Telegram, hem kullanıcılar hem de siber suçlular için giderek daha popüler bir platform haline geliyor. Siber tehdit aktörlerinin bunları kullandığı 2021’den beri Mini Dark-web haline geldi.
Bu tehdit aktörlerinin sunduğu hizmetler, Kimlik Avı Otomasyonu, Kimlik Avı kitleri satma ve ödemeye istekli herkes için özel bir kimlik avı kampanyası oluşturma gibi çeşitlilik gösterir.
Bu kimlik avcıları, ürünlerini tanıtmak için anketler yaptıkları, izleyicilerini eğittikleri ve ne tür kişisel verileri tercih ettikleri konusunda seçenekler sundukları Telegram kanalları oluşturur.
Kanal linkleri GitHub, YouTube ve bunların oluşturduğu Phishing linkleri üzerinden dolaştırılır. Fiyatlandırmalarının, hizmetlerinin ve diğer bilgilerinin ayrıntılı bir analizi aşağıda listelenmiştir.
Şimdi Teklifler: Telegram Kara Borsası
Bu tehdit aktörlerinin hizmetleri “Ücretli” ve “Ücretsiz” olarak ikiye ayrılır. Telegram botları, birçok yasal kullanıcının düzenli görevleri otomatikleştirmesine, müşterilerin SSS’lerini yanıtlamasına, hatırlatıcılar ayarlamasına vb. yardımcı olur. Ancak tehdit aktörleri, botları kimlik avı sayfası oluşturmak veya kullanıcı verilerini toplamak için kullanır.
Bir telgraf botu ile bir kimlik avı sayfası oluşturmak aşağıdaki adımları içerir:
- Hevesli kimlik avcısı, bir bot oluşturucunun kanalına katılıyor
- Dili seçin (İngilizce / Arapça)
- Bot, kimlik avcısından botunu oluşturmasını ve jetonunu “Botfather” adını verdikleri mevcut botla paylaşmasını ister.
- Belirteci paylaştıktan sonra botfather, tümü aynı etki alanına sahip birçok sahte sayfa oluşturur.
Botfather, kimlik avı bağlantılarını oluşturduğunda, kimlik avcısının bağlantıyı kendisinin yayması gerekir.
Bu kimlik avı sayfalarının her kurbanı olduğunda, kimlik avcısı botunda jetonu botfather ile paylaştığı bir mesaj alır.
Mesaj, kurbanın hangi bağlantıyı ziyaret ettiğini, IP adresini ve girdiği kimlik bilgilerini içerecektir.
Kimlik avı sayfaları oluşturan bazı botlar, Dropbox veya Google gibi başlangıçta hizmetin çoğaltılmasını isteyen bağlantı oluşturan botlardan biraz farklıdır.
Bunu takiben, kimlik avcısından, kullanıcıların genellikle bir Google ana sayfası olacak olan kimlik avı sayfasına düştükten sonra yönlendirmelerini istediği bağlantıya girmesini ister. Seçenekler verildikten sonra, oluşturulan tüm bağlantılarda çoğaltılan aynı hizmeti içeren birden çok bağlantı oluşturur.
Kurbanların kimlik bilgileri doğrudan Telegram’daki bu kimlik avı botu üzerinden alınacak.
Telegram Botları bu bağlantıları nasıl alıyor?
Temel kimlik avı kiti, gerekli verileri mevcut önceden tanımlanmış paketlerle birlikte bir yardımcı programa ileten bir hizmet sunar.
Bundan sonra, kimlik avı sayfalarının içinde, çalınan verileri bağlantıların yapılandırıldığı bot’a iletecek bir komut dosyası var. Diğer bilgiler, sohbet tanımlayıcı belirtecini ve bağlantıların yönlendirilmesi gereken URL’yi içerir.
Gizemli soru: Geliştiricinin neden bu sayfayı sunucusuna bir kopya gönderecek şekilde yapılandıramadığı hala yanıtlanmadı.
Bu kimlik avcıları bazen o kadar cömerttirler ki, çeşitli markaların kimlik avı sayfaları için kaynağı içeren bir bağlantı yayınlarlar ve bunlar kullanıma hazır şablonlardır.
Bu kanalların aboneleri, çalınan kişisel verileri içeren bağlantılarla da sıklıkla karşılaşmaktadır. Ayrıca bu bağlantıları doğrulanmış veya doğrulanmamış veriler olarak etiketlerler. “SARI IŞIKLI VERİ”, doğrulanmamış veriler anlamına gelir.
Araştırma, tehdit aktörlerinin mevcut bakiyeye göre banka hesabı kimlik bilgilerini sattığını ortaya çıkardı. Örneğin, 1.400$’lık bir banka hesabı 110$’dan, 49.000$’lık bir hesap ise 700$’dan satıldı.
Hizmet olarak kimlik avı (PhaaS)
SaaS veya PaaS gibi, Phaas (hizmet olarak kimlik avı) da giderek daha popüler hale geliyor. SaaS, Yazılımı bir hizmet olarak sunar; aynı şekilde, bu kötü niyetli aktörlerin yeni başlayan kimlik avcıları için “premium” abonelikler sunduğu tespit edildi. Bu hizmet, yeni başlayanlar için kılavuzlar, kimlik avı araçlarına erişim ve teknik destek içerir.
Bazen bu tehdit aktörleri, bot önleme sistemlerine, URL şifrelemeye, coğrafi engellemeye ve saldırganlar için yararlı olan diğer heyecan verici özelliklere sahip olduklarından bahseder. Daha yakından baktığımda, web tarayıcılarını ve diğer kimlik avı dedektörlerini engelleyen komut dosyaları içeriyorlardı.
Bu tür sayfaların fiyatları, farklı satıcılarda kopya başına 10 ABD Doları ile birkaç sayfalık bir arşiv için 50 ABD Doları arasında değişmektedir. 3-D secure desteği gibi bazı özel öne çıkan sayfalar 300$’a kadar çıkıyor.
Çok yönlü bir yama çözümü arıyorsunuz – Patch Manager Plus’ı Deneyin