SMS Kimlik Avcıları, UPS Takip Aracından Telefon Numaralarını, Gönderi Verilerini Topladı – Krebs on Security


bu Birleşik Parsel Servisi (UPS), dolandırıcıların, UPS’i ve diğer en iyi markaları taklit eden yüksek düzeyde hedefli SMS kimlik avı (“smishing”) mesajları göndermek için Kanada’daki çevrimiçi gönderi izleme aracından telefon numaralarını ve diğer bilgileri topladığını söylüyor. Mektuplar alıcılara isimleriyle hitap ediyor, son siparişlerle ilgili ayrıntıları içeriyor ve müşteri ek bir teslimat ücreti ödemedikçe bu siparişlerin gönderilmeyeceği konusunda uyarıyordu.

Kanadalı müşterilere bu ay gönderilen bir salyangoz posta mektubunda, UPS Kanada Ltd. bazı paket alıcılarının, bir paket teslim edilmeden önce ödeme yapılmasını talep eden hileli kısa mesajlar aldıklarından haberdar olduğunu ve dolandırıcılığın nasıl meydana geldiğini anlamak için teslimat zincirindeki ortaklarla birlikte çalıştığını söyledi.

UPS’in web sitesinden gönderi ayrıntılarını ve telefon numaralarını toplayan SMS dolandırıcılarıyla ilgili son mektubu.

Mektupta, “Bu inceleme sırasında UPS, belirli bir paketi arayan veya bir paket arama aracını kötüye kullanan bir kişinin, teslimat hakkında potansiyel olarak bir alıcının telefon numarası da dahil olmak üzere daha fazla bilgi edinebileceği bir yöntem keşfetti” yazıyor. “Potansiyel olarak bir ezme planında dahil olmak üzere bu bilgiler üçüncü şahıslar tarafından kötüye kullanılabileceğinden, UPS bu bilgilere erişimi sınırlamak için adımlar attı.”

Yazılı bildirim, UPS’in veri ifşasının “1 Şubat 2022’den 24 Nisan 2023’e kadar küçük bir nakliyeci grubu ve bazı müşterileri için etkilenen paketler” olduğuna inandığını söylüyor.

Nisan 2022 gibi erken bir tarihte, KrebsOnSecurity Kanadalı okuyuculardan, bir çevrimiçi satıcıya yasal olarak verdikleri yakın tarihli bir siparişe ait bilgilere atıfta bulunan bu SMS kimlik avı mesajlarından birini neden aldıklarını merak eden ipuçları almaya başladı.

Mart 2023’te, adlı bir okuyucu Dilan British Columbia’dan bir mektup yazarak, doğrudan Lego.com’dan bir yığın yapı taşı satın almak üzere sipariş verdikten kısa bir süre sonra bu nakliye ücreti dolandırıcılığı mesajlarından birini aldığını söyledi. Mesaj, tam adını, telefon numarasını ve posta kodunu içeriyordu ve onu bir bağlantıya tıklamaya çağırdı. teslimat ücretlerim[.]bilgi ve Legolarını teslim etmek için gerekli olduğu varsayılan 1,55 dolarlık bir teslimat ücreti ödedi.

Dylan, “Bu kimlik avı mesajının metnini araştırdığımda, birçok kişinin bu dolandırıcılığı deneyimlediğini görebiliyorum; bu, kimlik avı metninin içerdiği bilgiler nedeniyle daha ikna edici” dedi. “Bana öyle geliyor ki, UPS bir şekilde yaklaşan teslimatlar hakkında bilgi sızdırıyor.”

Josh, Kanada’ya ürün gönderen bir şirkette çalışan bir okuyucudur ve 2023 Ocak ayının başlarında UPS Kanada’da bir ihlal hakkında herhangi bir bilgi olup olmadığını sordu.

Josh, “Müşterilerimizin birçoğunun sipariş verdikten sonra sahte bir UPS kısa mesaj şemasıyla hedef alındığını gördük,” dedi. “Sizi bir captcha sayfasına ve ardından hileli bir ödeme tahsilat sayfasına götüren bir bağlantı (genellikle yalnızca müşteri metne yanıt verdikten sonra) sağlanır.”

Dylan’a gönderilen smishing mesajındaki alan adı üzerinde yapılan inceleme, kimlik avı alan adının Rusya’daki bir İnternet ana bilgisayarını paylaştığını gösteriyor [91.215.85-166] dahil yaklaşık iki düzine smishing ile ilgili alan adı ile yukarı teslimat[.]bilgi, lego teslimatı[.]bilgi, adidascanadaltd[.]iletişim, crocscanadafee[.]bilgi, refw0234elma[.]bilgi, manzara-baskı kanada[.]bilgi Ve telus-ca[.]bilgi.

