Kimlik avı, bilgisayar korsanlarının insani güvenlik açıklarından yararlanmasına ve kullanıcıları hassas bilgileri ifşa etmeleri ve yetkisiz erişim sağlamaları için kandırmalarına olanak tanır.
Bu, güçlü teknik güvenlik önlemlerini bile aşabilen etkili bir sosyal mühendislik tekniğidir.
Kimlik avı kitleri ve hizmetleri, yaygın saldırıları gerçekleştirmek için düşük maliyetli ve az çaba gerektiren bir yol sağlar; bu da onları, finansal kazanç ve değerli verilere erişim isteyen tehdit aktörleri için cazip seçenekler haline getirir.
Son zamanlarda Netcraft'taki siber güvenlik analistleri, tehdit aktörlerinin iMessage aracılığıyla USPS'ye ve küresel posta hizmetlerine saldırmak için Dracula kimlik avı hizmetinden aktif olarak yararlandığını keşfetti.
iPhone Darcula Kimlik Avı Saldırısı
'Dracula', JavaScript, React, Docker ve Harbor gibi modern web teknolojilerinden yararlanan gelişmiş bir Hizmet Olarak Kimlik Avı (PhaaS) platformudur.
Yüksek profilli kampanyalar yürüten 20.000'den fazla kimlik avı alanı için kullanıldı.
Temel taktiklerden biri, filtreleri atlamak ve 100'den fazla ülkede posta hizmetlerini taklit eden “smishing” saldırıları için kullanıcı güvenini artırmak için SMS yerine iMessage ve RCS kullanmaktır.
Bu, mesajlaşma platformlarının algılanan meşruiyetinden yararlanarak ve tipik SMS tabanlı dolandırıcılık savunmalarından kaçınarak benzersiz derecede etkili veri çıkarılmasına olanak tanır.
Dracula platformu bir Telegram kullanıcısı tarafından geliştirildi ve küresel markaları hedefleyen yüzlerce şablonla sürekli güncellenen kimlik avı sitelerinin kolay kurulumunu sunuyor.
.webp)
Tipik kimlik avı kitlerinden farklı olarak, darcula web siteleri yeni özelliklerle ve gizleme amacıyla kötü amaçlı içerik yollarını değiştirmek gibi tespit edilmeye karşı önlemlerle yerinde güncellenebilir.
Rapora göre grup, diğer tehdit aktörlerine yönelik aylık ücretli abonelikler yoluyla para kazanıyor.
Darcula PhaaS, başta posta hizmetleri ve kamu hizmetleri, bankalar ve hükümetler gibi güvenilir kurumlar olmak üzere 100'den fazla ülkede 100'den fazla markayı hedefleyen yaklaşık 200 kimlik avı şablonu sunar.
.webp)
Cloudflare'de %32 ile .top, .com ve diğer düşük maliyetli TLD'leri tercih ederek marka adlarını taklit eden amaca yönelik kayıtlı alan adlarını kullanıyor. 11.000 IP'de 20.000'den fazla darcula alanı tespit edildi ve 2024'te her gün 120 yeni alan eklenecek.
Sahte alan adı satış sayfalarıyla gizlenen ön sayfalar, daha önce botları kedi türü aramalara yönlendirerek Darcula'nın kedi temalı markasıyla uyumlu hale getirildi.
Algılanmayı önleme taktikleri platformun karmaşıklığını ortaya koyuyor.
.webp)
Geleneksel SMS kimlik avından farklı olarak darcula, spam filtrelerini aşmak ve kullanıcının güvenini artırmak için şifreli mesajlaşma platformları RCS (Android'de) ve iMessage'ı (Apple) kullanır.
.webp)
RCS/iMessage, güncel SMS karşıtı spam mevzuatını atlayarak şifreleme sağlar, mesaj başına maliyet gerektirmez ve yanıt istemi ve cihaz çiftlikleri gibi taktikler yoluyla platform güvenlik kontrollerinin üstesinden gelir.
Uçtan uca şifreleme, kullanıcı gizliliğine yardımcı olurken, mesaj içeriğinin ağ düzeyindeki filtrelemeden korunmasını sağlar.
Tehdit aktörleri, tipik SMS savunmalarından kaçarken güvenilir markaların kimliğine bürünen yaygın “smishing” kampanyaları için bu avantajlardan yararlanıyor.
Araştırmacılar, kullanıcıları tanınmayan gönderenlerden gelen istenmeyen mesajlara karşı dikkatli olmaya çağırdı ve kimlik avı önleme araçlarının temel koruma önlemleri olmaya devam ettiğini söyledi.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.