Bu haftanın başlarında, KFC ve McDonald’s müşterileri Suudi Arabistan, BAE ve Singapur genelinde kimlik avı kampanyalarıyla hedef alındı ve bazılarının ödeme ayrıntıları saldırganlar tarafından başarıyla çalındı.
CloudSEK’teki güvenlik araştırmacıları, bu kampanyaların Google Play Store’un kimliğine bürünen ve Chrome için kötü amaçlı, tarayıcı tabanlı bir uygulama görüntüleyen bir alan aracılığıyla çalıştığını ilk fark eden kişilerdi.
Kötü amaçlı URL’ye ulaştıktan ve indirme düğmesine tıkladıktan sonra, düğmedeki metnin ‘Yükle’ olarak değiştiğini ve bunun da kullanıcıdan ‘KFC Saudi Arabia 4+’ tarayıcı uygulamasını yüklemesini istediğini buldular.
CloudSEK, hafta sonu yayınlanan bir danışma belgesinde, “Yüklemeden sonra, kullanıcının masaüstünde aynı uygulama için bir masaüstü kısayolu oluşturulur,” diye yazdı.
“KFC Saudi Arabia 4+ uygulamasına çift tıklamak, siteyi yükleyen bir krom uygulama penceresi açar. […]analiz sırasında düşmüş gibi görünüyor. ”
Ekip ayrıca KFC odaklı kimlik avına işaret eden ikinci bir web sitesi keşfetti.
CloudSEK, “Bu site, kurbanların kart ayrıntılarını çalmak için kullanılan karmaşık ve ayrıntılı bir kimlik avı kampanyasıdır” diye yazdı.
“Kurban, kimlik avı sitesine bir sipariş vermeye çalıştığında, formdaki ayrıntılarını doldurmaları için bir açılır pencere ile karşılaşıyorlar.”
Danışmanlık, formun iyi tasarlanmış olduğunu ve kullanıcılara adreslerini Google Haritalar API’sini kullanarak doldururken önerilerde bulunduğunu söyledi. Ayrıca, site yalnızca gönderilen kartların geçerli olduğundan emin olmak için Luhn algoritmasını karşılayan ödeme kartı bilgilerini kabul etti.
CloudSEK teknik yazısında, “Kart ayrıntılarını gönderdikten sonra kurbandan SMS ile alınan Tek Kullanımlık Parolayı (OTP) sağlaması istendi.”
“OTP’ye girdikten sonra kurban, McDonald’s kimliğine bürünen başka bir web sitesine götürülüyor, […] Yazma sırasında site etkin değildi. ”
CloudSEK araştırmacıları, Pasif DNS ve ters IP aramalarını kullanarak, site tarafından KFC ve McDonald’s kimliğine bürünen sunucularda barındırılan ek etki alanları keşfetti.
CloudSEK, “Kullanıcılar siteleri ziyaret ederken ve kişisel bilgilerini ve bankacılık bilgilerini gönderirken dikkatli olmalıdır” diye uyardı.
Buna ek olarak, danışmanlık ayrıca şirketlere marka adlarını ve ticari markaları taklit eden alanları belirleyip rapor etmesini ve müşterileri kuruluşun süreçleri hakkında eğitmek için kapsayıcı farkındalık kampanyaları oluşturmasını önerir.
Genel olarak, tehdit aktörlerinin sürekli olarak taktik geliştirdiği görülüyor ve bu, kimlik avı girişimleri için de geçerli. Örneğin, Proofpoint’teki güvenlik araştırmacıları yakın zamanda Microsoft Sway kullanan kimlik avı kampanyalarını tespit ettiler.