Ağustos ortasında, Google reklamları aracılığıyla Lowes çalışanlarını hedefleyen bir kötü amaçlı reklam kampanyası tespit ettik. Birçok büyük şirket gibi Lowe’s’un da program, maaş bordroları veya yan haklar ile ilgili tüm konular için MyLowesLife adlı kendi çalışan portalı var.
O sırada “myloweslife” araması yapan Lowe çalışanları bir veya birden fazla sahte reklam görmüş olabilir. Kendisini yalnızca Lowe’s ile sınırlamayan, aynı zamanda diğer kurumları da hedef alan tehdit aktörü, mevcut ve eski çalışanların oturum açma kimlik bilgilerine erişmeyi amaçlıyor.
Lowe’s Life reklamlarım
Reklamları bir kimlik avı sayfasıyla birleştirmek, kanıtlanmış bir başarı reçetesidir. Gerçekten de, şüphelenmeyen kullanıcılar, tarayıcının adres çubuğuna tam URL’sini elle girmek yerine, aradıkları siteye ulaşmak için genellikle Google Arama’ya güvenirler. Dahili bir İK portalı için reklam görmek biraz şüphelidir, ancak yine de bu tuhaflığı gözden kaçırmak kolay olabilir.
MyLowesLife’ı taklit eden iki farklı reklamveren hesabı bulduk ve bir örnekte, her iki hesaptan da birbiri ardına 3 kötü amaçlı reklam gördük. Her reklam için listelenen URL farklıdır ve meşru olanla (myloweslife.com) eşleşmiyor, suçluların sıklıkla kullandığı iyi bilinen bir benzerlik tekniği.
Yapay zeka ile oluşturulmuş kimlik avı sitesi
Tehdit aktörü, kurbanlarını kandırmak için benzer görünümlü birkaç alan adı kaydetti:
myloveslife[.]net
mylifelowes[.]org
mylifelowes[.]net
myliveloves[.]net
İlginç olan, bunların her birinin ana sayfasının beklediğiniz gibi olmamasıdır. Aslında, gördüğümüz şey yapay zeka kullanılarak oluşturulmuş gibi görünen genel bir ‘perakende mağazası’ şablonudur.
Bunun basit bir nedeni var: Eğer birileri bu potansiyel olarak dolandırıcı web sitelerini araştırsa, kötü niyetli hiçbir şey göremez. Sonuç olarak, bir alan adı kayıt kuruluşunu veya barındırma sağlayıcısını siteyi askıya almak gibi herhangi bir eylemde bulunmaya ikna etmek zor olacaktır.
Kimlik avı sayfası
Kurbanlar Google reklamına tıkladıklarında, doğrudan ‘wamapps’ adlı bir dizinde bulunan kimlik avı sayfasına yönlendiriliyorlar. İlginç bir şekilde bu sayfa gerçek Mylowe’s Life web sitesinin yapısıyla örtüşüyor:
https://lius.myloweslife.com/wamapps/wamlogin
Bu, kullanıcıların Satış Numarası ve Şifresini girmesini isteyen gerçek Lowe’s portalının birebir kopyasıdır:
Sayfanın kaynak koduna baktığımızda, bu iki alanın xxx.php, yani kimlik avı kiti aracılığıyla bir POST isteği kullanılarak tehdit aktörüne nasıl geri gönderildiğini görebiliriz. Bu verileri topladıktan sonra, ikinci bir sayfa kullanıcılardan güvenlik sorularını ister. Bu muhtemelen Lowe’s tarafından alışılmadık bir oturum açma etkinliği tespit ettiklerinde hesapları güvence altına almak için kullanılan bir özelliktir:
Son olarak, bu bilgileri sağladıktan sonra, kurbanlar tekrar giriş bilgilerinin sorulacağı gerçek MyLowesLife web sitesine yönlendirilir. Bu şüphe uyandırabilirken, birçok kullanıcının bunun sadece sistemdeki bir aksaklık olduğunu düşünmesi ve bir daha geriye bakmaması mümkündür.
Tehdit aktörünün çalınan kimlik bilgileriyle ne yaptığı belirsiz ancak büyük ihtimalle bunları diğer suçlulara satan bir aracıdır.
Azaltma önlemleri
Google reklamları aracılığıyla marka kimliğine bürünme, her türden tehdit aktörü tarafından kullanılan çok popüler bir tekniktir. İnsanların varsayılan tarayıcılarını açacaklarını, hızlı bir arama yapacaklarını ve tam olarak onları hedefleyebilecekleri yerin burası olduğunu bilirler.
Google reklamlarını kötüye kullanan birçok kimlik avı kampanyasından kaçınmak için, sponsorlu sonuçlara tıklamamanızı şiddetle öneririz. Daha aşağı kaydırıp doğrudan resmi web sitelerini ziyaret etmeniz daha iyi olur.
Düzenli olarak ziyaret ettiğiniz bir internet portalı (banka, market, vb.) için web sitesini tarayıcınızın favorilerine eklemeniz iyi bir fikirdir: Bu şekilde güvendiğiniz bir siteyi ziyaret etmek daha hızlı ve güvenlidir.
Bu kötü amaçlı reklamları Google’a bildirdik ve bildiğimiz kadarıyla bu reklam kampanyası artık yayınlanmıyor. Malwarebytes müşterileri 1. günde hem Malwarebytes Browser Guard hem de Malwarebytes Premium Security ile korundu. Kimlik hırsızlığının kurbanı olduğunuzu düşünüyorsanız, Malwarebytes Identity Theft Protection’ı (ayrıca premium güvenlik ürünlerimiz aracılığıyla müşterilere sunulmaktadır) kontrol etmekten çekinmeyin.
