Spam filtresi uyarıları olarak gizlenen kimlik avı e-postaları oturum açma bilgilerini çalıyor

   Kasım 12, 2025  Posted in MalwareBytes


Siber suçlular, “e-posta teslimi” bildirimlerini kendi kuruluşunuz içindeki spam filtrelerinden gelmiş gibi göstererek sahtecilik yapıyor. Amaç sizi oturum açma kimlik bilgilerinizi (e-postanızın, bulut depolama alanınızın veya diğer kişisel hesaplarınızın kilidini açabilecek kimlik bilgileri) çalan bir kimlik avı sitesine çekmektir.

E-posta, Güvenli Mesaj sistemindeki bir yükseltme nedeniyle bazı bekleyen mesajların gelen kutunuza ulaşmadığını ve şimdi oraya taşınmaya hazır olduğunu iddia ediyor.

cevapsız e-postalar

“E-posta Teslim Raporları: Gelen Bekleyen Mesajlar

Yakın zamanda Güvenli Mesaj sistemimizi yükselttik ve Gelen Kutunuza teslim edilmemiş bekleyen mesajlar var.

Arıza Teslimat Mesajları

[email protected] adresine e-posta teslim raporları

Durum : Konu: Tarih: Saat:

{Herhangi bir şüphe uyandırmayacak kadar genel ve yaygın birkaç mesaj başlığı}

Gelen Kutusuna Taşı (düğme)

Not : Mesajlar, onay Posta Bildirimini aldıktan sonra 1-2 saat içinde teslim edilecektir. Bu mesaj spam klasörünüze düşerse, lütfen onu gelen kutusu klasörünüze taşıyın

Postalar {spoofed domain} tarafından şifrelenmiştir © Tüm Hakları Saklıdır. | Bu mesajı almak istemiyorsanız Abonelikten çıkın. (bağlantı)”

Hem “Gelen Kutusuna Taşı” düğmesi hem de abonelikten çıkma bağlantısı cbssports’u kötüye kullanıyor[.]mdbgo etki alanında bulunan gerçek kimlik avı sitesine ulaşmak için com yönlendirmesi[.]Malwarebytes tarafından engellenen io.

Malwarebytes mdbgo.io'yu engelliyor

Unit42’deki araştırmacılar bu tür kimlik avı kampanyaları konusunda uyardı, biz de daha yakından incelemeye karar verdik.

Bağlantılar, sahte e-posta adresini base64 kodlu bir dize olarak kimlik avı sitesine iletir. Bu siteye gittiğimizde, hedefin alan adının zaten doldurulmuş olduğu, kişisel ve meşru görünmesini sağlayan bu sahte giriş ekranıyla karşılaştık:

Erişim elde etmek için şifreyi girin

Unit42’nin bulgularının aksine, saldırının bu versiyonunun daha karmaşık olduğunu ve muhtemelen daha hızlı geliştiğini gördük. Kimlik avı sitesinin kodu büyük ölçüde gizlenmiştir ve kimlik bilgileri bir websocket aracılığıyla toplanmaktadır.

web soketi işlevi

Bir websocket, tarayıcınız ile web sitesinin sunucusu arasında, asla kapanmayan bir telefon görüşmesi gibi açık bir kanal tutar. Bu, tarayıcının ve sunucunun, sayfayı yeniden yüklemeye gerek kalmadan her iki yönde anında ileri geri mesaj göndermesine olanak tanır. Siber suçlular websocket’leri kullanmayı seviyor çünkü bilgilerinizi bir kimlik avı sitesine yazdığınız anda alıyorlar ve hatta iki faktörlü kimlik doğrulama (2FA) kodları gibi ek bilgiler için istemler gönderebiliyorlar.

Bu, e-postanızı ve şifrenizi böyle bir siteye girerseniz, saldırganların anında e-postanızın kontrolünü ele geçirebileceği, bulutta depolanan dosyalara erişebileceği, diğer şifreleri sıfırlayabileceği ve hizmetler genelinde sizi taklit edebileceği anlamına gelir.

Kimlik avı e-postalarından nasıl korunursunuz

Bu gibi kimlik avı girişimlerinde iki basit kural sizi pek çok sorundan kurtarabilir.

  • İstenmeyen ekleri açmayın
  • Oturum açmadan önce daima tarayıcıdaki web sitesi adresini kontrol edin. Bulunmayı beklediğiniz siteyle eşleştiğinden emin olun.

Genel olarak kimlik avından korunmak için diğer önemli ipuçları:

  • Göndereni doğrulayın. Gönderenin e-posta adresinin beklediğiniz adresle eşleşip eşleşmediğini her zaman kontrol edin. Her zaman kesin sonuç vermez ancak bazı girişimleri tespit etmenize yardımcı olabilir.
  • İstekleri iki kez kontrol edin Beklemediğiniz bir ek veya bağlantı alırsanız başka bir kanal aracılığıyla.
  • Güncel güvenlik yazılımı kullanıntercihen bir ağ koruma bileşeniyle birlikte.
  • Cihazınızı ve tüm yazılımlarını güncel tutun.
  • Çok faktörlü kimlik doğrulamayı kullanın (MFA) yapabileceğiniz her hesap için.
  • Bir şifre yöneticisi kullanın. Parola yöneticileri, size gerçekmiş gibi görünse bile, sahte bir sitenin parolasını otomatik olarak doldurmayacaktır.

Zaten güvenmediğiniz bir sayfaya kimlik bilgilerinizi girdiyseniz şifrelerinizi hemen değiştirin.

Bir ipucu için: Ücretsiz Malwarebytes Tarayıcı Koruması uzantısı bu saldırıyı da durdurabilirdi:

Malwarebytes Tarayıcı Koruması mdbgo'nun alt alan adını engelliyor[.]io

Uzlaşma Göstergeleri (IOC’ler)

  • mdbgo’nun birkaç alt alanı[.]io
  • xxx-üç-teta.vercel[.]uygulama
  • client1.inftrimool[.]xyz
  • söz[.]io
  • veluntra-teknoloji-üretkenliği-artırın-soğuk-çam-8f29.ellenplum9.workers[.]geliştirici
  • lotusbridge.ru[.]iletişim
  • shain-log4rtf.surge[.]ş

Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz

Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.



Source link