Sahte USPS kimlik avı sayfası.
Son haftalarda, hedeflenen kimlik avı dolandırıcılıklarının sayısında büyük bir artış görüldü. ABD Posta Servisi (USPS) müşterileri. Burada, dünya çapında en az bir düzine başka ülkedeki posta hizmetlerinin yanı sıra USPS’yi taklit ederek kişisel ve finansal verileri çalmaya çalışan kapsamlı bir SMS kimlik avı operasyonuna bir bakış yer alıyor.
KrebsOnSecurity kısa süre önce USPS tarafından gönderildiği iddia edilen bir SMS alan bir okuyucudan, okuyucunun adresine gönderilen pakette bir sorun olduğunu söyledi. Kısa mesajdaki bağlantıya tıklandığında alan adına yönlendirilirsiniz usps.informedtrck[.]iletişim.
Kimlik avı bağlantısı tarafından oluşturulan açılış sayfası USPS logosunu içeriyor ve şunu söylüyor: “Paketiniz geçersiz bir alıcı adresi nedeniyle beklemede. Bağlantıya doğru adres bilgisini girin.” Bu mesajın altında, ziyaretçiyi daha fazla bilgi isteyen bir sayfaya yönlendiren bir “Güncellemeyi tıklayın” düğmesi bulunur.
Kimlik avı sayfasındaki geri kalan düğmelerin tümü gerçek USPS.com web sitesine bağlantı verir. Sahte USPS sitesi, adres bilgilerinizi topladıktan sonra ek kişisel ve finansal veriler talep etmeye devam ediyor.
Bu kimlik avı alanı yakın zamanda kaydedildi ve WHOIS sahiplik kayıtları temelde mevcut değil. Ancak, Firefox, Chrome ve Safari’de yerleşik olarak bulunan ve kişinin bir web sayfasının kodunu ve işlemlerini yakından incelemesine olanak tanıyan bir dizi hata ayıklama özelliği olan Geliştirici Araçları’ndaki kimlik avı sayfasını yükleyerek, bu operasyonun kapsamı hakkında bazı ilgi çekici ipuçları bulabiliriz.
Aşağıdaki ekran görüntüsünün alt kısmına göz attığınızda, bu kimlik avı sitesinin, adlı bağlantıdan alınan resim de dahil olmak üzere bazı harici kaynakları yükleyemediğini fark edeceksiniz. fly.linkcdn[.]ile.
Büyütmek için resme tıklayın.
Her zaman kullanışlı olan URLscan.io’da bu alan adı üzerinde yapılan bir arama şunu gösteriyor: fly.linkcdn[.]ile bir dizi USPS temalı kimlik avı alanına bağlıdır. İşte bu alanlardan sadece birkaçı (yanlışlıkla tıklamayı önlemek için bağlantılar silinmiştir):
usps.receivepost[.]iletişim
usps.informedtrck[.]iletişim
usps.trckspost[.]iletişim
teslim alma sonrası[.]iletişim
usps.trckpackages[.]iletişim
usps.infortrck[.]iletişim
usps.quicktpos[.]iletişim
usps.postreceive].]com
usps.revepost[.]iletişim
takipusps.infortrck[.]iletişim
usps.receivepost[.]iletişim
usps.trckmybusi[.]iletişim
teslim alma sonrası[.]iletişim
Tetikleme pozisyonu[.]iletişim
usps.trckstamp[.]iletişim
ABD-usps[.]mağaza
usps.infortrck[.]iletişim
liste dışı pulpreceive[.]iletişim
usps.stamppreceive[.]iletişim
usps.stamppos[.]iletişim
usps.stampspos[.]iletişim
usps.trckmypost[.]iletişim
usps.trckintern[.]iletişim
usps.tackingpos[.]iletişim
usps.posinformed[.]iletişim
Aşağıdaki ekran görüntüsünde görebileceğimiz gibi, informationtrck için geliştirici araçları konsolu[.]com, sitenin yüklenemediğinden şikayet ediyor Google Analytics kod — UA-80133954-3 — geçersiz bir alana işaret ettiği için reddedildiği anlaşılıyor.
Kimlik avı web sitesindeki hatalı bir Javascript öğesinin açığa çıkardığı, vurgulanan Google Analytics kodunu fark edin. Büyütmek için tıklayın. Bu kod aslında USPS’e ait.
