilen telefon numaralarını aramalarını teşvik ediyor ve yalnızca “metin tabanlı spam filtrelerinden” sıklıkla kaçmalarını sağlamakla kalmıyor.
Saldırı daha sonra üç ana vektöre karar verir: –
- Kişisel bilgileri ve bankacılık kimlik bilgilerini çalmak için vishing (sesli kimlik avı).
- Kötü amaçlı yazılım dağıtımı (“BazarCall”ın “BazarLoader kötü amaçlı yazılımını” dağıtması gibi).
- Uzaktan erişim istismarı (“Luna Moth kampanyalarında” görüldüğü gibi).
Programın etkinliği, “telefon görüşmeleri”, “minimum dijital ayak izi nedeniyle gecikmeli tespit” ve “zamanlama için Calendly gibi yasal hizmetlerle entegrasyon” aracılığıyla “gerçek zamanlı sosyal manipülasyon”un dahil edilmesine yardımcı olan “çift kanallı yaklaşımından” kaynaklanmaktadır. sahte destek çağrıları.”
Bunlar, geleneksel güvenlik önlemlerinin tespit edilmesini ve önlenmesini özellikle zorlaştırıyor.
Finansal platformlar, saldırganların “geri arama kimlik avı” yoluyla “PayPal”, “Xero”, “QuickBooks” ve “HoneyBook” gibi meşru hizmetlerden yararlandığı karmaşık siber güvenlik ihlalleriyle karşı karşıya kalıyor.
Bu saldırılar, güvenlik önlemlerinden kaçınmak için “DKIM” (‘DomainKeys Identified Mail’) imzaları ve “platforma özel başlık damgaları” gibi orijinal e-posta kimlik doğrulama protokollerinden yararlanır.
Saldırganlar, “gerçek kurbanlara iletmeden” önce “sahte e-posta adreslerine” göndererek ve böylece “e-posta kimlik doğrulama kontrollerinden” kaçarak sahte ödeme talepleri ve faturalar oluşturuyor.
Kötü amaçlı e-postalar meşru “Kimden” adresleri, “gerçek platform bağlantıları” ve “gerçek web sitesi yönlendirmeleri” içerir, bu da onları özellikle aldatıcı kılar.
Ancak ayırt edici tehlike işaretleri arasında “şüpheli ödeme notları”, “yeni kayıtlı alan adlarını kullanan eşleşmeyen “Alıcı” adresleri” ve “sahtekar müşteri hizmetleri telefon numaraları” yer alıyor.
Bu saldırı vektörü, e-postaların güvenilir finansal platformlardan gelmesi nedeniyle “güvenlik filtrelerinden” geçtiği, ancak “geciken ödemeler” veya “hesap anormallikleri” gibi acil tetikleyicileri de içerdiği “sosyal mühendislik” ile “teknik meşruiyeti” birleştirdiği için özellikle etkilidir. ” kurbanları sahte destek numaralarını aramaya yönlendirmek için.
Süreç, saldırganların yerleşik finansal platformların altyapısına olan güveni istismar ederken geleneksel kimlik avı düzenlerinin insan manipülasyonu yönünü koruduğu “TOAD”ın karmaşık evrimini göstermektedir.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Davetsiz e-postalara karşı dikkatli olun.
- E-postayla sağlanan numaraları değil, resmi kişileri kullanın.
- Aramalarda kişisel bilgilerinizi paylaşmayın.
- Banka hesaplarını takip edin ve usulsüzlükleri bildirin.
- Kimlik avı konusunda güncel kalın ve çalışanları eğitin.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here