Siber suçlular, giriş bilgileri almak için Facebook kullanıcılarına yönelik sofistike bir kimlik avı çabasında çeşitli dürüst taktikler kullanıyor.
Saldırı, kurbanları meşru Facebook arayüzlerini taklit eden hileli bir web sitesine götüren kötü niyetli bir yönlendirme ile başlar. Burada, kullanıcılar standart bir güvenlik doğrulama adımı olarak görünmek üzere tasarlanmış sahte bir captcha istemiyle karşılaşırlar.
Bu istem ile etkileşime girdikten sonra, site tarayıcının kendisi içinde otantik bir Facebook oturum açma penceresini simüle eden bir tarayıcı (BITB) kimlik avı taktiği dağıtır.
Bu yöntem, marka bilinci oluşturma, kullanıcı adları ve şifreler için giriş alanları ve hatta düğmeler ve hata mesajları gibi etkileşimli öğeler de dahil olmak üzere resmi Facebook giriş sayfasının görsel ve işlevsel öğelerini çoğaltan ikna edici bir kaplama oluşturur.
Bitb yaklaşımı özellikle sinsidir, çünkü tamamen mağdurun mevcut tarayıcı oturumunda çalışır ve tarayıcı güvenlik uyarılarını veya kullanıcı şüphesini tetikleyebilecek açılır pencerelere olan ihtiyacı ortadan kaldırır.
Oturum açma arabirimini taklit ederek, saldırganlar kullanıcıları kimlik bilgilerini doğrudan sahte forma girmeye kandırırlar ve bu da daha sonra failler tarafından kontrol edilen uzak sunuculara söndürülür.
Kullanılan Yeni Tarayıcı Tarayıcı Tekniği
Bu kimlik avı stratejisi, ortak kullanıcı savunmalarını atlamak için psikolojik manipülasyon ve teknik taklitten yararlanır.
Sahte Captcha, Facebook gibi platformlarda rutin bir bot önlemi olarak kullanıcıların Captcha zorluklarına aşinalıklarından yararlanan bir başlangıç kancası olarak hizmet eder.
Bir kez nişanlandıktan sonra, genellikle yanlış bir şekilde “Facebook.com” veya benzeri görüntülenen bir URL çubuğu ekleyecek şekilde çerçevelenen ve meşruiyet yanılsamasını daha da güçlendiren BitB penceresi ortaya çıkar.
Teknik analiz, saldırının bu gömülü tarayıcı benzeri ortamı oluşturmak için HTML, CSS ve JavaScript’e dayandığını ve gerçek siteye gerçek gezinme olmadan dinamik içerik yüklemesine izin verdiğini ortaya koyuyor.
Güvenlik araştırmacıları, bu tekniğin birincil URL’de alan taklit edilmesini değil, daha ziyade dahili bir simülasyon içerdiğinden geleneksel kimlik avı tespit araçlarından kaçtığını belirtti.
Mağdurlar, kimlik bilgileri gönderdikten sonra, uzlaşmayı maskelemek için gerçek Facebook sitesine yönlendirilebilir, tespiti geciktirir ve saldırganların hesap devralmaları, kimlik hırsızlığı veya daha fazla kötü amaçlı yazılım dağılımı için çalınan verileri kullanmasını sağlar.
Kampanyanın erişimi yaygın görünüyor, raporlar sosyal medya bağlantıları, e -posta cazibesi ve tehlikeye atılmış reklamlar aracılığıyla hedeflenmeyi gösteriyor.
Uzmanlar, uyanıklığın önemini vurgular, kullanıcılara URL’leri manuel olarak incelemelerini, hesaplarda iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmelerini ve istenmeyen istemlere kimlik bilgilerini girmekten kaçınmalarını vurgular.
Savunma açısından, kuruluşlar, anormal JavaScript davranışları veya beklenmedik iframe gömeçleri gibi BITB modellerini izleyen gelişmiş tehdit istihbarat yayınlarını entegre etmelidir.
Kimlik avı simülasyonlarını ve kurumsal sınıf web filtrelerini tespit edebilen tarayıcı uzantıları da riskleri azaltabilir.
Kimlik avı geliştikçe, bu saldırı, dijital arayüzlere olan güveni zayıflatmak için sosyal mühendisliği web geliştirme istismarlarıyla harmanlayan BITB gibi gelişmekte olan taktikler üzerinde devam eden kullanıcı eğitimi ihtiyacının altını çiziyor.
Uzlaşma göstergeleri
| İhtisas |
|---|
| Recaptcha-Metahorizon[.]com |
| Norotbot-Meta[.]com |
| loginpage-meta[.]com |
| meta-captcha[.]com |
| facebook[.]com |
| Ncaptcha-Meta[.]com |
| Notrobot-Metahorizon[.]com |
| Clearcapcha[.]com |
| antibot-meta[.]com |
| captcha-loginmeta[.]com |
| Doğrulama-Facebook[.]com |
| Autobypass-Meta[.]com |
| Recaptcha-loginmeta[.]com |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now