Büyük markaların bu UPS ezici kampanyalarının etki alanlarına dahil edilmesi, faillerin aramalarını yakın zamanda belirli şirketlerden ürün sipariş etmiş olan UPS müşterilerine odaklayabildiklerini gösteriyor.

Bu etki alanlarını bir web tarayıcısı ile ziyaret etme girişimleri başarısız oldu, ancak bunları bir mobil cihaza yüklemek (veya benim durumumda, bir sanal makine ve Firefox’ta Geliştirici Araçları kullanarak bir mobil cihazı taklit etmek), bu ezici saldırının ilk aşamasını ortaya çıkardı. Josh’un bahsettiği gibi, ilk ortaya çıkan şey bir CAPTCHA idi; Ziyaretçi CAPTCHA’yı çözdükten sonra, kullanıcının tam adını, doğum tarihini, kredi kartı numarasını, adresini, e-postasını ve telefon numarasını isteyen birkaç sayfaya daha göz attı.

Kısa bir süre önce Adidas’tan çevrimiçi alışveriş yapan Kanadalıları hedef alan çarpıcı bir web sitesi. Site yalnızca bir mobil tarayıcıda yüklenir.

Nisan 2022’de KrebsOnSecurity, Kanada’daki bir teknoloji şirketinin CEO’su Alex’ten soyadını bu hikayenin dışında bırakmak istediğini duydu. Alex, iki set sipariş ettikten hemen sonra smishing mesajlarını almaya başladığında uzandı. Airpod’lar doğrudan Apple’ın web sitesinden.

Alex’i en çok şaşırtan şey, Apple’a Airpod’ları iki farklı kişiye hediye olarak göndermesi talimatını vermesi ve 24 saatten kısa bir süre sonra Apple hesabı için kullandığı telefon numarasına her ikisi de selam içeren iki kimlik avı mesajı almasıydı. Airpod’ları satın aldığı kişilerin adlarını da içeriyordu.

Alex, “Alıcıyı ekibimde farklı kişiler olarak koyardım, ancak her iki siparişte de telefon numaram olduğu için kısa mesajları alan bendim,” diye açıkladı Alex. “Aynı gün, benden iki farklı kişi olarak söz eden kısa mesajlar aldım, ikisi de ben değildim.”

Alex, UPS Canada’nın ya henüz ne olduğunu tam olarak anlamadığına ya da bildikleri konusunda çekingen davrandığına inandığını söyledi. UPS’in yanıtının ifadesinin yanıltıcı bir şekilde, parçalama saldırılarının bir şekilde bilgisayar korsanlarının şirketin izleme web sitesi aracılığıyla paket bilgilerini rastgele aramasının bir sonucu olduğunu öne sürdüğünü söyledi.

Alex, sorumlu kişinin UPS Kanada web sitesinde yalnızca belirli markalardan gelen bekleyen siparişler için nasıl sorgulanacağını, belki de UPS Kanada’nın sunduğu veya en büyük perakende ortaklarının kullanımına sunduğu bir tür uygulama programlama arayüzünden (API) yararlanarak bulduğunu söyledi.

“Siparişi verdiğim gibi değildi [on Apple.ca] ve birkaç gün veya hafta sonra hedefli bir smishing saldırısı aldım,” dedi. “Aşağı yukarı aynı gündü. Ve sanki [the phishers] emrin var olduğu bildiriliyor.”

UPS Kanada müşterilerine gönderilen mektupta, Kuzey Amerika’daki başka herhangi bir müşterinin etkilenip etkilenmediğinden bahsedilmiyor ve Kanada dışındaki herhangi bir UPS müşterisinin hedef alınıp alınmayacağı belirsizliğini koruyor.

Sandy Springs, GA merkezli KrebsOnSecurity’ye yapılan açıklamada GÜÇ KAYNAĞI [NYSE:UPS] şirketin dolandırıcılığın nasıl yapıldığını anlamak için teslimat zincirindeki ortaklarla ve bu planın nedenini belirlemek ve buna bir son vermek için kolluk kuvvetleri ve üçüncü taraf uzmanlarla birlikte çalıştığını söyledi.

Bir e-postada, “Kanun yaptırımı, bir dizi nakliyatçıyı ve birçok farklı sektörü etkileyen parçalama olaylarında bir artış olduğunu belirtti” diyor. Brian HughesUPS’te finansal ve strateji iletişim direktörü.

Hughes, “Pek çok tedbir amacıyla, UPS Kanada’daki bilgileri etkilenmiş olabilecek kişilere gizlilik olayı bildirim mektupları gönderiyor” dedi. “Müşterilerimizi ve genel tüketicilerimizi, UPS Fraud ile Mücadele web sitesini ziyaret ederek bu tür girişimlere karşı korunmanın yollarını öğrenmeleri için teşvik ediyoruz.”



Source link