Kimlik avı saldırıları dünya çapında kuruluşları hedef alan en kalıcı tehditlerden biri olmaya devam ediyor.
Siber suçlular, hassas bilgileri çalmak için yöntemlerini sürekli olarak geliştiriyor ve yakın zamanda keşfedilen bir kimlik avı kiti, bu operasyonların ne kadar gelişmiş hale geldiğini gösteriyor.
Bu özel çerçeve, İtalya’nın dijital altyapısında 5,4 milyondan fazla müşteriye hizmet veren bir şirket olan İtalyan BT ve web hizmetleri sağlayıcısı Aruba SpA’nın kimliğine bürünmek için tasarlandı.
Saldırganlar, bu kadar yaygın olarak güvenilen bir hizmet sağlayıcıyı hedef alarak, barındırılan web siteleri, etki alanı kontrolleri ve e-posta sistemleri dahil olmak üzere kritik iş varlıklarına erişim sağlayabilir.
Kimlik avı kampanyası, mağdurları süresi dolan hizmetler veya başarısız ödemeler konusunda uyararak aciliyet yaratan hedef odaklı kimlik avı e-postalarıyla başlar.
Bu mesajlar, resmi Aruba.it web posta portalını yakından taklit eden sahte giriş sayfalarına bağlantılar içerir.
Bu saldırıyı özellikle akıllıca yapan şey, kurbanın e-posta adresini giriş formuna otomatik olarak dolduran önceden doldurulmuş giriş URL’lerinin kullanılmasıdır.
Bu küçük ayrıntı, hedeflerin daha az şüpheli olmasını ve şifrelerini girme olasılığının artmasını sağlayan bir kimlik doğrulama katmanı ekler.
Group-IB güvenlik araştırmacıları, bu karmaşık kimlik avı çerçevesini, yer altı suç ekosistemlerini sürekli olarak izleyerek tespit etti.
Kit, sahte bir web sayfasından daha fazlasını temsil ediyor. Verimlilik ve gizlilik için oluşturulmuş, tespitten kaçınmak ve kimlik bilgisi hırsızlığını en üst düzeye çıkarmak için birden fazla teknik kullanan eksiksiz, otomatik bir platform olarak işlev görür.
Temel kimlik avı girişimlerinden farklı olarak bu sistem, güvenlik tarayıcılarını engellemek için CAPTCHA filtrelemesini ve çalınan verileri saldırganlara anında göndermek için Telegram botlarını kullanıyor.
Çok Aşamalı Kimlik Bilgisi Toplama Süreci
Saldırı, kimlik bilgilerinin ve finansal bilgilerin sistematik olarak ayıklandığı, dikkatlice tasarlanmış dört aşamadan oluşuyor.
İlk olarak kurbanlar, anti-bot filtresi görevi gören ve yalnızca insan hedeflerin gerçek kimlik avı sayfalarına gitmesini sağlayan bir CAPTCHA sorunuyla karşılaşır.
Kurbanlar bu kontrolü geçtikten sonra Aruba giriş sayfasının ikna edici bir kopyasına ulaşıyor ve burada kullanıcı adlarını ve şifrelerini giriyorlar ve bunlar saldırgana hemen gönderiliyor.
Süreç, hizmet yenileme ücreti olarak sunulan, genellikle 4,37 € civarında küçük bir ücret karşılığında kredi kartı bilgilerini talep eden sahte bir ödeme sayfasıyla devam ediyor.
Kart bilgileri gönderildikten sonra mağdurlara, bankalarının gönderdiği tek kullanımlık şifreyi ele geçiren sahte bir 3D Secure doğrulama sayfası sunuluyor.
Bu son bilgi, saldırganlara gerçek zamanlı sahtekarlık işlemlerine izin vermek için gereken her şeyi sağlar.
Bu süreç boyunca çalınan tüm veriler, sızma kanalları görevi gören Telegram sohbetlerine sızarak saldırganlara anında bildirim sağlanıyor.
Aşamaları tamamladıktan sonra mağdurlar, bilgilerinin ele geçirildiğinden habersiz kalarak meşru Aruba web sitesine yönlendiriliyor.
Bu operasyon, önceden oluşturulmuş kitlerin teknik engelleri önemli ölçüde azalttığı ve endüstriyel ölçekte yaygın kimlik bilgisi hırsızlığına olanak tanıdığı, hizmet olarak kimlik avının artan eğilimini vurguluyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
