Önde gelen siber güvenlik firması Sublime Security tarafından hazırlanan yeni bir rapor, Google Workspace ve Microsoft 365 kullanan kişileri özel giriş bilgilerini vermeleri için kandırmak amacıyla Google’dan gelen sahte iş tekliflerini kullanan, devam eden bir e-posta dolandırıcılığını ortaya çıkardı.
Google Careers’ın erişimini taklit eden bu yaygın kimlik bilgisi avı dolandırıcılığı, 14 Ekim’de yayınlanan bulgularda ayrıntılı olarak açıklandı ve Hackread.com ile paylaşıldı.
Bilginiz olsun, kimlik avı, bir dolandırıcının iş teklifi gibi resmi görünen bir mesaj gönderdiği ancak asıl amacının kullanıcı adları ve şifreler gibi hassas bilgileri çalmak olduğu çevrimiçi bir hiledir.
Bu dolandırıcılık, “konuşmaya açık mısın?” diye soran bir e-postayla başlar. Saldırganlar ticari olmayan hesapları bile filtrelemeye çalıştığından, çoğunlukla kurumsal e-posta adreslerini kullanan hedeflere gönderiliyor.
Sürekli Değişen Saldırı
Bu tehdidi endişe verici kılan şey, dolandırıcıların yakalanmamak için sürekli olarak yaptığı değişikliklerdir. Araştırmacıların “tehdit aktörlerinin zaman içinde taktiklerini ve tekniklerini geliştirip ayarladıklarını, tespit edilmekten kaçacak şekilde evrimleştiklerini” gözlemledikleri bildirildi. Dolandırıcılığı iyileştirmeye yönelik bu sürekli çaba, birçok varyasyonda açıkça görülmektedir.
Örneğin e-postalar yalnızca İngilizce değil; İspanyolca, İsveççe ve diğer dillerde yayınlandılar. Gönderenin adı ve e-posta adresi de sık sık değişir; bazen sahte işe alım görevlisi adları veya gibi departmanlar kullanılır. GG Careers <[email protected]>.
Araştırmacılar, saldırganların bu e-postaları göndermek için Salesforce ve Recruitee gibi hizmetleri kötüye kullandığını belirtti. Kötü amaçlı bağlantıların kendisi de farklılık gösterir ve genellikle NiceNIC ve Porkbun gibi hizmetler aracılığıyla yakın zamanda kaydedilen alan adlarında barındırılır.
Tuzak Nasıl Çalışır?
Bir alıcı “Arama Rezervasyonu Yap” bağlantısını tıklarsa, çok adımlı bir tuzağa düşürülür. İlk olarak sahte bir Cloudflare Turnike doğrulama sayfası görebilirler. Bundan sonra, Google Kariyer toplantı planlayıcısına benzeyecek şekilde tasarlanmış ve kişisel ayrıntıları isteyen bir sayfaya yönlendiriliyorlar. Son olarak, Google oturum açma ekranını taklit eden “standart sahte oturum açma sayfası” olan kimlik bilgileri çalma aşamasına geçilir.
Daha fazla araştırma, dolandırıcıların e-posta güvenlik tarayıcılarını atlatmaya yönelik sinsi hilesini ortaya çıkardı; Google Kariyer gibi kelimeleri, her harfi kendi ayrı etiket öğesine koymak gibi gizli web biçimlendirmesiyle parçalara ayırıyorlar. Bu basit kodlama numarası, güvenlik programlarının kötü niyetli ifadenin tamamını tanımasını zorlaştırır.
Sublime Security’nin tespit motoru bu saldırıları önledi ve onları son 30 gün içinde kayıtlı alan adlarındaki bağlantıları kullandıkları için işaretledi. Bu tek dolandırıcılıktaki sürekli değişiklikler, bu dolandırıcılıklar yeni olmadığı için çevrimiçi ortamda dikkatli olmanın artık profesyonel yaşamın temel bir parçası olduğunu kanıtlıyor.
Netcraft gibi siber güvenlik firmaları son zamanlarda karmaşık, işe alım temalı dolandırıcılıklarda önemli bir artış olduğu konusunda uyardı. Bu nedenle, beklenmedik bir şekilde harika bir iş teklifi ortaya çıkarsa, herhangi bir bağlantıya tıklamadan veya özel bilgilerinizi paylaşmadan önce daima kaynağı doğrulamanız gerekir.