Yeni bir kimlik avı kampanyası, Kara Cuma alışveriş sezonu öncesinde kişisel bilgilerini çalmak amacıyla yasal markaları taklit eden sahte sayfalarla Avrupa ve ABD’deki e-ticaret müşterilerini hedef alıyor.
“Kampanya, Kara Cuma indirimlerinin en yoğun olduğu Kasım ayında artan çevrimiçi alışveriş aktivitesinden yararlandı. Tehdit aktörü, kurbanları Kart Sahibi Verilerini (CHD), Hassas Kimlik Doğrulama Verilerini (SAD) ve Kişisel Kimlik Doğrulama Verilerini (SAD) sağlamaları için kandırmak amacıyla sahte indirimli ürünleri kimlik avı tuzağı olarak kullandı. Tanımlanabilir Bilgiler (PII),” dedi EclecticIQ.
İlk olarak Ekim 2024’ün başlarında gözlemlenen faaliyet, büyük bir güvenle SilkSpecter kod adlı Çinli mali motivasyonlu bir tehdit aktörüne atfedildi. Kimliğine bürünülen markalardan bazıları arasında IKEA, LLBean, North Face ve Wayfare yer alıyor.
Kimlik avı alan adlarının .top, .shop, .store ve .vip gibi üst düzey alan adlarını (TLD’ler) kullandığı ve kurbanları cezbetmenin bir yolu olarak genellikle meşru e-ticaret kuruluşlarının alan adlarını yanlış yazdığı tespit edilmiştir (örn. Northfaceblackfriday).[.]mağaza). Bu web siteleri, ziyaretçi bilgilerini gizlice toplarken, var olmayan indirimlerin tanıtımını da yapmaktadır.
Kimlik avı kitinin esnekliği ve güvenilirliği, kurbanların coğrafi konum işaretçilerine göre web sitesi dilini dinamik olarak değiştiren bir Google Çeviri bileşeni kullanılarak artırıldı. Ayrıca saldırıların etkinliğini takip etmek için OpenReplay, TikTok Pixel ve Meta Pixel gibi izleyiciler de kullanıyor.
Kampanyanın nihai hedefi, sahte siparişlerin bir parçası olarak kullanıcılar tarafından girilen her türlü hassas finansal bilgiyi ele geçirmek ve saldırganların Stripe’ı kullanarak işlemleri meşruluk yanılsaması vermek için kötüye kullanmasıdır. kontrolleri altındaki sunuculara sızdı.
Dahası, kurbanlardan telefon numaralarını vermeleri isteniyor; bu hareket muhtemelen tehdit aktörünün iki faktörlü kimlik doğrulama (2FA) kodları gibi ek ayrıntıları yakalamak için takip eden smishing ve vishing saldırıları gerçekleştirme planlarından kaynaklanıyor.
EclecticIQ, “Finansal kurumlar veya tanınmış e-ticaret platformları gibi güvenilir kuruluşların kimliğine bürünen SilkSpecter, büyük olasılıkla güvenlik engellerini aşabilir, kurban hesaplarına yetkisiz erişim sağlayabilir ve sahte işlemler başlatabilir” dedi.
Şu anda bu URL’lerin nasıl yayıldığı belli değil, ancak sosyal medya hesaplarını ve arama motoru optimizasyonu (SEO) zehirlenmesini içerdiğinden şüpheleniliyor.
Bulgular, HUMAN’ın Satori Tehdit İstihbaratı ve Araştırma ekibinin, tüketicilerin para ve kredi kartı bilgilerini ele geçirmek için Mastercard ve Visa gibi dijital ödeme sağlayıcılarını da kötüye kullanan sahte web mağazaları etrafında dönen Phish ‘n’ Ships adlı başka bir genişleyen ve devam eden dolandırıcılık operasyonunu ayrıntılarıyla açıklamasından haftalar sonra geldi. .
Sahte ürün listeleri oluşturmak ve web sitesinin arama motoru sonuçlarındaki sıralamasını yapay olarak yükseltmek için siyah şapka SEO taktikleri kullanmak üzere 1000’den fazla meşru siteye bulaşan hileli planın 2019’dan beri aktif olduğu söyleniyor. Ödeme işlemcileri o zamandan beri tehdit aktörlerinin hesaplarını bloke ederek para çekme yeteneklerini kısıtladı.
Şirket, “Ödeme işlemi daha sonra ödeme işlemini tamamlamak için dört ödeme işlemcisinden biriyle entegre olan farklı bir web mağazasından geçiyor” dedi. “Tüketicinin parası tehdit aktörüne geçse de ürün asla ulaşmayacak.”
Kullanıcıları sahte e-ticaret sayfalarına yönlendirmek için SEO zehirlenmesinin kullanılması yaygın bir olgudur. Trend Micro’ya göre, bu tür saldırılar, güvenliği ihlal edilmiş sitelere SEO kötü amaçlı yazılımlarının yüklenmesini içeriyor ve bu kötü amaçlı yazılımlar, sayfaların arama motoru sonuçlarının üstünde görünmesini sağlamaktan sorumlu oluyor.
Şirket, “Bu SEO kötü amaçlı yazılımları, web sunucusu isteklerini engellemek ve kötü amaçlı içerikleri döndürmek için güvenliği ihlal edilmiş web sitelerine yükleniyor” dedi. “Bunu yaparak, tehdit aktörleri arama motorlarına hazırlanmış bir site haritası gönderebilir ve oluşturulan yem sayfalarını dizine ekleyebilir.”
“Bu, arama sonuçlarını kirletiyor ve güvenliği ihlal edilmiş web sitelerinin URL’lerinin gerçekte işlemedikleri ürün adları için yapılan aramalarda görünmesine neden oluyor. Sonuç olarak, arama motoru kullanıcıları bu siteleri ziyaret etmeye yönlendiriliyor. SEO kötü amaçlı yazılımı daha sonra istek işleyiciyi engelliyor ve kullanıcının tarayıcısını yeniden yönlendiriyor. sahte e-ticaret sitelerine.”
Alışverişle ilgili dolandırıcılığın dışında, Balkan bölgesindeki posta hizmeti kullanıcıları, Apple iMessage’ı kullanarak posta hizmetinden geldiği iddia edilen mesajlar gönderen ve alıcılara kişisel bilgilerini girmek için bir bağlantıya tıklamaları talimatını veren başarısız bir teslimat dolandırıcılığının hedefi haline geldi. ve teslimatı tamamlamak için mali bilgiler.
Group-IB, “Kurbanlardan, siber suçluların gelecekteki kimlik avı girişimleri için toplayıp kullanacakları adları, ikamet veya ticari adresleri ve iletişim bilgileri dahil olmak üzere kişisel bilgilerini vermeleri istenecek” dedi.
“Kuşkusuz, mağdurlar ödemeyi yaptıktan sonra para geri alınamaz hale geliyor ve siber suçlular ulaşılamaz hale geliyor, bu da mağdurların hem kişisel bilgilerini hem de paralarını kaybetmesine neden oluyor.”