Bilgisayar korsanları, meşru mesajlar gibi görünen spam e-postalar göndermek için eBay ve CBS gibi büyük markaların alt alan adlarını ele geçirdi. Kendinizi bu aldatıcı kimlik avı girişimlerinden nasıl koruyacağınızı öğrenin.
Guardio Labs, Eylül 2022’den bu yana spam ve kimlik avı e-postaları dağıtan SubdoMailing adlı bir kampanyayı izliyor. ResurrecAds adlı bir tehdit aktörüne atfedilen kampanya, büyük markalarla ilişkili ölü alanları yeniden canlandırarak dijital reklam ekosistemini manipüle ediyor. Bu aynı zamanda kötü niyetli bir uygulamadır. olarak bilinir Marka Ele Geçirme.
Dolandırıcılık, Guardio Labs’ın e-posta koruma sistemlerinin e-posta meta verilerinde, esas olarak yasal gönderenler olarak doğrulanan SMTP sunucularıyla ilgili olağandışı kalıplar keşfetmesinin ardından tespit edildi. Bu durum Guardio’nun SMTP protokolü, alan adı arama ve DNS tarama araçları.
ResurrecAds olayı, Kasım 2022’de Cyjax’taki siber güvenlik araştırmacılarının yaşadığı önceki bir vakayı yansıtıyor. açıkta Tanınmış markalar gibi davranan ve reklam geliri için kötü amaçlı yazılım dağıtan 42.000 kimlik avı alanı.
Ekip, ele geçirilen binlerce alt alan adının, uluslararası markalar altında sahte bir şekilde yetkilendirilmiş, spam içerikli ve kötü amaçlı e-postalar göndermek için kullanıldığı, benzeri görülmemiş bir alt alan adı ele geçirme operasyonu keşfetti. Kampanya, spam ve kimlik avı e-postalarını dağıtmak için bu alan adlarına duyulan güveni kullanıyor. güvenlik önlemlerini atlamak.
E-postalar ayrıca bir e-posta kimlik doğrulama yöntemi olan Gönderen Politikası Çerçevesini (SPF) atlatabilir ve iletilerin spam olarak işaretlenmesini önlemek için Etki Alanı Anahtarları Tanımlanmış Posta (DKIM) ve Etki Alanı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC) kontrollerini geçebilir.
Guardio araştırmacıları keşfetti Tanınmış markalardan/kurumlardan (MSN, VMware, McAfee, The Economist, Cornell Üniversitesi, CBS, Marvel, eBay) 8.000’den fazla alan adı. Araştırmacılar, spam içerikli kimlik avı e-postalarını dağıtmak için kullanıcıların güvenini kötüye kullanan bu etkinliğe “SubdoMailing” adını verdiler.
Unutulan alt alanlar için alan adlarının taranmasını ve numaralandırılmasını, kaydedilmesini ve kötü amaçlı e-postalar göndermek için SPF kayıtlarının kullanılmasını içerdiği için buna klasik bir alt alan adı ele geçirme planı adını verdiler. Bu, bilgisayar korsanlarının SMTP sunucularına ve değerli varlıklarına yetkisiz erişime yol açabilir.
Analiz edilen örnek e-posta araştırmacıları, spam filtrelerini atlamak, çeşitli alanlar üzerinden tıklama yönlendirmelerini tetiklemek, kârı en üst düzeye çıkarmak için özel olarak tasarlanmış içeriği görüntülemek üzere cihaz türünü ve konumunu hedeflemek için bir resim olarak gizlendi. Bu benzersiz plan, büyük e-posta sağlayıcılarının kimlik doğrulama ve güvenlik kontrollerini nasıl atlattığı konusunda soruları gündeme getiriyor.
Araştırmacılar, kanıtların tek bir tehdit aktörünün, “ResurrecAds”in interneti “savunmasız alanlar” için tarayan, fırsatları belirleyen, alan satın alan, ana bilgisayarları ve IP adreslerini güvence altına alan ve e-posta dağıtımını düzenleyen büyük ölçekli bir operasyondan sorumlu olduğunu öne sürdüğünü belirtti.
Stratejileri, büyük markalara bağlı alan adlarını yeniden canlandırmayı, yasal hizmetlerden ve markalardan yararlanmayı ve e-posta koruma önlemlerini atlatarak karmaşık teknik gelişmişliklerini ortaya koymayı içeriyor.
Çalışma, eski e-posta/pazarlama hizmetlerinin terk edilmiş alanlarının çalınmasını içeren binlerce aktif CNAME devralma ve SPF devralma vakasını ortaya çıkardı. Bu saldırılar en az iki yıldır devam ediyor ve saldırganların gönderen olarak ana alan adını kullanarak kendi IP’lerini alanın SPF kayıtlarına kolayca eklemesine olanak tanıyor.
“Bu karmaşık taktikler göz önüne alındığında, önemli harcamalar ve önemli gelirlerle karakterize edilen zorlu bir operasyonla karşı karşıya olduğumuz açıkça görülüyor.”
Araştırmacılar bir “SubdoMailing” denetleyici web sitesi, alan adı yöneticilerinin ve site sahiplerinin, tespit edilen herhangi bir kötüye kullanımı hızlı bir şekilde tespit etmelerine ve ele almalarına olanak tanıyarak alan adı güvenliğini sağlar.
İLGİLİ KONULAR
- Marka Koruması Siber Güvenlik İçin Şarttır
- İşletmenizin Çevrimiçi Marka Bilinirliğini Nasıl Artırırsınız?
- Memcyco Brandjacking ile Mücadelede Gerçek Zamanlı Çözüm Sunuyor
- Check Point Araştırması: Microsoft 2023’ün 2. çeyreğinde en çok kimlik avı yapılan marka
- Kimlik avı dolandırıcılıklarında Microsoft, PayPal ve Facebook’un en çok hedef aldığı markalar