Sofistike bir işletme e-posta uzlaşması (BEC) programında, siber suçlular kiracı kira ödemelerini saldırgan kontrolündeki banka hesaplarına yönlendirmek için hileli talepleri hedefliyor.
Kampanya öncelikle Fransa ve bazen Kanada’daki Fransızca konuşan kurbanlara odaklanarak, uygun doğrulama olmadan hedefleri derhal eyleme dönüştürmek için kaçırılan kira ödemeleriyle ilişkili kaygıyı kullanıyor.
Saldırılar, mağdurların kira ödemelerinin işlenmediğini iddia eden resmi görünümlü iletişimleri aldıkları tutarlı bir kalıp izliyor.
.png
)
Bu mesajlar, alıcılara mülk yönetim şirketinin bankacılık ayrıntılarının değiştiğini ve gelecekteki ödemeler için yeni hesap bilgileri sağladığını bildirir.
Hileli iletişim genellikle güvenilirliği artırmak için “alacıl d’Entitité Bancaire” (banka hesabı kimlik ifadesi) gibi otantik görünümlü antetli kağıtlar ve resmi terminoloji kullanır.
Proofpoint araştırmacıları, yaklaşık iki düzine farklı Iban sayısını kullanarak 50’den fazla kampanyanın analizi ile TA2900 olarak adlandırılan bu tehdit oyuncusu tanımladılar.
Tehdit oyuncusu tipik olarak yeni bir kampanyayı kullanarak iki ila üç kampanya gönderir ve yeni bir kampanyaya geçmeden önce operasyonel güvenlik bilinci ve tespitten kaçınmak için metodik yaklaşım gösterir.
Saldırganlar, kampanyalarını dağıtmak için eğitim kurumlarına ait tehlikeye atılmış posta kutularından yararlanarak algılanan meşruiyet katmanı sağlıyor.
Konu satırları tipik olarak “loyer” (kira) veya “nouveau kaburga” (yeni banka detayları) gibi jeneriktir, ekli PDF’ler mülk yönetimi şirketlerinde ortak olan logolar ve terminolojiye sahiptir.
Sosyal Mühendislik Taktik Analizi
TA2900 kampanyasının etkinliği sofistike sosyal mühendislik yaklaşımında yatmaktadır. Saldırganlar, kiracıların konutlarını önererek duygusal tepkileri tetikler ve rasyonel doğrulama süreçlerini atlayan aciliyet yaratır.
İletişim, “Garantie des Loyers” (kira garantisi) ve “Gestion immobilier comptabilité” (gayrimenkul yönetimi muhasebesi) gibi meşru terminolojiyi içeren Fransız kira ödeme süreçleri hakkında bilgi göstermektedir.
.webp)
Mesajlar genellikle mağdurların gelecekteki otomatik ödemeler için ödeme kanıtı veya yetkilendirme ile yanıt vermeleri ve finansal hırsızlık için birden fazla fırsat yaratmaları için özel talimatlar içerir.
TA2900 tarafından kullanılan banka hesapları meşru Fransız finans kurumlarına, özellikle daha büyük bankaların “düşük maliyetli” şubelerine kayıtlıdır ve işlemlerin kurbanlara gerçek görünmesini sağlar.
TA2900’ün kesin yeri bilinmemekle birlikte, Proofpoint aktörün birincil motivasyonunun finansal hırsızlık olduğuna dair yüksek güvenle değerlendirir.
Ağırlıklı olarak Fransızca dil kampanyaları, Fransızca konuşan operatörleri göstermek yerine çeviri yazılımı kullanabilir ve saldırganların hedeflenen bölgelerin dışına dayanabileceğini düşündürmektedir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy