Siber güvenlik araştırmacıları, kötü niyetli kişilerin, çeşitli malspam kampanyalarının bir parçası olarak gönderen e-posta adreslerini taklit ederek başarı elde etmeye devam ettiğini buldu.
Bir e-postanın gönderen adresini taklit etmek, yaygın olarak dijital mesajı daha meşru hale getirme ve onu kötü amaçlı olarak işaretleyebilecek güvenlik mekanizmalarını aşma girişimi olarak görülüyor.
Spam gönderenlerin iyi bilinen alan adlarını taklit etmesini önlemek için kullanılabilecek Etki Alanı Anahtarları Tanımlı Posta (DKIM), Etki Alanı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC) ve Gönderen Politikası Çerçevesi (SPF) gibi korumalar mevcut olsa da, giderek daha fazla kullanılmaktadır. operasyonlarında eski, ihmal edilmiş alanlardan yararlanmalarına yol açtı.
Bunu yaparken e-posta iletileri, spam’ı tanımlama aracı olarak alan adı yaşına dayanan güvenlik kontrollerini büyük olasılıkla atlayacaktır.
DNS tehdit istihbarat firması, The Hacker News ile paylaşılan yeni bir analizde, Muddling Meerkat ve diğerleri de dahil olmak üzere tehdit aktörlerinin, barındırmak için kullanılmamış kendi eski, kullanılmayan üst düzey etki alanlarından (TLD’ler) bazılarını kötüye kullandığını keşfetti. Yaklaşık 20 yıldır içerik.
Şirket, “Genellikle bir gönderenin alan adının gerçekliğini kontrol etmek için kullanılanlar da dahil olmak üzere çoğu DNS kaydından yoksunlar, örneğin Gönderen Politikası Çerçevesi (SPF) kayıtları” dedi. “Alan adları kısa ve son derece saygın TLD’lerde.”
En az Aralık 2022’den bu yana aktif olan bu tür bir kampanya, kimlik avı sitelerine yönlendiren QR kodları içeren ekleri olan e-posta mesajlarının dağıtılmasını içeriyor. Ayrıca alıcılara eki açmaları ve telefonlarındaki AliPay veya WeChat uygulamalarını kullanarak QR kodunu taramaları talimatını da veriyor.
E-postalar, Mandarin dilinde yazılmış vergiyle ilgili tuzaklar kullanıyor ve aynı zamanda QR kodlu belgeleri, e-posta gövdesinde yer alan dört haneli bir şifrenin arkasına farklı şekillerde kilitliyor. Kimlik avı sitesi, bir vakada, kullanıcılardan kimlik ve kart bilgilerini girmelerini ve ardından saldırgana hileli bir ödeme yapmalarını istedi.
Infoblox, “Kampanyalar Muddling Meerkat’ta gördüğümüz ihmal edilmiş alanları kullansa da, mevcut olmayanlar bile dahil olmak üzere rastgele alanları geniş ölçüde taklit ediyor gibi görünüyor.” diye açıkladı. “Oyuncu bu tekniği aynı gönderenden gelen tekrarlanan e-postalardan kaçınmak için kullanabilir.”
Şirket ayrıca, kimlik bilgilerini çalmak amacıyla kurbanları trafik dağıtım sistemlerini (TDS’ler) kullanarak sahte oturum açma sayfalarına yönlendirmek için Amazon, Mastercard ve SMBC gibi popüler markaların kimliğine bürünen kimlik avı kampanyalarını da gözlemlediğini söyledi. Sahte gönderen alan adlarını kullandığı belirlenen e-posta adreslerinden bazıları aşağıda listelenmiştir:
- [email protected][.]kuruluş
- [email protected][.]iletişim
- [email protected][.]iletişim
- [email protected][.]iletişim
- [email protected][.]iletişim
- [email protected][.]açık
- [email protected][.]iletişim
Üçüncü bir spam kategorisi şantajla ilgilidir; burada e-posta alıcılarından, sistemlerine kurulu olduğu iddia edilen bir uzaktan erişim truva atı kullanılarak kaydedilen utanç verici videolarını silmek için Bitcoin cinsinden 1800 dolarlık bir ödeme yapmaları istenir.
Infoblox “Oyuncu, kullanıcının kendi e-posta adresini taklit ediyor ve onu kontrol edip görmesini istiyor.” E-posta, kullanıcıya cihazının ele geçirildiğini söylüyor ve kanıt olarak aktör, mesajın kullanıcının kendi hesabından gönderildiğini iddia ediyor. “
Açıklama, Eylül 2024’ün başlarından bu yana Microsoft 365 kimlik bilgilerini çalmayı amaçlayan Butcher Shop adlı yeni bir kimlik avı kampanyasının hukuk, hükümet ve inşaat sektörlerini hedef almasıyla geldi.
