Dolandırıcılık Yönetimi ve Siber Suç, Sosyal Mühendislik
Çince konuşan operatörler Lucid’i kimlik avı’nın bir ‘birincil kaynağı’ haline getirdi
Prajeet Nair (@prajeaetspeaks) •
2 Nisan 2025
Güvenlik araştırmacıları, bu yıl Çince konuşan tehdit aktörleri tarafından işletilen bir Hizmet Olarak Kimlik Avı Platformu tarafından körüklenen kısa mesajda bir dalgalanma beklediklerini söylüyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Lucid olarak adlandırılan platform, 88 ülkede aktif olan büyük ölçekli smoling kampanyaları sağlıyor. Platform, saldırganların Apple Imessage ve Android’in zengin iletişim hizmetlerine kötü niyetli bağlantılar sunmalarını sağlar. Çalınan ödeme verilerinin bilgisayar korsanları tarafından tek-duruşma doğrulaması için yerleşik bir kredi kartı jeneratörü sunar.
Lucid zaten Avrupa, İngiltere ve Amerika Birleşik Devletleri’ndeki kullanıcıları hedefleyen kimlik avı kampanyalarının birincil kaynağıdır. Tehdit Intel firması Catalyst’teki araştırmacıları “Başlangıçta yerel düzeyde faaliyet gösteren etkisi önemli ölçüde arttı, 2025’in başlarında önemli bir artış,” diye uyardı.
Lucid, siber suçluların otomatik ve özelleştirilebilir kimlik avı saldırıları başlatmasına izin veren abonelik tabanlı bir modelde çalışır. Hizmet, kimlik avı sitelerinin ömrünü uzatarak IP engelleme ve kullanıcı ajanı filtreleme gibi gelişmiş önleme önleme mekanizmalarını içerir.
Lucid’in arkasındaki grup, “Siyah Teknoloji” veya “Xinxin” olarak da bilinen grup 2023’ten beri aktiftir. Hizmet öncelikle, posta hizmetleri, kurye şirketleri ve devlet kurumları gibi meşru kuruluşlardan kaynaklanan maskeli metinler aracılığıyla kredi kartı ayrıntılarını ve kişisel olarak tanımlanabilir bilgileri çalmak için kullanılır. ABD’de kullanıcılar, geçtiğimiz yıl boyunca bir yol geçiş ücreti toplama hizmetinden geldiğini iddia eden bir artış bildirdiler. FBI, 2024’te aldatmaca hakkında bir uyarı yayınladı. Tüketiciler, ABD Federal Ticaret Komisyonu’nun Ocak ayında bu konuda uyarmasına neden oluyor, Colorado Eyalet Hükümeti bu yılın başlarında sürücüleri ve Vermont Başsavcılığı Mart ayında bir dolandırıcılık uyarısı yayınlamasına neden oluyor.
Catalyst, operasyonel verilerin, berrak güdümlü kampanyaların ortalama%5’lik bir başarı oranına sahip olduğunu gösterdiğini yazdı.
Lucid telekom ağları yerine internet üzerinden çalışır. Bu yaklaşım mesaj teslimat oranlarını arttırır ve ayrıca saldırganların telekom filtreleme mekanizmalarından kaçmasını sağlar. Lucid ayrıca güvenlik analistleri ve otomatik tehdit istihbarat sistemleri tarafından tespit etmek için zaman sınırlı URL’ler ve cihaz parmak izi gibi gizleme tekniklerini de kullanır.
Kimlik avı sayfaları kurbanların yerlerine göre uyarlanmıştır ve yerel kuruluşların web sitelerini daha ikna edici görünmek için taklit eder. Hizmet ayrıca, saldırganların kimlik avı kampanyaları oluşturmasına ve dağıtmasına izin veren otomasyon araçlarından da yararlanıyor.
Lucid yapılandırılmış bir saldırı altyapısı sağlar. Tehdit oyuncuları veri ihlalleri, açık kaynaklı istihbarat toplama ve yeraltı pazarları aracılığıyla telefon numaraları alırlar.
Platform, Darcula ve Deniz Feneri gibi hizmetlerin yanı sıra birkaç PHAAS platformundan biridir (bkz:: Hizmet olarak kimlik avı platformu kesim fiyatları sunar).
Lucid’in arkasındaki grup, hizmetlerini Telegram’a aktif olarak pazarlıyor ve burada günde 100.000’den fazla armatüre mesaj gönderme yeteneğini tanıtıyor. Lucid, yöneticiler, çalışanlar ve konuk kullanıcılar da dahil olmak üzere birçok rolü destekleyen hiyerarşik bir yapı üzerinde çalışıyor gibi görünüyor. Platform için lisanslar haftalık olarak satılır ve yenilenmezse otomatik süspansiyon.