Kimlik avı dolandırıcıları en son inovasyonda geri çağırmalar için basar


Siber suç, sahtekarlık yönetimi ve siber suç

Telefon Odaklı Saldırı Teslimi Sosyal Mühendislik Taktiği Gelişiyor

Mathew J. Schwartz (Euroinfosec) •
3 Temmuz 2025

Kimlik avı dolandırıcıları en son inovasyonda geri çağırmalar için basar
Resim: Shutterstock

Kimlik avı endüstrisi asla bitmeyen bir yenilik ve yenilik kaynağıdır. Siber dolandırıcılar gelen kutunuza girmeye kararlıdır.

Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır

Son saldırılar, kurbanların savunmalarını dolandırıcıları kendileri çağırmaya teşvik ederek yıkmak için tasarlanmış bir sosyal mühendislik taktiği olan geri arama Phishing’i içeriyor, daha sonra saldırganlar duygularda oynayarak cüzdanlara girebilirler.

Tehdit Intel firması Cisco Talos, Çarşamba günü yapılan bir raporda, gerçek zamanlı etkileşimin kilit olduğunu söyledi. Cisco Talos’taki e -posta tehdidi araştırma ekibinde güvenlik araştırması lideri Omid Mirzaei, “Bir telefon görüşmesi sırasında canlı etkileşim, saldırganların sosyal mühendislik taktiklerini istihdam ederek kurbanın duygularını ve yanıtlarını manipüle etmelerini sağlıyor.” Dedi.

Bu gibi durumlarda yem, genellikle e-posta filtrelerini geçmesi için ayarlanmış bir PDF belgesidir ve genellikle meşru görünmek için iyi bilinen logolar sunar.

Mirzaei, “Mağdurlara bir sorunu çözmek veya bir işlemi onaylamak için PDF’de belirli bir sayıyı çağırmaları talimatı veriliyor.” Mağdur çağırdıktan sonra, saldırganlar meşru bir temsilci olarak poz verir ve arayanları “gizli bilgileri ifşa etmeye veya bilgisayarlarına kötü amaçlı yazılımlar yüklemeye” manipüle etmeye çalışırlar.

Microsoft, NortonLifelock, PayPal, DocuSign ve Geek Squad rütbesi, Saldırganlar tarafından en çok kimlik avı e-postalarında taklit edilen markalar arasında yer alıyor. Bu e -postaların çoğu ABD ve Batı Avrupa’daki IP adreslerinden kaynaklanmaktadır.

Bu tür bilgileri paylaşmayan birçok kuruluş sayesinde, fishers tarafından kullanılan VoIP telefon numaraları genellikle günlerce devam eder. Bir saldırgan ne kadar uzun süre koruyabilirse, bir kimlik avı e -posta alıcısının telefon etme şansı o kadar artar.

Bir zorluk, bilgisayar korsanlarının PDF’nin geçmiş savunmalarını kaçakçılık için tekniklere sahip olmasıdır. Mirzaei, “Örneğin, bir kimlik avı URL’si bir metin ek açıklamasına, yapışkan not yorumuna veya bir PDF eki içindeki form alanına gömülebilir.” Dedi. “Alternatif olarak, saldırganlar algılama sistemlerini atlamak için alakasız metin – veya ‘gürültü’ ekleyebilir.”

Daha fazla özgünlük görünümünü eklemek için, bir kişi saldırgan tarafından sağlanan bir URL’yi tıklarsa, ziyaret ettikleri site markalı bir açılış sayfasına çözülmeden önce bir captcha zorluğu gösterebilir. Bazı durumlarda, kimlik avı saldırıları sahte bir Dropbox sitesine karar verir.

Dolandırıcılar elbette birbirinden öğrenirler. 2021’deki Ryuk Ransomware Group, Bazarcall veya Bazacall olarak bilinen bir tür geri çağırma kimlik avına öncülük etti. Bu genellikle bir şirkete telefon eden ve müşteri destek uzmanı gibi davranan bir saldırganı içerir. Amaç, bireyi uzaktan kontrol yazılımı yüklemeye kandırmaktı. Conti fidye yazılımı grubu da bu taktiği denedi.

Kimlik avı odaklı saldırganlar mücadeleye katıldı. Bu, çoğu suçlu için zamanın para olduğunu ve yasadışı karları daha kolay ve hızlı bir şekilde sunmayı vaat eden herhangi bir taktiği özgürce benimseyeceklerini ve uyarlayacağını yansıtır.

Microsoft 365’i kötüye kullanma

Ortaya çıkan bir başka kimlik avı taktiği, Microsoft 365 abonelik hizmetinde yerleşik birden fazla üretkenlik uygulamasına ve Direct Send adlı bulut hizmetlerine erişim sağlayan bir özellik kullanmaktır.

Özellik, yazıcılar veya randevu uygulamaları gibi cihazların ve hizmetlerin e -postaları dahili olarak kolayca göndermesini sağlamak için tasarlanmıştır.

Varonis Tehdit Laboratuarları Mayıs ayında, kimlik avı mesajlarını dahili olarak dağıtmak için ABD’de düzinelerce şirket ağını ihlal ettikten sonra özelliği kötüye kullanan saldırganları gözlemledi. Bu tür mesajlar genellikle bir formatta bir adres kullanan akıllı ana bilgisayarlardan gelir: tenantname.mail.protection.outlook.com. Bu tür mesajlar, kimlik doğrulaması gerekmeden bir Microsoft 365 kiracısı içinde gönderilebilir.

Varonis, “Bir tehdit oyuncusu alan adına ve geçerli bir alıcıya sahip olduktan sonra, kiracıya giriş yapmadan veya kiracıya dokunmadan kuruluşun içinden gelen görünen sahte e -postalar gönderebilirler.” Dedi. “Bu sadelik doğrudan kimlik avı kampanyaları için çekici ve düşük çaba gösteren bir vektör gönderir.”

Silahlı ASCII Sanatı

Savunucular yaygın olarak kullanılan kimlik avı taktiklerini engelleyebilirse, suçlular geçici çözümler ararlar. Kurbanları kötü amaçlı web sitelerine yönlendirmek için tasarlanmış QR kodlarını alın. Anti-akışlı araç üreticileri, QR kodlarını yorumlama ve yeniden yönlendirdikleri URL’yi tanımlama ve bu noktada araçların hedef sitenin kötü niyetli olup olmadığını değerlendirebileceği ve eğer engellediklerini değerlendirme yeteneği de dahil olmak üzere gelen e-postaların OCR taramasını ekledi.

Yanıt olarak, geçen yıl saldırganlar, tipik 49 x 49 piksel matrisine eşlenmiş çalışan bir QR kodunu birlikte hareket ettirmek için ASCII veya Unicode “Tam Blok” karakterlerini basamaklı stil sayfalarıyla birlikte kullanmaya başladı (bakınız: bkz: bkz: Kötü niyetli pikseller: suçlular QR kodu kimlik avı saldırılarını yeniledi).

Bir gün, umarım yakında, savunucular bu tekniği engeller. Kimlik avı endüstrisi bir sonraki yinelemeye geçecek.





Source link