Özellikle tanınmış hizmet sağlayıcılarını taklit ederek otelcileri ve tatil kiralama operatörlerini hedefleyen sofistike bir kötüverizasyon kampanyası ortaya çıktı.
OKTA Tehdit İstihbaratı, saldırganların şüphesiz misafirperverlik profesyonellerini taklit giriş portallarına cezbetmek için kötü amaçlı arama motoru reklamları kullandığını bildiriyor.
Nihai hedef: Bulut tabanlı mülk yönetimi ve konuk mesajlaşma platformları için hasat kimlik bilgileri.
2025’in ortalarından başlayarak, araştırmacılar en az on üç saygın misafirperverlik ve tatil kiralama teknolojisi satıcıları için sponsorlu reklam yerleşimleri satın alan saldırganları gözlemlediler.
Kullanıcılar bu satıcılardan birini adıyla aradıklarında, en iyi sponsorlu sonuçlar onları meşru URL’lerin yazım hatası varyasyonlarından yararlanan benzer alanlara yönlendirir.
Sahte siteye girdikten sonra, kurbanlar kurumsal e -postalarını, şifrelerini ve hatta telefon numaralarını isteyen son derece ikna edici çoğaltma giriş sayfalarıyla karşılaşırlar.
Bu kötü niyetli reklamlar, arama sonuçlarındaki gerçek satıcı alanlarının üstünde ortaya çıktı ve kullanıcıların en iyi bağlantıları tıklama alışkanlığından yararlandı.
Örnekler arasında, tanınmış mülk yönetim sistemlerinin gerçek sayfalarının üzerinde tanıtılan iki farklı sahte site bulunmaktadır.
Oracle Hospitality, hedeflenen satıcılar arasındaydı ve saldırganlar Oracle’ın markasını yansıtan kimlik avı alanlarını döndürdü.
Kimlik Bilgisi Hasat ve MFA Bypass
Bu kampanyanın ilk aşaması, kimlik bilgisi hasatına odaklanmaktadır. Sahte oturum açma formları sadece standart hesap ayrıntılarını yakalamak için değil, aynı zamanda Phish çok faktörlü kimlik doğrulama (MFA) kodları için de tasarlanmıştır.
Bazı kimlik avı sayfaları açıkça “bir kerelik şifre” için istenirken, diğerleri bir şifre gönderilmesinden hemen sonra “SMS kodu ile oturum açın” veya “E-posta Kodu” seçenekleri sunar.
Telefon numaralarına giren kurbanlardan daha sonra bir kerelik SMS kodları sağlamaları istenerek saldırganların MFA korumalarını atlamasını sağlıyor.
Kimlik avı sitelerinin kaynak kodunun daha fazla analizi, bir JavaScript işaretleme işlevi ortaya koydu:
xml
Rus-dili hata mesajı (“ошибка запроса,”, “istek hatası” anlamına gelir) ve yorum (“запetim her 10 saniyede başlarız”) anlamına gelir (“запetim her 10 saniyede başlarız”) Rusça konuşulan tehdit aktörlerine potansiyel bilgiler önerir.
Okta ayrıca saldırganların oturum açma girişimleri sırasında bir Rus veri merkezi vekil sağlayıcısının kullanımını gözlemledi.
Gerçek zamanlı kurban analizi için işaret
Kimlik bilgisi yakalamasına ek olarak, kimlik avı sayfaları kurbanlarda gerçek zamanlı analizleri toplamak için işaretleme teknikleri kullanır. Veri noktaları şunları içerir:
- Ziyaretçi metrikleri ve oturum süresi.
- Coğrafi konum detayları.
- Bot-aktivite tespiti.
- Kimlik avı sayfası çalışma süresi için durum izleme.
Bu zeka, saldırganların sosyal mühendislik yemlerini geliştirmelerini, belirli coğrafyaları veya ağ ortamlarını hedeflemelerini ve kimlik avı sayfalarının otomatik savunmalar tarafından tespit edilmesini sağlamasını sağlar.
Bu kampanyada en az bir düzine misafirperverlik teknolojisi sağlayıcısı taklit edildi. Bulut tabanlı mülk yönetimi ve konuk iletişim platformlarının günlük otel operasyonlarında kritik rolü göz önüne alındığında, bu hesapların başarılı bir şekilde ödün vermesi, rezervasyonlara, konuk verilerine ve finansal bilgilere yetkisiz erişim sağlayabilir.
Tehdit aktörleri, rezervasyonları değiştirmek, misafir iletişimlerini engellemek veya misafirperverlik ortamlarına göre tasarlanmış fidye yazılımlarını dağıtmak için çalıntı kimlik bilgilerini kullanabilir.
Hafifletme
Okta, etkilenen kuruluşları ve ortaklarını aşağıdaki kontrolleri benimsemeye çağırıyor:
- Kimlik avına dirençli kimlik doğrulayıcılar
PassKeys (FIDO2/WebAuthn), Okta Fastpass veya akıllı kartlar gibi güçlü, sahiplik tabanlı kimlik doğrulayıcılarına tüm müşterileri ve ortakları kaydedin. Yüksek riskli uygulamalar için kimlik avı direnci politikalarını uygulamak. - Uyarlanabilir risk değerlendirmeleri
Nadiren kullanılan IP aralıklarından veya coğrafyalardan kaynaklanan erişim denemeleri için yüksek kimlik doğrulama gerektirir veya gerektirir. Normal kullanıcı etkinliğinden bayrak sapmalarına anomali algılamasını otomatikleştirin. - Etki alanı izleme ve yayından kaldırma
Markanızı taklit eden şüpheli etki alanı kayıtları için sürekli tarama yapın. Fikri mülkiyet ihlali için barındırma içeriğini gözden geçirin ve gerektiğinde yayından kaldırma talepleri. - Kullanıcı farkındalığı ve bildirimleri
Kullanıcıları kuruluşunuzu hedefleyen kötü niyetli tehditler hakkında uyarın. Hesaplarında şüpheli oturum açma denemeleri veya kimlik bilimi etkinliği algılanırsa, son kullanıcıları hemen bilgilendirin.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.