Rusça konuşan bir tehdit aktörü, 2025’in başından bu yana gezginleri hedef alan 4.300’den fazla kötü amaçlı alan adını kaydeden kapsamlı bir kimlik avı kampanyası düzenledi.
Bu karmaşık operasyon, kimlik avı sayfalarını Airbnb, Booking.com, Expedia ve agoda gibi meşru seyahat endüstrisi devlerinin kimliğine bürünecek şekilde özelleştirerek, şüphelenmeyen kullanıcıları, otel rezervasyon onayları kisvesi altında ödeme kartı bilgilerini vermeleri konusunda aldatıyor.
Saldırı, otel rezervasyonlarını onayladığını iddia eden hedefli malspam e-postalarını içeriyor ve alıcıları görünüşte rezervasyon web sitelerine yönlendiren bağlantıları tıklamaya teşvik ediyor.
Ancak bu bağlantılar, kimlik avı sayfasına ulaşmadan önce kullanıcıları bazen terk edilmiş alanlar veya ücretsiz blog platformları aracılığıyla birden fazla aracı siteye yönlendirir. Bu gizleme tekniği, güvenlik filtrelerinden kaçmayı ve ilişkilendirmeyi karmaşıklaştırmayı amaçlamaktadır.
Kimlik avı kiti olağanüstü bir teknik gelişmişlik sergiliyor. Sayfanın markasını ziyaretçi tercihlerine göre özelleştirmek için URL’lere yerleştirilmiş benzersiz bir tanımlayıcı sistem olan “AD_CODE”u kullanır.
Aynı kimlik avı alanı, URL’de hangi AD_CODE değerinin göründüğüne bağlı olarak birden fazla meşru seyahat markasının kimliğine bürünebilir. Geçerli bir AD_CODE olmadan siteye erişen ziyaretçiler boş bir sayfa veya hata mesajıyla karşılaşarak güvenlik araştırmacılarının ve yetkisiz kullanıcıların dolandırıcılığı kolayca keşfetmesini engeller.
Küresel Erişim ve Dil Desteği
Kampanya, kimlik avı sayfalarının 43 farklı dile çevrilmesiyle kapsamlı bir uluslararası hedefleme sergiliyor. Bu çok dilli yaklaşım, tehdit aktörünün dünya çapındaki gezginleri hedef alan geniş bir ağ oluşturmasına olanak tanır.
Sayfalarda sahte “çevrimiçi yardım sohbeti” pencereleri ve meşruiyeti artırmak ve hedefleri dolandırıcılık işlemini tamamlamaya yönlendirmek için özel olarak seçilmiş Cloudflare marka tasarım öğelerini taklit eden sahte CAPTCHA’lar yer alıyor.
Analiz, kötü amaçlı alanlarda “doğrulama”, “onay”, “rezervasyon”, “kart doğrulama” ve “misafir doğrulama” gibi seyahatle ilgili anahtar kelimeleri içeren tutarlı adlandırma kurallarını ortaya koyuyor. Tanımlanan 4.344 alan adından 685’i “Rezervasyon”u içeriyor, 18’i “Expedia”ya referans veriyor, 13’ü “Agoda”dan bahsediyor ve 12’si “Airbnb”yi çağrıştırıyor.
Tehdit aktörünün Nepal, Almanya, Yunanistan, İspanya ve Brezilya’daki mülkler de dahil olmak üzere dünya çapındaki butik otelleri taklit eden belirli alan adlarını kaydettirdiği dikkat çekiyor.
Kayıt hızı genellikle haftada 10 ila 65 alan adı gibi şaşırtıcı bir seviyede; saldırganın tek bir günde en az 511 alan adını kaydettiği 20 Mart 2025’te olağanüstü bir artış yaşandı.
Tehdit aktörü ağırlıklı olarak dört kayıt şirketi kullanıyor: WebNIC, Public Domain Registry, Atak Domain Bilgi Teknolojileri AS ve MAT BAO Corporation’ın yanı sıra .world, .sale ve .help gibi özel TLD’ler.
Teknik Uygulama ve Veri Toplama
Kimlik avı sayfasında ziyaretçiler, kart sahibinin adları, kart numaraları, CVV’ler ve son kullanma tarihleri dahil olmak üzere ödeme kartı ayrıntılarını talep eden formlarla karşılaşıyor.
Kimlik avı sayfasının eski bir sürümünde, “Hotel Palazzo Argenta” adı, yanlış en boy oranında görüntülenen “Doğrulama Devam Ediyor” yazan bir görselin yanı sıra “giriş” ve “çıkış” tarihi de yer alıyor.
Sayfalar, arka plan işlemlerini denemeden önce kart formatını doğrulamak için Luhn doğrulamasını gerçekleştirir. Eş zamanlı olarak, sahte rezervasyonlara karşı “ekstra önlem” olarak sahte bir destek sohbet penceresi, kurbanları ödeme bilgilerini sağlamaya teşvik eden talimatlar gösteriyor.
Bu dilsel parmak izi, teknik gelişmişlik ve operasyonların ölçeğiyle birleştiğinde, bu kampanyayı Rusça konuşan siber suçluların düzenlediğini, büyük olasılıkla özelleştirilebilir kimlik avı kitini suç forumlarındaki diğer tehdit aktörlerine pazarladığını gösteriyor.
Test sırasında hâlâ çalışır durumda olan kimlik avı etki alanları kümesindeki farklı sitelerde aynı AD_CODE numarasının kullanılması, tüm sitelerde aynı marka kimliğine bürünmeyle sonuçlandı.
Perde arkasında, kimlik avı altyapısı sürekli olarak web sunucusunu yoklar, kullanıcı tuş vuruşlarına, gönderilen kart verilerine ve sohbet etkileşimlerine ilişkin gerçek zamanlı güncellemeler iletir ve maksimum bilgi çıkarımı için tasarlanmış bir veri toplama mekanizmasını gösterir.
Rusça yorumlar ve hata ayıklama çıktısı, kimlik avı kitinin kaynak koduna nüfuz ediyor ve HTML’de kapsamlı bir şekilde Rusça yorum yapılıyor.
Bu kampanya, finansal bilgileri geniş ölçekte tehlikeye atmak için teknik karmaşıklığı psikolojik manipülasyonla birleştirerek dünya çapındaki gezginler için büyük bir tehdit oluşturuyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.