Vishing’in popülaritesi son yıllarda önemli ölçüde arttı ve bu fenomen, Voice over IP Phishing’deki artış nedeniyle bilinmeyen numaralardan gelen bilinmeyen aramalardaki güven faktörünü yavaş yavaş yok ediyor.
Genellikle banka çalışanlarından veya satış görevlilerinden gelen aramalar gerçekleşir, ancak bunun yerine bir dolandırıcı ararsa ne olur? Son zamanlarda, dolandırıcıların sesli iletişim yoluyla insanları kandırdığı “Haydi arayalım” adlı yeni ve gelişmiş bir telefon dolandırıcılığı türü hakkında bir uyarı geldi.
.png
)
ThreatFabric’teki siber güvenlik araştırmacısı, bu gelişmekte olan ve gelişmiş sesli kimlik avı (vishing) biçimini keşfetti ve hakkında bir uyarı yayınladı.
Çok Aşamalı Saldırı Zincir
Sahte bir Google Play Store sitesinden, “Letscall” operatörleri, çok adımlı bir saldırı gerçekleştirerek kurbanları kötü amaçlı uygulamalar indirmeleri için kandırıyor. Kurban, o sayfadan kötü amaçlı uygulama zincirinin ilk aşamasını getirir.
Aşağıda, içerdiği üç aşamadan da bahsetmiştik: –
- İlk aşama aşağıdakileri içerir: –
- Cihazı hazırlar.
- Gerekli tüm izinler alınmıştır.
- Kimlik avı sayfasını başlatır.
- Ardından, kontrol sunucusundan ikinci aşama kötü amaçlı yazılımı indirip yükleyin.
- İkinci aşamada, kurbanla görüntülü veya sesli aramalar yoluyla, güçlü bir casus yazılım uygulaması, saldırganın verileri çıkararak ve virüslü cihazı iletişim için bir P2P VOIP ağına kaydederek hedeflenen cihaza bulaşmasını sağlar. Uygulama, kurbanı Letscall’ın WEBRTC’si aracılığıyla operatörlere bağlayan üçüncü aşamayı bırakır. Maksimum arama kalitesi sağlandı, NAT/güvenlik duvarı, Google STUN sunucuları da dahil olmak üzere STUN/TURN yöntemleriyle atlandı.
- Üçüncü aşama, kurban cihazdan saldırganın kontrolündeki çağrı merkezine arama yönlendirme gibi işlevler ekleyerek ikinci aşama kötü amaçlı yazılımı tamamlar.
Vishing saldırıları teknolojik olarak gelişmiş hale geldi. Dolandırıcılar artık modern ses trafiği yönlendirme teknolojisi ve yem olarak kullanmak için önceden kaydedilmiş mesajlarla otomatik kurban aramaları kullanıyor.
Sesli sosyal mühendislik saldırılarında becerikli arama operatörleri olarak, “Haydi Arayalım” grubu aşağıdakilerden oluşur:-
- Android geliştiricileri
- Tasarımcılar
- Ön uç geliştiricileri
- Arka uç geliştiricileri
İndirici
Bunun yanı sıra, saldırganın muhtemelen iki tür saldırının yardımıyla kurbanı yem sayfasına nasıl çektiği hala bilinmiyor ve burada aşağıda bahsediliyor:-
- Blackhat SEO tekniği
- Sosyal mühendislik
Ayrıca, siber güvenlik analistleri, öncelikle mobil ekranlar için optimize edilmiş, ancak ilginç bir şekilde Korece olan Google Play benzeri sayfalar keşfetti.
Teknik olarak, kullanılan İndiriciler, ara sıra özel yöntemler kullanan, biraz basit ve özel uygulamalardır.
İlk indirme sırasında, Letscall Tencent Legu ve Bangcle (SecShell) karartma kötü amaçlı yazılım tarafından birleştirilir. ZIP dizinlerinde, karmaşık adlandırma kullanır ve ardından güvenlik sistemlerini atlatmak için sonraki aşamalarda bildirimi bozar.
Bu tür saldırılar, mağdurlara önemli kredi geri ödemeleri yükleyerek önemli sonuçlara yol açabilir. Bu izinsiz girişler çoğu durumda finansal kurumlar tarafından hafife alınırken.
Şu anda yalnızca Güney Kore ile sınırlı, ancak güvenlik analistleri, tehdit aktörlerinin teknik engellerin olmaması nedeniyle Avrupa Birliği gibi diğer bölgelere kolayca yayılabileceği konusunda uyarıyor.
IoC’ler
Aşağıda, uzlaşma göstergelerinden bahsettik: –
Dosya sha256 karmaları
İndirici
a522a039ec619a60618c2c8a9e65adb0ff6105b655c1f9b3796e52e0d25958cb
İkinci sahne
22109901f8290dc2319bd9b49e6bf71f9ddc1af482ddb67fc6e1c3b09ecad9c8
Üçüncü sahne
bf5259bf53e3747d37d21dbf43b54ff8fa3c57fc991b53fcd320658b6cf34db9
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.