Yeni bir dolandırıcılık, kripto para birimi kullanıcılarını anında büyük karlar vaat ederek fonlarını dağıtmaya kandırıyor. Program kullanıcıları hedefliyor swapzone.ioKurbanların ekranlarında gördüklerini değiştiren basit ama etkili bir kod parçası kullanarak en iyi kripto döviz kurlarını bulmaya yönelik popüler bir site.
Bolster AI Tehdit İstihbarat Laboratuvarı’ndaki araştırma ekibi yakın zamanda bu güçlü JavaScript tabanlı saldırıyı araştırdı ve iki ortak insan özelliğinden yararlandığını belirtti: açgözlülük ve merak.
Basit, Aldatıcı Kanca
Bolster’ın Hackread.com ile paylaştığı araştırması, saldırganların ikili bir e-posta stratejisi kullandığını ortaya koyuyor: ücretsiz, anonim platformlardan mesaj göndermek veya “Claytho Developer” gibi resmi hesapları taklit etmek. [email protected].”
Uzmanlar, bu sahte e-postaların Swapzone’un kendi sistemi yerine Emkei’nin Mailer adlı ücretsiz bir sahtekarlık hizmeti aracılığıyla iletildiğini doğruladı. E-postalar, kullanıcıları “0 günlük bir aksaklık” veya “%100 çalışma kârı hilesi” ile kandırıyor.
Aşırı aciliyet yaratmak için, yanlış bir şekilde “0 günlük istismarın” bir veya iki gün içinde yamalanacağını iddia ederek kullanıcıları hızlı hareket etmeye zorluyorlar. Araştırmacılar sadece 48 saat içinde bu modeli takip eden 100’den fazla mesaj kaydetti.
Daha fazla araştırma, dolandırıcılığın Nexarmudor adlı bir kullanıcı gibi özel siber suç forumlarında bile yapıldığını gösterdi. Açık darkforums.stAçık ve karanlık bir web platformu olan .com’un forum üyelerini kandırdığı tespit edildi.
Kurbanlar, tarayıcılarının adres çubuğuna javascript: ile başlayan tek bir kod satırı yapıştırmalarını söyleyen kısa bir kılavuzun yer aldığı kötü amaçlı bir Google Dokümanlar bağlantısına yönlendiriliyor. Sorunun başlaması için gereken tek şey budur; bunun gibi bir kod yapıştırmak, cihazınızda bir program çalıştırmakla aynı şeydir; çoğu kullanıcının genellikle farkında olmadığı bir risktir.
Ekranınızın ve Paranızın Ele Geçirilmesi
Küçük kod parçacığı çalıştırıldığında, kullanıcıyı görsel olarak kandırarak kurbanın tarayıcı oturumunun kontrolünü ele geçiren çok daha büyük, gizli bir program getiriyor. Hemen web sitesinin görünümünü değiştirmeye başlar, örneğin kullanıcıya gösterilen getirileri şişirir. “Swapzone.io – ChangeNOW Kâr Yöntemi” başlıklı bir kılavuz, normalden yaklaşık %37 daha yüksek ödeme sözü verdi.
Program aynı zamanda aciliyet hissi yaratmak için sahte geri sayım sayaçlarının ‘kapıladığı’ ekranlar gibi sahte unsurlar da ekliyor. En zarar verici kısım, kurban işlemi tamamlamaya çalıştığında gizli kodun, suçlunun kripto cüzdan adresini kullanıcının panosuna sessizce kopyalayarak ödemeyi saldırganın kontrolündeki bir cüzdan adresine yönlendirmesidir. Bolster’ın araştırmacıları, farklı kripto para birimleri için hazır bir adres havuzu buldu ve bu da suç operasyonunun iyi organize edildiğini gösteriyor.
Araştırmacılar, ister düzenli bir kripto kullanıcısı olun ister sadece yatırım yapmak istiyor olun, hızlı kâr etme dürtüsünün herkesi savunmasız hale getirebileceğini vurguluyor. Bu nedenle, güvenilmeyen kaynaklardan gelen JavaScript parçacıklarını asla adres çubuğuna yapıştırmamanızı tavsiye ediyorlar.
Rapor şu sonuca varıyor: “Bu keşif, sosyal mühendislik taktiklerinin artık tehdit aktörlerinin alanlarında nasıl yeniden tasarlandığını ortaya çıkardı ve yer altı ekosistemlerindeki deneyimli bireylerin bile açgözlülük ve aciliyet söz konusu olduğunda manipülasyona karşı savunmasız olduğunu gösterdi.”