Dolandırıcılar, kimlik avı e-postalarını potansiyel hedeflere ulaştırmak için etkinlik yönetimi ve biletleme web sitesi Eventbrite’tan yararlanıyor.
Perception Point araştırmacıları, “Temmuz ayından bu yana bu saldırılar her hafta %25 arttı ve toplamda %900’lük bir büyüme oranı elde edildi” diyor.
Kimlik avı e-postaları meşru şirketlerin kimliğine bürünüyor
Kimlik avı e-postaları Eventbrite’tan geliyormuş gibi görünüyor çünkü öyleler, ancak içerikleri NLB Group (finansal kurum), EnergyAustralia (enerji şirketi), DHL (teslimat hizmeti), Qatar Post (posta hizmeti) gibi meşru işletmelerin kimliğine bürünmek için hazırlanmıştır. ve diğerleri.
Eventbrite platformu aracılığıyla gönderilen kimlik avı e-postasına bir örnek (Kaynak: Perception Point)
“Her e-posta, alıcıyı harekete geçmeye teşvik ediyor: PIN kodunuzu sıfırlayın; teslimat adresinizi doğrulayın; ödenmemiş bir faturanın ödenmesi; bir paket için ödeme yapın. Araştırmacılar, zamana bağlı bu taleplerin, tehdit aktörlerinin hedefi hızlı hareket etmeye teşvik etmek için kullandığı bir sosyal mühendislik taktiğini kullandığını belirtti.
E-postalar ayrıca birden fazla dilde gönderilir: İngilizce, Almanca, Danca, Slovence. Araştırmacılar, “E-postaları dile ve markaya göre kişiselleştiren kampanya, yalnızca küresel değil, aynı zamanda son derece uyarlanabilir ve geleneksel güvenlik önlemleriyle tespit edilmekten kaçınıyor” dedi.
Sağlanan bağlantıyı takip eden alıcılar meşru sitelerin benzerlerine yönlendirilir ve kişisel bilgilerini, telefon numaralarını, kredi kartı bilgilerini, oturum açma kimlik bilgilerini vb. girmeleri istenir.
Siber dolandırıcılar, kimlik avı e-postaları göndermek için Eventbrite’ı nasıl kötüye kullanıyor?
Everbrite’ta herkes bir hesap oluşturabilir ve yeni bir etkinlik oluşturabilir. Kimlik avcıları kaydolur ve saygın bir marka kisvesi altında sahte etkinlikler oluşturur ve etkinlik açıklamasına veya ekine kimlik avı bağlantıları yerleştirir.
Bu, Eventbrite platformu aracılığıyla e-posta göndermelerine olanak tanır.
“Saldırgan herhangi bir e-posta adresini girebilir; bu, davet göndermeye eşdeğerdir; e-posta adresinin etkinliğe kayıtlı olup olmaması önemli değildir. E-postalar hedeflidir ve rastgele değildir. Alıcıların e-postayı alabilmeleri için Eventbrite kullanıcısı olmalarına da gerek yok,” diye konuştu araştırmacılar Help Net Security’ye.
“Eventbrite’a göre kullanıcılar günde 250’ye kadar tanıtım e-postası gönderebiliyor. PRO paketine sahiplerse bu, günde 2.000 – 10.000 e-posta arasındadır. Günde birden fazla hesap oluşturan bir saldırgan, bu erişimi önemli ölçüde artırabilir: Örneğin, dört ücretsiz hesapla bir saldırgan, potansiyel olarak günde 1.000 kimlik avı e-postası gönderebilir. Daha az olası olsa da saldırganlar hizmetin ücretli Pro planlarından yararlanırsa plan katmanına bağlı olarak erişimlerini daha da artırabilirler. Ancak bunu yapıp yapmadıklarını bilmiyoruz.”
E-posta, Eventbrite’ın doğrulanmış alanı ve IP adresi aracılığıyla gönderildiği için e-posta spam filtrelerini kandırırsa, kullanıcıların gelen kutularına düşerek şunu gösterir: [email protected] gönderenin e-posta adresi olarak.
Bu e-posta adresi ile e-posta içeriği arasındaki tutarsızlık bazıları için bariz olsa da, diğerleri bunu kaydetmez bile ve uygulanan sosyal mühendislik taktiğine kapılabilirler.
Hizmetlerinin kötüye kullanılmasını önlemek için hangi adımları attıklarını sormak için Eventbrite’a ulaştık ve yanıtlarını aldığımızda paylaşacağız.