SMS dolandırıcıları sizi kandırmak için Google, Amazon ve IBM’in bulut depolama alanını kullanıyor! Bunu nasıl yaptıklarını ve kendinizi bu sinsi bulut kimlik avı dolandırıcılıklarından nasıl koruyacağınızı öğrenin.
İsveç’in Stockholm kentinde bulunan bir yazılım güvenliği firması olan Enea’nın tehdit istihbarat birimi, endişe verici bir eğilimi ortaya çıkardı: Siber suçlular, Smishing veya SMS kimlik avı da dahil olmak üzere SMS dolandırıcılığı gerçekleştirmek için bulut sistemlerini kullanıyor.
Şirketin tehdit istihbarat ekibinin yaptığı araştırmaya göre Amazon S3, Google Cloud Storage, Backblaze B2 ve IBM Cloud Object Storage gibi bulut depolama hizmetleri, kullanıcıları kötü amaçlı web sitelerine yönlendirmek ve SMS yoluyla bilgilerini çalmak için kullanılıyor.
Bulut Depolamadan Nasıl Yararlanılıyor?
Bulut depolama, kuruluşların ve bireylerin, statik web siteleri de dahil olmak üzere dosyaları depolamasına, erişmesine ve yönetmesine olanak tanır. Ancak siber suçlular, kaynak kodlarında gömülü spam URL’leri bulunan statik web sitelerini barındırmak için bu olanaktan yararlandı.
Bu URL’ler, güvenlik duvarı kısıtlamalarını atlayarak orijinal metin mesajları aracılığıyla dağıtılır. Mobil kullanıcılar, bulut platformu etki alanlarını içeren bağlantılara tıklarlar; bu bağlantılar, onları depolama paketinde depolanan statik web sitesine yönlendirir ve bunları kullanıcı farkında olmadan otomatik olarak iletir veya yeniden yönlendirir.
Dolandırıcılık: SMS’den Sahte Web Sitelerine
Enea’nın, şirketin 23rd 2024 Perşembe günü yayınlanmadan önce Hackread.com ile paylaştığı blog gönderisine göre, saldırganlar iki ana hedefe öncelik veriyor: ağ güvenlik duvarı tespiti olmadan dolandırıcılık mesajları iletmek ve son kullanıcıları mesajları veya bağlantıları güvenilir olarak algılamaya ikna etmek.
Dolandırıcılık görünüşte zararsız bir kısa mesajla (SMS) başlar. Bu mesajlar genellikle cazip teklifler içerir veya bir aciliyet duygusu yaratarak alıcıları bir bağlantıya tıklamaları için kandırır. Bu bağlantı, onları akıllıca meşru bir site gibi görünen kötü amaçlı bir web sitesine yönlendirir.
Araştırmaya göre Google Cloud Storage’ın “storage.googleapis.com” alanı, saldırganlar tarafından platformdaki bir pakette barındırılan statik bir web sayfasına bağlantı vermek için kullanılıyor. Spam web sitesi, belirli bir süre sonra bir web sayfasını otomatik olarak yenilemek veya yönlendirmek için web geliştirmede kullanılan bir teknik olan “HTML meta yenileme” yöntemi kullanılarak bu web sayfasından yüklenir.
Genellikle Google Cloud Storage’da “dfa-b.html” gibi adlara sahip bulut depolama paketlerinde barındırılan bu sahte web siteleri, kullanıcılar bu bilgilere girdikten sonra kişisel ve finansal bilgileri çalmayı amaçlamaktadır. Kullanıcılar, kişisel ve mali bilgilerini ifşa etmeleri için kullanıcıları kandırmak amacıyla hediye kartları sunan sahte web sitelerine yönlendirilmektedir.
Bu SMS dolandırıcılarının Amazon Web Services (AWS), IBM Cloud ve Blackblaze B2 Cloud üzerinde barındırılan statik web sitelerine olan bağlantıları kullandıkları da gözlemlenmiştir.
Azaltma Stratejileri
Orijinal Google Cloud Storage alan adlarını içeren URL’lerin algılanması ve engellenmesi, saygın şirketlerin meşru alan adlarıyla olan ilişkileri nedeniyle zordur. Kendinizi bulut kimlik avı dolandırıcılıklarından korumak için şüpheli SMS bağlantılarına karşı dikkatli olun, kişisel bilgileri girmeden önce web sitesinin meşruiyetini kontrol edin ve ekstra bir güvenlik katmanı eklemek için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin.
İLGİLİ KONULAR
- Bilmeniz Gereken En Önemli 5 Bulut Güvenlik Açığı
- Bulut güvenliği – Hassas verileri güvende tutmak için devam eden bir mücadele
- Yeni Güvenlik Açığı LeakyCLI, AWS ve Google Cloud Kimlik Bilgilerini Sızdırıyor
- Shadow IT: Kişisel GitHub Depoları Çalışanların Bulut Sırlarını Açığa Çıkarıyor
- Dropbox, SaaS Girişlerini Çalmak İçin Yeni Kimlik Avı ve Malspam Dolandırıcılığında Suistimal Edildi