Tatil sezonu, iki tehlikeli taktiği birleştiren karmaşık kimlik avı saldırılarında bir artışı beraberinde getirdi: sahte Docusign bildirimleri aracılığıyla kimlik bilgilerinin toplanması ve sahte kredi başvuru formları aracılığıyla kimlik hırsızlığı.
Bu koordineli kampanyalar, aşırı yüklenen gelen kutularından kaynaklanan mevsimsel kaostan ve Noel ve Yeni Yıl döneminde zirveye çıkan mali stresten yararlanıyor.
Tehdit aktörleri, kullanıcıların tanıdık iş akışlarına, özellikle de belge inceleme süreçlerine duyduğu güvenden yararlanarak hem kişisel hem de kurumsal verileri eşi benzeri görülmemiş bir ölçekte riske atıyor.
Saldırı kampanyası, kullanıcıları yoğun tatil döneminde tamamlanmış belgeleri incelemeleri gerektiğine ikna etmeye dayanıyor.
Dolandırıcılar, orijinal görünümlü markalama ve altbilgilere sahip Docusign’dan geliyormuş gibi görünen e-postalar gönderir, ancak bu mesajlar meşru Docusign sunucularından ziyade jritech.shop gibi şüpheli alanlardan kaynaklanır.
.webp)
E-postalar, şarap siparişleri gibi sahte Noel temalı belgelere gönderme yaparak, doğrulama gerektirmeden hızlı tıklamaları teşvik eden bir meşruiyet duygusu yaratıyor.
Kullanıcılar Belgeyi İncele düğmesini tıklattıklarında, kurumsal e-posta oturum açma bilgilerini çalmak için tasarlanmış kimlik bilgisi toplama sayfalarına gelmeden önce Fastly, Glitch ve Surge.sh gibi birden fazla barındırma platformuna yönlendirilirler.
Forcepoint analistleri, Aralık ayının sonlarında yaptıkları X-Labs araştırması sırasında bu karmaşık tehdit zincirini tespit ederek saldırıların nasıl yapılandırıldığını takip etti ve sahtekarlığa olanak sağlayan destekleyici altyapıyı keşfetti.
.webp)
Araştırmacılar, kampanyanın ikinci dalgasının kurumsal kimlik bilgileri yerine kişisel finansal bilgileri hedef alan ayrı ama tamamlayıcı bir saldırı vektörü sunduğunu belirtti.
Bu tatil kredisi spam e-postaları, hızlı nakit, düşük faiz oranları ve hassas kişisel verileri yakalamak için acil onaylar vaat ediyor.
Temel saldırı mekanizması, Christmasscheercash.com’da barındırılan ve mağdurlara aldatıcı bir veri toplama süreci boyunca yol gösteren çok aşamalı bir kimlik hırsızlığı anketini içeriyor.
.webp)
Form, 100 ila 50.000 dolar arasında değişen seçeneklerle, masum bir şekilde mağdurun ne kadar paraya ihtiyacı olduğunu sorarak başlıyor.
Daha sonra adım adım, herhangi bir kredi başvurusu için normal görünen isim, e-posta ve telefon numarası gibi temel bilgilerin talep edilmesi aşamasına geçilir.
Anket, bu aşama boyunca meşruiyet görünümünü koruyarak ev sahipliği, araç sahipliği, işveren ayrıntıları ve gelir bilgileri hakkında sorular sorarak devam ediyor.
.webp)
Ancak son aşamalarda formun eksiksiz bankacılık bilgilerini talep etmesiyle asıl amaç netleşiyor. Mağdurlardan, kredi fonu yatırma bahanesiyle yönlendirme numaralarını, hesap numaralarını ve diğer hassas ayrıntıları vermeleri isteniyor.
Başvurunun ardından kullanıcılar, thepersonalfinanceguide.com gibi ek dolandırıcılık sitelerine yönlendiriliyor; bu siteler aynı bilgileri tekrar talep ediyor ve kurbanları sonsuz kredi teklifi spam’ına maruz bırakıyor.
Bu aktarma modeli, birden fazla sahtekarlık platformunda veri yakalamayı ve para kazanmayı en üst düzeye çıkarmak için tasarlanmış kimlik hırsızlığı ekosistemlerinde standarttır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
