Yüksek profilli bir Rus Instagram blogcusu, yakın zamanda sofistike bir siber saldırıya kurban düştü ve dolandırıcılar sahte 125.000 dolarlık nakit hediye düzenlemek için hesabını kaçırdı.
Saldırganlar, takipçileri hassas bankacılık bilgilerini teslim etmek için aldatmak için yapay zeka tarafından üretilen derin pasife videoları ve titizlikle hazırlanmış kimlik avı kampanyaları da dahil olmak üzere gelişmiş teknikler kullandılar.
Bu olay, en son teknoloji ve sosyal mühendislik taktiklerinden yararlanan siber sahtekarlık tehdidini vurgulamakta ve hem etkileyiciler hem de izleyicileri için ciddi riskler oluşturmaktadır.
.png
)
AI tarafından üretilen Deep Tesenli Video yakıtlar
Devam eden bir polis soruşturması bekleyen kimliği açıklanmayan blogcu, hesabının SIM-SWAP saldırısından ödün verildiğinden şüpheleniyor.
Bu tür saldırılarda, siber suçlular bir mobil taşıyıcıyı bir kurbanın telefon numarasını kontrolleri altında yeni bir SIM veya ESIM’e aktarmaya yönlendirerek, meşru sahibini hizmetlerinden etkili bir şekilde kilitler.
Bu, sahte belgelerle bir taşıyıcının ofisini fiziksel olarak ziyaret ederek veya uzaktan bir ESIM yayınlamak için çevrimiçi taşıyıcı portallardaki güvenlik açıklarından yararlanarak yürütülebilir.
Dolandırıcılar telefon numarasını kontrol ettikten sonra, Instagram’daki iki faktörlü kimlik doğrulama (2FA) protokollerini atladılar, meşruiyetlerinin platform desteğini ikna ettiler ve hesaba tam erişimi ele geçirdiler.
Bu, blogcunun orijinal SIM kartını işe yaramaz hale getirdi ve numaralara bağlı çağrılara, metinlere ve internet hizmetlerine erişimini kesti.
Giriş Noktası olarak şüphelenilen SIM-SWAP saldırısı
Saldırganlar, tehlikeye atılan hesaptan ayrıntılı bir aldatmaca başlatma zamanını boşa harcamadılar.
Blogger makaralarından eski görüntüleri bir araya getirerek ve iyimser tonunu taklit eden AI sentezlenmiş bir sesle dublaj yaparak oluşturulan bir derin bir buluşma videosu yayınladılar.
Videoya eşlik eden, fabrikasyon duygusal bir arka plan, gömülü kimlik avı bağlantılarıyla yeniden kullanılan hikayeler ve güvenilirliği arttırmak için sahte referanslara sahip bir metin yazısı vardı.
Yakın inceleme, blogcunun otantik içeriğindeki sahte video ve tutarsız altyazı stilinde, her zamanki düz beyaz metninden farklı olarak siyah bir arka plan üzerinde beyaz metin ile bir kaput filigran gibi kusurları ortaya çıkardı.
Bununla birlikte, bu ince tutarsızlıklar, AI güdümlü sahtekarlığın endişe verici sofistike olduğunu gösteren sıradan bir izleyicinin bildiriminden kolayca kaçabilir.
Profil biyografisindeki kimlik avı bağlantısını tıklamak, kullanıcıları gösterişli görseller ve “ödülünüzü talep edin” düğmesine sahip ilkel ama aldatıcı bir sayfaya yönlendirdi.
Sağlam güvenlik yazılımından yoksun korunmasız cihazlar kötü amaçlı siteyi işaretleyemedi, kullanıcıların hayali bir komisyon ödemesine veya kazanma kisvesi altında kişisel ve bankacılık ayrıntılarını girmesine yol açtı.
Tahmin edilebileceği gibi, hiçbir ödül verilmedi ve mağdurlar finansal hırsızlık veya kimlik sahtekarlığı riske attı.
Rapora göre, bu kimlik avı taktiği, dolandırıcıların hassas verileri çıkarmak için tanıdık çevrimiçi kişiliklere olan güvenini nasıl kullandıklarını örneklendiriyor.
Bu dava, sosyal medya kullanıcıları, özellikle yüksek profilli bireyler arasında gelişmiş güvenlik önlemlerine acil ihtiyacın altını çizmektedir.
Uygulama tabanlı kimlik doğrulayıcılar gibi SMS tabanlı 2FA’nın ötesinde çok faktörlü kimlik doğrulamanın etkinleştirilmesi ve şüpheli etkinlik için mobil taşıyıcı hesaplarının düzenli olarak izlenmesi, SIM değiştirme risklerini azaltabilir.
Buna ek olarak, kullanıcılar içerikteki ince tutarsızlıklar konusunda uyanık kalmalı ve güvenilir hesaplardan bile doğrulanmamış bağlantıları tıklamaktan kaçınmalıdır.
Yapay zeka araçları siber suçlular için daha erişilebilir hale geldikçe, bu tür dolandırıcıların sıklık ve karmaşıklıkta büyümesi, her iki platformdan ve topluluklarından artan farkındalık ve proaktif savunma stratejileri talep etmektedir.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir