Cyble Araştırma ve İstihbarat Laboratuvarlarından (CRIL) araştırmacılar, Çin İnsan Kaynakları ve Sosyal Güvenlik Bakanlığı’nın resmi belgeleri gibi görünen kötü amaçlı Word belgelerini kullanan QR kodu tabanlı bir kimlik avı kampanyası keşfetti. Kullanıcılar, kimlik doğrulama ve kimlik doğrulama işlemleri kisvesi altında banka kartı bilgilerini ve şifrelerini vermeleri için kandırılıyor.
QR Kod Tabanlı Kimlik Avı Kampanyası
Siber suçluların kişisel ve finansal bilgileri çalmak için bu teknolojiden yararlanmasıyla QR kodu kimlik avı saldırıları bu yıl önemli ölçüde arttı. Tehdit aktörleri (TA’lar), ofis belgelerine QR kodları yerleştiriyor ve kullanıcıları, hassas verileri toplamak için tasarlanmış sahte web sitelerine yönlendiriyor.
Sürekli gelişen siber tehdit ortamında yeni bir vektör ortaya çıktı: QR kodu tabanlı kimlik avı kampanyası. Siber suçlular, tarandığında kullanıcıları sahte web sitelerine yönlendiren kötü amaçlı belgelere giderek daha fazla QR kodu yerleştiriyor. Bu taktik, QR kodlarının temassız işlemler ve bilgi paylaşımı için yaygın olarak benimsendiği COVID-19 salgını sırasında başlayan bir trendin ardından 2024’te belirgin bir artış gördü.
Hoxhunt Challenge, 2023 sonlarında QR kodu kimlik avında %22’lik bir artış olduğunu vurguladı ve Abnormal Security tarafından yapılan araştırma, bu saldırıların %89,3’ünün kimlik bilgilerini çalmayı hedeflediğini gösteriyor.
QR kodlarına olan aşinalığın artması, sahte bir güvenlik duygusu yaratarak siber suçluların bu kodlardan yararlanmalarını kolaylaştırdı. QR kodları, hedef URL’leri maskeleyerek kullanıcıların yönlendirildikleri sitenin meşruiyetini kolayca doğrulamasını engelleyebilir.
Güncel QR Kod Kampanyaları ve Teknikleri
Yakın zamanda Cyble Araştırma ve İstihbarat Laboratuvarları, Çin’deki bireyleri hedef alan karmaşık bir kimlik avı kampanyasını ortaya çıkardı. Bu kampanyada, spam e-posta ekleri yoluyla dağıtılan, QR kodları gömülü Microsoft Word belgelerinin kullanıldığı görüldü. Belgeler, mağdurları cezbetmek için 1000 RMB’nin üzerinde işgücü sübvansiyonu sunan Çin İnsan Kaynakları ve Sosyal Güvenlik Bakanlığı’nın resmi bildirimleri olarak görünecek şekilde tasarlandı.
Belgeler, orijinal görünmeleri için titizlikle hazırlanmış, resmi logolar ve hükümet iletişimlerini taklit eden bir dille tamamlanmıştır. Belgedeki QR kodu tarandıktan sonra kullanıcı, hassas bilgileri toplamak üzere tasarlanmış bir kimlik avı sitesine yönlendiriliyor.
Bu özel kampanya, görünüşte rastgele bir dizi alan adı üreten Etki Alanı Oluşturma Algoritmasını (DGA) kullanması nedeniyle öne çıkıyor. DGA, çok sayıda yeni alan adı üreten bir programdır. Siber suçlular ve botnet operatörleri bunu genellikle kötü amaçlı yazılım saldırıları başlatmak için kullanılan etki alanlarını sık sık değiştirmek için kullanır. Bu teknik, bilgisayar korsanlarının belirli alan adlarını ve statik IP adreslerini engelleyen kötü amaçlı yazılım tespit çözümlerinden kaçınmasını sağlar.
Son kampanya münferit bir olay değil. Benzer bir kimlik avı operasyonu Ocak 2023’te Fortinet tarafından belgelendi; siber suçlular başka bir Çin devlet kurumunun kimliğine büründü. QR kodlu kimlik avı saldırılarındaki bu yeniden canlanma, Çin vatandaşlarını hedef alan kalıcı bir tehdidin varlığını gösteriyor; kötü niyetli aktörler, tespit edilmekten kaçınmak için sürekli olarak taktiklerini geliştiriyor.
QR Kod Kimlik Avı Süreci
Kimlik avı işlemi, kullanıcının kötü amaçlı Word belgesindeki QR kodunu taramasıyla başlar. Bu eylem onları, başlangıçta işgücü sübvansiyonu vaat eden bir diyalog kutusu görüntüleyen kimlik avı sitesine götürür. Site, güvenilirliği artırmak için hükümet logoları ve resmi dille tamamlanmış, resmi görünecek şekilde tasarlanmıştır.
Kimlik avı sitesi, kullanıcıya adı ve ulusal kimliğiyle başlayan kişisel bilgileri sağlaması talimatını verir. Bu adım, sübvansiyon başvuru sürecinin gerekli bir parçası olarak sunulmaktadır. Kullanıcı bu bilgileri girdikten sonra kart numarası, telefon numarası ve bakiye gibi ayrıntılı banka kartı bilgilerinin talep edildiği ikinci bir sayfaya yönlendirilir. Bu bilgi görünüşte kimlik doğrulama ve sübvansiyonun işlenmesi için gerekli.