Bu Google Analytics kodu için geçerli alan adı, resmi usps.com web sitesidir. Buna göre dnslytics.comaynı analiz kodu, neredeyse aynı yıllar öncesine ait en az altı diğer neredeyse aynı USPS kimlik avı sayfasında da göründü; çevrimiçiuspsexpress[.]iletişimHangi DomainTools.com Eylül 2018’de Nijerya’daki bir kişiye kayıtlı olduğunu söylüyor.
2021’de kaydedilen aynı Google Analytics koduna sahip farklı bir alan adı: peraltansepeda[.]iletişimHangi arşiv.org gösterileri USPS kullanıcılarını hedef alan benzer bir dizi kimlik avı sayfası çalıştırıyordu. DomainTools.com, bu web sitesi adının Endonezya merkezli kimlik avcıları tarafından kaydedildiğini gösteriyor.
DomainTools, yukarıda belirtilen USPS kimlik avı etki alanının olduğunu söylüyor damga pulları[.]iletişim 2022 yılında Singapur merkezli olarak tescil edildi Alibaba.comancak bu alan adı için listelenen kayıtlı şehir ve eyalette “Georgia, AL” yazıyor ve bu gerçek bir konum değil.
Ne yazık ki, Georgia’da ikamet ettiğini iddia eden herkes için Alibaba aracılığıyla kayıtlı alan adlarını araştıran AL, “.top” ile biten yaklaşık 300 yeni posta yoluyla kimlik avı alan adını ortaya çıkarıyor. Bu alanlar ya parola korumalı bir oturum açma sayfası tarafından gizlenen yönetim alan adlarıdır ya da USPS’nin ve diğer ülkelere hizmet veren posta hizmetlerinin kimlik avı müşterilerini hedef alan .top alan adlarıdır.
Bu diğer ülkeler arasında Avustralya Post, An Post (İrlanda), Correos.es (İspanya), Kosta Rika postası, Şili Postası, Meksika Posta Servisi, Poste Italiane (İtalya), PostNL (Hollanda), PostNord (Danimarka, Norveç ve İsveç) ve Posti (Finlandiya). Bu alan adlarının tam listesini burada (PDF) bulabilirsiniz.
İrlanda’da devlete ait posta hizmetleri sağlayıcısı An Post’u hedef alan bir kimlik avı sayfası.
Alibaba’daki Georgia, AL alan adları aynı zamanda Avustralya, Yeni Zelanda ve Singapur hükümetlerinden ödenmemiş yol geçiş ücretleri ve para cezaları tahsil ettiğini iddia eden birçok sahte siteyi de kapsıyor.
Bu arada DomainTools’taki araştırmacılar yakın zamanda, İran’daki siber suçluların işi gibi görünen, USPS müşterilerini hedef alan görünüşte ilgisiz ama aynı derecede yaygın SMS tabanlı bir kimlik avı kampanyası hakkında bir rapor yayınladı.
SMS tabanlı kimlik avı dolandırıcılıkları geniş bir ağ oluşturma eğilimindedir ve genellikle yerel halk tarafından yaygın olarak kullanılan sahte varlıklardır ve çok az marka, yerel posta hizmetlerinden daha fazla hane erişimine sahip olacaktır. Haziran ayında, Birleşik Parsel Servisi (UPS), dolandırıcıların Kanada’daki bir çevrimiçi gönderi takip aracını, UPS ve diğer markaları yanıltacak şekilde yüksek hedefli SMS kimlik avı mesajları göndermek için kötüye kullandıklarını açıkladı.
Tatil alışverişi sezonu neredeyse yaklaşırken, kimlik avı dolandırıcılıklarından kaçınmak için en iyi tavsiyeyi ailenize ve arkadaşlarınıza hatırlatmanın şimdi tam zamanı: E-postalar, kısa mesajlar ve diğer ortamlar aracılığıyla izinsiz olarak gelen bağlantılara veya eklere tıklamaktan kaçının. Kimlik avı dolandırıcılıklarının çoğu, yanıt vermemeniz veya hızlı bir şekilde harekete geçmemeniz durumunda olumsuz sonuçlara karşı uyarıda bulunan geçici bir unsuru harekete geçirir.
Mesajın meşru olup olmadığından emin değilseniz, derin bir nefes alın ve söz konusu siteyi veya hizmeti manuel olarak ziyaret edin; ideal olarak, olası yazım yanlışı yapan siteleri önlemek için bir tarayıcı yer imi kullanarak.