Kullanıcılar bir kimlik avı e-postasıyla karşılaştığında tehlike, ilk tıklamanın çok ötesine geçer. Tipik bir kimlik avı saldırısı, birinin sahte bir web sitesine oturum açma bilgilerini girerek kandırılmasıyla başlar.
Ancak bu yalnızca başlangıç noktasıdır. Siber suçlular çalınan bilgileri ele geçirdikten sonra bu bilgiler yeraltı pazarında anında değerli bir ürün haline gelir.
Veriler, yıllarca sürebilecek sürekli bir saldırı ve dolandırıcılık döngüsünü körükleyen bir metaya dönüşüyor.
Kimlik avının tüm kapsamını anlamak, ilk riskten sonra ne olduğunu incelemeyi gerektirir.
Bu kampanyaları izleyen araştırmacılar, çalınan kimlik bilgilerinin yer altı ağlarında karmaşık bir yolculuk izlediğini keşfetti.
.webp)
Toplamadan satışa ve yeniden kullanıma kadar her adım özel araçları ve organize suç altyapısını içerir.
Bu kapsamlı süreç, daha eski veri sızıntılarının bile neden tehlikeli olmaya devam ettiğini ve saldırganların aynı bilgileri farklı hedeflerde nasıl birden çok kez kullandığını ortaya koyuyor.
.webp)
Securelist analistleri, bu veri yaşam döngüsünde, modern kimlik avı operasyonlarının karmaşık doğasını sergileyen birkaç kritik aşama tespit etti.
Araştırma, siber suçluların çalınan bilgileri yeni kurbanlara karşı eyleme geçirilebilir saldırı vektörlerine dönüştürmek için etkili bir sistem geliştirdiklerini gösteriyor.
Kimlik Avı Verileri Nasıl Toplanıyor ve Aktarılıyor?
Çalınan verileri toplamak ve iletmek için kullanılan teknik yöntemler önemli ölçüde gelişti. Gerçek kimlik avı sayfalarını inceleyen araştırmacılar, saldırganların kullandığı üç temel yaklaşımı keşfetti.
İlk yöntem, kimlik avı sayfasına yerleştirilmiş bir PHP betiği aracılığıyla verileri doğrudan bir e-posta adresine göndermeyi içerir.
Ancak, teslimat gecikmeleri ve barındırma sağlayıcılarının kötü amaçlı trafiği engelleme riski de dahil olmak üzere e-posta hizmeti sınırlamaları nedeniyle bu yaklaşım daha az yaygın hale geliyor.
.webp)
İkinci yöntem ise veri toplamak için Telegram botlarını kullanıyor. PHP betiği, bilgileri e-posta yoluyla yönlendirmek yerine, çalınan kimlik bilgilerini bir bot belirteci ve sohbet kimliği kullanarak bir Telegram API’sine gönderir.
.webp)
Bu yaklaşım, saldırganlara e-posta yöntemlerine göre önemli avantajlar sunar. Veriler, gerçek zamanlı bildirimlerle anında ulaşıyor ve suçlular, takip edilmesi ve engellenmesi zor olan tek kullanımlık botları kullanabiliyor.
Botun performansı, kimlik avı sayfası barındırma kalitesinden etkilenmez, bu da bu yöntemi saldırganlar arasında giderek daha popüler hale getirir.
Daha sofistike tehdit aktörleri, BulletProofLink ve Caffeine platformları gibi özel yönetim panelleri kullanıyor.
Bu ticari çerçeveler, PaaS hizmetleri olarak işlev görür ve birden fazla kimlik avı kampanyasını yönetmek için birleşik kontrol panelleri sağlar.
Toplanan tüm kimlik bilgileri, saldırgan hesapları aracılığıyla erişilebilen merkezi veritabanlarına beslenir ve çalınan verilerin geniş ölçekte verimli bir şekilde yönetilmesine ve paraya dönüştürülmesine olanak tanır.
Bu altyapı, kimlik avı operasyonlarında önemli bir evrimi temsil ediyor ve onları basit planlardan organize suç örgütlerine dönüştürüyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
