Kimlik Avı Koruması, DMARC, E-posta Güvenliği ve Koruması, Dolandırıcılık Yönetimi ve Siber Suçlar
Saldırganlar Özgeçmişlerde, Kimlik Eklerinde Kötü Amaçlı Yazılım Kullanarak Ekonomik Gerilemeden Yararlanıyor
Prajeet Nair (@prajeetspeaks) •
4 Mart 2023
Tehdit aktörleri, iş arayanları ve işverenleri hassas bilgileri çalmak ve şirket işe alım görevlilerini hacklemek için iş temalı kimlik avı ve kötü amaçlı yazılım kampanyaları kullanarak devam eden ekonomik gerilemeden yararlanıyor.
Ayrıca bakınız: İşletmenizi Gizli E-posta Tehditlerinden Koruma
Kimlik avı kampanyaları, iş arayanları bir işe alım ajansına aitmiş gibi görünen e-postalar göndererek ve onlardan kişisel bilgilerini veya oturum açma kimlik bilgilerini vermelerini isteyerek hedefler. Kötü amaçlı yazılım kampanyası, AgentTesla, Emotet, Cryxos Truva Atları ve Nemucod gibi önde gelen kötü amaçlı yazılımları kurbanların cihazlarına bırakmaya çalışır.
Bir rapora göre, “Bu e-postalar meşru görünüyor, ancak parolalar veya finansal bilgiler gibi hassas bilgileri çalmak için tasarlandı. Daha sonra kötü amaçlı yazılım, hassas bilgileri çalmak veya iş arayanın cihazına ve üzerinde depolanan bilgilere yetkisiz erişim elde etmek için kullanılabilir.” siber güvenlik firması Trellix’in raporu.
Trellix araştırmacıları, saldırganların işverenleri hedef almak için iş arayan kılığına girdiğini de gözlemledi. Saldırganlar, başvuru sahibi özgeçmişleri veya kimlik belgeleri olarak gizlenen ekler veya URL’ler aracılığıyla kötü amaçlı yazılım yayan özel olarak hazırlanmış e-postalar gönderir.
Trellix araştırma bilimcisi Daksh Kapur, “Siber suçlular işverenlerin aldığı yüksek hacimli iş başvurularından yararlandıkça bu tür saldırılar giderek yaygınlaşıyor” diyor. “Bu saldırıların amacı, hassas bilgilere yetkisiz erişim elde etmek, kişisel verileri çalmak ve kuruluşun işleyişini aksatmaktır. APT gruplarının kötü amaçlı yazılım dağıtmak için iş temalı e-postalardan yararlandığını da gözlemledik.”
Saldırganlar, e-postaların meşru görünmesini sağlamak ve e-postanın güvenilirliğini artırmak için Sosyal Güvenlik numaraları ve sürücü ehliyetleri gibi sahte veya çalıntı belgeler de kullanıyor ve “alıcının dolandırıcılığa düşme olasılığını artırıyor” diyor Kapur.
Yazım hatası
Kapur, siber suçluların ve devlet destekli grupların, iş arayanları hedeflemek için popüler iş bulma web sitelerinin yazım hatası içeren alanlarını oluşturduğunu söylüyor. Yazım hatası squatting, saldırganların yanlış yazılmış etki alanlarını kötü amaçlarla kullandığı bir sosyal mühendislik saldırısıdır.
Kapur, “Bu alan adları meşru web siteleri gibidir, ancak yanlış yazılmış kelimeler veya farklı uzantılar gibi küçük farklılıklar vardır” diyor.
Bu alanlar, iş arayanları kandırarak meşru bir web sitesi aracılığıyla bir iş başvurusunda bulunduklarını düşündürürken aslında siber suçlulara hassas bilgilerini sağlıyorlar.
Ek olarak Kapur, LinkedIn, Indeed ve diğerleri gibi işlerle ilgili alanlar için yeni yazım hatası olan alanların kaydında bir artış gözlemlediklerini söylüyor. Trellix tarafından gözlemlenen yazım hatası alan adlarına ilişkin örneklerden bazıları şunlardır: Indeed-id.com; gerçekten-7.com; gerçekten-a.com; gerçekten.ch; indedd.com; linkhedin.com; linkegin.com ve linkednn.com.
Trellix raporu, işle ilgili siber saldırganların yüzde 70’inden fazlasının ABD’yi hedef aldığını söylüyor. Diğer ülkeler arasında Japonya, İrlanda, Birleşik Krallık, İsveç, Peru, Hindistan, Filipinler ve Almanya bulunmaktadır.
Kapur, “Hem iş arayanlar hem de işverenler için bu yeni tehdidin farkında olmak ve kişisel ve finansal bilgilerini korumak için önlem almak çok önemli” diyor. “Bu tür kimlik avı saldırılarına karşı en iyi savunma, tanımadığınız kaynaklardan, özellikle bağlantılar veya ekler içeren e-postalar alırken dikkatli olmaktır.”
Siber güvenlik firması ClearSky’deki araştırmacılar daha önce Siamesekitten adlı İranlı bir APT grubunun bir tedarik zinciri saldırı kampanyasında İsrail şirketlerini hedef aldığını söylemişti. Saldırganlar, alıcıları kötü amaçlı yazılım indiren web sitelerine yönlendiren sahte iş teklifi e-postalarıyla kurbanları cezbediyor (bkz: İranlı Grup İsrail Firmalarını Hedef Aldı).
DreamJob adlı kampanya, önde gelen bir savunma firmasından işe alım görevlisine ait olduğu iddia edilen sahte bir LinkedIn profiline dayanıyor. Araştırmacılar, dolandırıcıların muhtemelen profili oluşturmak ve kurbanlarla etkileşim kurmak için aylar harcadıklarını söylüyor (bkz: Kuzey Koreli Bilgisayar Korsanları İş Temalı Spear-Phishing Saldırıları Gerçekleştiriyor).