Birleşik Arap Emirlikleri’nde ikamet edenler, ödeme ve kişisel bilgileri çalmayı amaçlayan SMS kampanyaları tarafından hedef alındı. Daha önce Asya-Pasifik’teki kullanıcıları hedefleyen kampanya, posta hizmetlerinin kimliğine büründüğü için PostalFurious olarak adlandırıldı.
Group-IB tarafından yapılan soruşturmalar, her iki kampanyayı da PostalFurious adlı Çince konuşan bir kimlik avı çetesine bağladı. Bu grup en az 2021’den beri aktiftir ve güvenlik araçları tarafından tespit edilmekten kaçınmak için oldukça sık değiştirdikleri büyük ağ altyapılarını hızla kurabilir ve otomatik algılama ve engellemeyi önlemek için erişim kontrol tekniklerini kullanabilir. Bu tek Orta Doğu girişiminin sınırlarının ötesinde, küresel olarak faaliyet gösterdiklerine dair kanıtlar var.
Bu kampanyada ödeme detayları, alıcıdan otoyol ve teslimat ücretini ödemesini isteyen dolandırıcı SMS mesajları ile toplanmaktadır. Metinlerdeki URL’ler, ad, adres ve kredi kartı bilgileri gibi kişisel ayrıntıların sorulduğu sahte markalı ödeme sayfalarına yönlendirir. Kimlik avı sayfaları, kimliğine bürünülmüş posta hizmeti sağlayıcısının resmi adı ve logosuna da uygundur ve bunlara yalnızca BAE tabanlı IP adreslerinden erişilebilir.
Kısa mesajlar, sahte bir markalı ödeme sayfası içeren ve bu yılın en az 15 Nisan’ından beri aktif olan kısaltılmış bir URL içeriyor; kampanya başlatıldığında BAE geçiş ücreti operatörü kimliğine büründü, ancak 29 Nisan’da BAE posta hizmeti sahtekarlığıyla yeni bir sürüm başlatıldı.
Her iki durumda da kimlik avı etki alanları için aynı sunucular kullanılırken, SMS mesajları Malezya ve Tayland’da kayıtlı telefon numaralarının yanı sıra e-posta adresleri aracılığıyla iMessage aracılığıyla gönderildi.
Kızgın Postacı Kimdir?
Mesajların kimi hedef aldığı sorulduğunda, Group-IB’nin Dubai’deki Dijital Suçlara Direnç Merkezi’nde kıdemli siber soruşturma uzmanı olan Anna Yurtaeva, PostalFurious’un dolandırıcılık kampanyalarının tümünün halkı hedef aldığını doğruluyor.
“Yaygın SMS kimlik avı kampanyaları başlatıyorlar ve mesajların, hizmetlerin kullanıcısı olmayan BAE sakinlerine gönderildiği durumların farkındayız” diyor. “PostalFurious web sitesinin kaynak kodu ve altyapısına ilişkin analizimizden, çetenin kurbanlardan ödeme bilgilerini ve kişisel verileri çalmayı amaçladığını görüyoruz.”
Tespit edilen iki kampanyada herhangi bir kötü amaçlı yazılım indirmesi görülmediğini doğruladı, ancak BAE’deki kullanıcılara yönelik saldırılar, küresel sonuçları olabilecek daha geniş ve kitlesel bir kampanyanın parçası gibi görünüyor. PostalFurious operatörlerinin daha önce Singapur ve Avustralya’daki kullanıcıları hedeflediklerini ve burada posta hizmetlerini ve geçiş ücreti operatörlerini taklit eden sahte siteler ürettiklerini söylüyor.
Haber, bu hafta başlarında gün ışığına çıkan benzer temalı bir kampanyanın hemen ardından geldi. “Kızıl Geyik Operasyonu” olarak adlandırılan çaba, İsrail mühendislik ve telekomünikasyon şirketlerinin, ikna edici bir şekilde İsrail posta hizmetini taklit eden sürekli bir kimlik avı mesajı kampanyasıyla hedef alındığını gördü.