Siber tehditler kurbanlara ulaşma şeklini değiştiriyor. Bordro Korsanları adı verilen mali motivasyonlu bir suç ağı, 2023’ün ortasından bu yana Amerika Birleşik Devletleri’ndeki bordro sistemlerine, kredi birliklerine ve ticaret platformlarına sessizce saldırıyor.
Tercih ettikleri silah, sahte reklamların arama motorlarında göründüğü ve kullanıcıları kimlik avı web sitelerini ziyaret etmeleri için kandırdığı kötü amaçlı reklamlardır. Çalışanlar bu sahte sayfalara giriş bilgilerini girdikten sonra, saldırganlar bilgileri çalıyor ve maaş ödemelerini kendi banka hesaplarına yönlendiriyor.
Bu organize operasyon zamanla büyüyerek 200’den fazla farklı platformu hedef aldı ve 500.000’den fazla kullanıcıyı yakaladı.
Kampanya, sahte maaş bordrosu web sitelerini tanıtan Google Ads ile başladı. Çalışanlar şirketlerinin İK portalını aradıklarında bu sponsorlu reklamları arama sonuçlarının en üstünde gördüler.
Reklama tıklamak onları gerçek maaş bordrosu giriş sayfasına tamamen benzeyen bir kimlik avı sitesine yönlendirdi. Kullanıcı adları ve şifrelerin girilmesinin ardından çalınan kimlik bilgileri, gizli iletişim kanalları aracılığıyla doğrudan saldırganlara gönderildi.
Check Point güvenlik araştırmacıları, Mayıs 2023’te birden fazla kimlik avı sitesinin maaş bordrosu platformlarını kopyaladığını fark ettiklerinde bu ağı tespit ettiler.
Soruşturma, farklı grupların birlikte çalıştığını, aynı saldırı araçlarını ve yöntemlerini paylaştığını ancak her birinin kendi etki alanına ve çalınan bilgileri toplama yöntemlerine sahip olduğunu ortaya çıkardı.
Kasım 2023’e gelindiğinde saldırılar geçici olarak durduruldu. Ancak Haziran 2024’te suçlular daha iyi araçlarla geri döndü. Yeni kimlik avı sayfaları artık kurbanlarla gerçek zamanlı olarak konuşan Telegram botlarını kullanarak iki faktörlü kimlik doğrulamayı yenebilir.
.webp)
Bir kullanıcı şifresini girdiğinde bot hemen doğrulama kodunu veya güvenlik sorularını soruyordu. Güncellenen sistem ayrıca algılamayı çok daha zorlaştıran yeniden tasarlanmış arka uç komut dosyalarını da kullandı.
Saldırganlar artık bariz veri toplama noktaları yerine, çalınan bilgileri fark edilmeden göndermek için xxx.php, check.php ve analyze.php gibi basit adlara sahip gizli PHP komut dosyalarını kullanıyor.
Gerçek Zamanlı Kimlik Bilgisi Hırsızlığı Mekanizması
Bu operasyonun en tehlikeli kısmı saldırganların güvenlik önlemlerini atlatmasıdır. Bir kurban sahte giriş sayfasına gelip kimlik bilgilerini girdiğinde, bilgiler bir Telegram botu aracılığıyla anında operatörlere gönderiliyor.
Bu bot, tüm ağın kontrol merkezi görevi görüyor ve kredi birlikleri, bordro sistemleri, sağlık hizmetleri yardım portalları ve ticaret platformları da dahil olmak üzere tüm farklı hedef türlerindeki iki faktörlü kimlik doğrulama isteklerini yönetiyor.
.webp)
Bot, operatörlere bildirimler gönderiyor ve operatörler daha sonra tek seferlik kodlar ve gerçek zamanlı güvenlik yanıtları talep ederek mağdurlarla etkileşime giriyor.
Bu doğrudan iletişim saniyeler içinde gerçekleşir ve kurbanların dolandırıldıklarını çok geç olana kadar fark etmelerini neredeyse imkansız hale getirir.
Kimlik avı kitleri, her hedef platformun kullandığı güvenlik önlemlerine bağlı olarak değişen dinamik öğeler kullanır. Sayfalar, gerçek web sitesinin güvenlik soruları, e-posta doğrulaması veya mobil kimlik doğrulaması isteyip istemediğine bağlı olarak farklı formlar yüklenerek otomatik olarak uyarlanır.
Arka uç komut dosyaları, şifrelenmiş kanallar aracılığıyla operatörlerle sessizce iletişim kurarak tüm veri toplamanın ağ izleme araçlarından gizli kalmasını sağlar.
Bu, güvenlik ekiplerinin kolayca engelleyebileceği veya devre dışı bırakabileceği açıkta kalan uç noktalar olmadığından altyapının bozulması neredeyse imkansız hale geliyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
