Günlük turlarımda, tamamen sıra dışı ama akıllı bir dağıtım yöntemi kullanan bir kimlik avı girişimiyle karşılaştım. Görünüşte rutin bir Docusign bildirimi olarak başlayan şey, webflow, gölgeli bir yönlendirme ve meşru bir Google giriş sayfası içeren çok katmanlı bir aldatmacaya dönüştü.
WebFlow, tasarımcıların ve geliştiricilerin özel, duyarlı web siteleri oluşturmalarını sağlayan görsel bir web sitesi oluşturucudur. Kullanıcıların web sitelerini doğrudan tarayıcıya görsel olarak tasarlamasına, oluşturmasına ve başlatmasına olanak tanıyan bir kodsuz çözümdür
Saldırı, tamamlanmış bir Docusign belgesine atıfta bulunan bilinen bir iletişimden geldiğini iddia eden bir e -posta ile başlar.
E -posta SPF, DKIM ve DMARC’ı geçerek yanlış bir meşruiyet duygusu verdi. “Tamamlanan belgeyi görüntüleme” bağlantısı bir webflow önizleme URL’sine yol açtı. Tasarımcılar bu URL’leri web sitelerini prototiplemek ve çalışmalarını sergilemek için kullanabilirler. Bu noktada, şüpheli görünmeye başladı, ancak açıkça kötü niyetli değil.
Ancak, önizleme bağlantıları DocUSIGN için standart değildir ve her zaman kaşları yükseltmelidir. Meşru bir Docusign talebi şunlara işaret eder:
- Docusign.com
- docusign.net
- docuSign.eu (Avrupalı kullanıcılar için)
Ancak, meşru web akışı alanından geçerek, Phishers ilk aşamalarının engellenmesi olası olmadığından emin oldular.
Her zaman insanlara bunu yapmamalarını tavsiye etmeme rağmen, tıkladım (gerçek bilgisayarımda değil, sanal bir makinede).
Webflow önizlemesi, tek bir düğmeye sahip sahte bir Docusign tarzı arayüz görüntüledi: “Belgeyi görüntüle.”
Şimdi tüylü oluyordu. Bu düğme, kırmızı bayrak çığlık atan bir etki alanına bağlandı:sjw.ywmzoebuntt.es
Etki alanı, randomize bir ip gibi görünüyor, şöhrete dayalı savunmalardan kaçmak için kimlik avı altyapısında bilinen bir taktik.
“Belgeyi Görüntüle” düğmesini tıklamak beni kimsenin devam etmesini engellemek için tasarlanmamış bu sahte captcha’ya getirdi.
Captcha’lar, kurbanların meşru güvenlik doğrulamalarından geçtiklerini düşünmelerini sağlamak için kimlik avı planlarında yaygın olarak kullanılır, ancak Phishisers herhangi bir potansiyel hedefi ezmek istemedi. “İnsan olduğunuzu kanıtlamak için 4 resme tıklayın”, bir güvenlik taraması için hayal edilen en düşük çubuk olabilir.
Bu büyük entelektüel mücadeleden sonra Google’ın gerçek giriş sayfasına yönlendirildim.
Sahte form yok, kötü amaçlı yazılım indirme, sadece google. Bu tür bir saldırıyı kaçırmayı kolaylaştırır ve daha da hafife alınmasını kolaylaştırır.
Muhtemelen şudur: Kötü niyetli bağlantı, parmak izi için kısaca gizlenmiş bir sayfa gösterdi. IP adresi, kullanıcı aracısı, dil, ekran çözünürlüğü gibi tarayıcı meta verilerini hasat etti ve daha sonra güvenlik yanılsamasını tamamlamak için beni Google’a iletti. Sistemim muhtemelen sistem parmak izime dayanarak reddedildi, yani amaçlanan hedef değildim, bu yüzden “güvenli bir yere” gönderildim.
Bu, bir bükülme, bir hedefi kapsayan ve takip saldırılarını geliştiren bir veri keşif operasyonu ile kimlik avı. Bağlantı, şüpheli davranışlardan oluşan bir dizi tetikledi: BIOS ve CPU tanımlayıcılarının sorgulanması, tarayıcı depolamasının problama ve kullanıcı kayıt defteri girişlerini değiştirme (tüm Captcha’ların neden böyle olmadığını merak ederken).
Böyle bir bağlantıyı tıkladıysanız:
- Tarayıcı önbelleğinizi ve çerezlerinizi temizleyin.
- Hesap giriş geçmişinizi kontrol edin.
- Henüz yapmadıysanız 2FA’yı etkinleştirin.
- Tam bir antivirüs/kötü amaçlı yazılım taraması çalıştırın.
Unutmayın: Açık kötü amaçlı yazılımların olmaması, girişimin başarısız olduğu anlamına gelmez. Bu, saldırganların yeni başladığı anlamına gelebilir.
Bu saldırı çok hedefli görünüyordu. Kurbanın düşmesini önlemek için:
- Çözülmemiş e -postalardaki bağlantıları tıklamayın. Devam etmeden önce iddia edilen gönderenle ayrı bir kanal üzerinden iletişime geçin.
- Normal prosedürü aşina olun, bu nedenle nadir olaylar kırmızı bayraklar olacaktır.
- Sizi güvende tutmak için web korumalı aktif bir antimalware çözümü kullanın.
Sadece tehditler hakkında rapor vermiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Bugün MalwareBebytes’i indirerek tehditleri cihazlarınızdan uzak tutun.