Obsidian Security’ye göre saldırılar, kullanıcıları kötü amaçlı sitelere yönlendirmek için Canva, Dropbox DocSend ve Google Hızlandırılmış Mobil Sayfalar (AMP’ler) gibi güvenilir platformları kötüye kullanıyor. Diğer kanallardan bazıları e-postaları ve güvenliği ihlal edilmiş WordPress sitelerini içerir.
Şirket, “Kimlik avı sayfasını görüntülemeden önce, kullanıcının aslında insan olduğunu doğrulamak için Cloudflare Turnikesi bulunan özel bir sayfa gösteriliyor” dedi. “Bu turnikeler, URL tarayıcıları gibi e-posta koruma sistemlerinin kimlik avı sitelerini tespit etmesini zorlaştırıyor.”
Son aylarda, mevcut olmayan trafik ihlalleri, park ihlalleri ve lisans yenilemeleri için sahte ödeme talepleri göndermek üzere BAE’deki kolluk kuvvetlerinin kimliğine bürünen SMS kimlik avı kampanyaları gözlemlendi. Bu amaçla kurulan sahte sitelerden bazıları, Smishing Triad adlı bilinen bir tehdit aktörüne atfediliyor.
Orta Doğu’daki bankacılık müşterileri, telefon görüşmelerinde hükümet yetkililerini taklit eden ve kredi kartı bilgilerini ve tek kullanımlık şifreleri (OTP’ler) çalmak için uzaktan erişim yazılımı kullanan karmaşık bir sosyal mühendislik planının da hedefi oluyor.
Anadili Arapça olan bilinmeyen kişilerin eseri olduğu değerlendirilen kampanyanın, öncelikle kişisel verileri hırsız kötü amaçlı yazılım yoluyla karanlık ağda sızdırılan kadın tüketicilere yönelik olduğu tespit edildi.
Group-IB bugün yayınlanan bir analizde, “Dolandırıcılık özellikle daha önce web sitesi veya mobil uygulaması aracılığıyla devlet hizmetleri portalına çevrimiçi satıcılardan satın alınan ürün veya hizmetlerle ilgili ticari şikayette bulunan kişileri hedef alıyor.” dedi.
“Dolandırıcılar, tatmin edici olmayan satın alma işlemlerinin geri ödenmesini umarak kurbanların işbirliği yapma ve talimatlarına uyma istekliliğini istismar ediyor.”
Cofense tarafından tespit edilen bir diğer kampanya, ConnectWise uzaktan erişim yazılımı için bir yükleyici indirmek için bir bağlantı içeren veya kurbanları kimlik bilgileri toplama sayfalarına yönlendiren, Amerika Birleşik Devletleri Sosyal Güvenlik İdaresi’nden geldiğini iddia eden e-postaların gönderilmesini içeriyor.
Bu gelişme, .top, .xyz, .shop, .vip ve .club gibi genel üst düzey alan adlarının (gTLD’ler), Eylül 2023 ile Ağustos 2024 arasında bildirilen siber suç alan adlarının yalnızca %11’ini tutmalarına rağmen %37’sini oluşturmasıyla gerçekleşti. Interisle Consulting Group’un bir raporuna göre toplam alan adı pazarının.
Bu alan adları, düşük fiyatlar ve kayıt gerekliliklerinin bulunmaması nedeniyle kötü niyetli aktörler için kazançlı hale geldi ve bu da kötüye kullanıma kapılar açtı. Siber suçlar için yaygın olarak kullanılan gTLD’lerden 22’si, 2,00 doların altında kayıt ücreti teklif ediyordu.
Tehdit aktörlerinin, Telegram aracılığıyla kişisel ve finansal verileri çalmak için Stripe gibi meşru ödeme işlemcilerini taklit eden özelleştirilebilir ödeme sayfaları oluşturmak için kullanılabilecek PhishWP adlı kötü amaçlı bir WordPress eklentisinin reklamını yaptığı da keşfedildi.
SlashNext yeni bir raporda, “Saldırganlar meşru WordPress web sitelerini tehlikeye atabilir veya yüklemek için sahte siteler kurabilirler” dedi. “Eklentiyi bir ödeme ağ geçidini taklit edecek şekilde yapılandırdıktan sonra, şüphelenmeyen kullanıcılar ödeme ayrıntılarını girmeye teşvik ediliyor. Eklenti bu bilgileri topluyor ve genellikle gerçek zamanlı olarak doğrudan saldırganlara gönderiyor.”