Kimlik avı sitesi, banka kartı ayrıntılarını topladıktan sonra kullanıcıdan bilgileri “doğrulanana kadar” beklemesini ister. Bu bekleme süresi sürece meşruiyet duygusu katmak için kullanılan bir taktiktir. Bunu takiben site, daha fazla doğrulama kisvesi altında kullanıcıdan banka kartı şifresini girmesini ister.
Bu şifrenin yurt içi kredi kartı işlemlerinde kullanılan ödeme şifresiyle aynı olduğundan şüpheleniliyor. Tehdit aktörleri, kart bilgilerinin yanı sıra bu şifreyi de ele geçirerek yetkisiz işlemler gerçekleştirebilir ve mağdurun ciddi mali kayıplara uğramasına neden olabilir.
Kimlik Avı Etkinliği Teknik IoC’leri
Kimlik avı etkinliği, kullanıcının Word belgesine yerleştirilmiş QR kodunu taramasıyla başlar. Bu işlem onları “hxxp://wj” bağlantısına yönlendirir.[.]zhvsp[.]com”. Bu ilk URL daha sonra bir alt alan adına yönlendirir: “tiozl[.]cn”, bir DGA kullanılarak oluşturulmuştur. DGA’nın kullanılması, kimlik avı URL’lerinin sürekli değiştiği anlamına gelir ve bu da bunların önleyici olarak engellenmesini zorlaştırır.
Alan adı “tiozl[.]cn”, “20.2.161” IP adresinde barındırılmaktadır.[.]134”. Bu IP adresinin birden fazla alanla ilişkili olması, büyük ölçekli bir kimlik avı operasyonuna işaret ediyor. Bu kampanyaya bağlı alanlar şunlardır:
– 2wxlrl.tiozl[.]cn
– op18bw[.]tiozl.cn
– gzha31.tiozl[.]cn
– i5xydb[.]tiozl.cn
– hzrz7c.zcyyl[.]iletişim
Daha ileri araştırmalar, “20.2.161” IP adresiyle ilişkili bir SSH sunucusu ana bilgisayar anahtarının SHA-256 parmak izinin olduğunu ortaya çıkardı.[.]134”, tümü aynı Otonom Sistem Numarası (ASN), AS8075 dahilinde olan ve Hong Kong’da bulunan 18 diğer IP’ye bağlıdır. Bu IP’ler, benzer kalıplara sahip URL’leri barındırır; bu, çok sayıda kimlik avı sitesini dağıtmak için koordineli bir çaba gösterildiğini gösterir.
QR kodlu kimlik avı saldırılarındaki artış, siber suçluların artan karmaşıklığının ve uyarlanabilirliğinin altını çiziyor. Özellikle pandemi sonrası dünyada QR kodlarının yaygın kullanımından yararlanan bu saldırılar, kullanıcıları etkili bir şekilde hassas finansal bilgilerin ifşa edilmesine teşvik ediyor.
Çin vatandaşlarını hedef alan son kampanya, kötü niyetli aktörlerin kart ayrıntılarını ve şifreleri toplamak için görünüşte resmi belgeleri kullanması ve önemli mali kayıplara yol açması nedeniyle bu tehdidin ciddiyetini vurguluyor. Bu eğilim, bu tür gelişen tehditlere karşı koruma sağlamak için daha fazla dikkat ve sağlam güvenlik önlemlerine duyulan ihtiyacı vurgulamaktadır.
Azaltma Önerileri
CRIL, QR kodu kimlik avı saldırıları riskini azaltmak için aşağıdaki siber güvenlik en iyi uygulamalarını takip etmenin çok önemli olduğunu söyledi:
1. Yalnızca güvenilir kaynaklardan gelen QR kodlarını tarayın: İstenmeyen e-postalardan, mesajlardan veya belgelerden, özellikle de mali teşvikler veya acil eylemler sunanlardan gelen kodları taramaktan kaçının.
2. Devam etmeden önce URL’leri doğrulayın: Bir QR kodunu taradıktan sonra, URL’nin resmi alan adları ve güvenli bağlantılar (https://) gibi yasal olup olmadığını dikkatlice kontrol edin.
3. Saygın bir antivirüs ve kimlik avı koruması yazılımı yükleyin: Bu araçlar, kötü amaçlı web sitelerini ve indirmeleri tespit edip engelleyebilir.
4. Kimlik avı teknikleri hakkında bilgi sahibi olun: Başarılı kimlik avı saldırılarını önlemek için kendinizi ve başkalarını QR kodlarıyla ilişkili riskler konusunda eğitin.
5. İki faktörlü kimlik doğrulamayı (2FA) kullanın: Bu, ekstra bir güvenlik katmanı ekleyerek saldırganların yetkisiz erişim elde etmesini zorlaştırır.
6. Yazılımı güncel tutun: Bilinen güvenlik açıklarına karşı koruma sağlamak için işletim sistemlerinizin, tarayıcılarınızın ve uygulamalarınızın en son güvenlik yamalarıyla güncellendiğinden emin olun.
7. Güvenli QR kodu tarayıcı uygulamalarını kullanın: URL’leri açmadan önce bilinen kötü amaçlı sitelerden oluşan bir veritabanına göre kontrol eden uygulamaları düşünün.
8. Mali tabloları düzenli olarak izleyin: Yetkisiz işlemler için banka ve kredi kartı ekstrelerinizi inceleyin ve şüpheli etkinlikleri derhal bildirin.