PayPal kullanıcılarını hedef alan yeni keşfedilen bir kimlik avı kiti, kurbanlardan devlet kimlik belgelerini ve fotoğraflarını içeren çok sayıda kişisel bilgiyi çalmaya çalışıyor.
400 milyondan fazla kişi ve şirket, çevrimiçi ödeme çözümü olarak PayPal’ı kullanıyor.
Kit, saldırıya uğramış meşru WordPress web sitelerinde barındırılıyor ve bu da belirli bir dereceye kadar tespitten kaçmasına izin veriyor.
Zayıf girişe sahip web sitelerini ihlal etmek
İnternet teknolojisi şirketi Akamai’deki araştırmacılar, tehdit aktörü WordPress bal küpüne yerleştirdikten sonra kimlik avı kitini buldu.
Tehdit aktörü, güvenliği düşük web sitelerini hedefler ve çevrimiçi olarak bulunan ortak kimlik bilgisi çiftlerinin bir listesini kullanarak girişlerini kaba zorlar. Kimlik avı kitinin ihlal edilen siteye yüklenmesine izin veren bir dosya yönetimi eklentisi yüklemek için bu erişimi kullanırlar.
Akamai, kimlik avı kitinin algılamayı önlemek için kullandığı bir yöntemin, siber güvenlik endüstrisindeki bazı kuruluşlar da dahil olmak üzere belirli bir şirket grubuna ait etki alanlarına çapraz referans IP adresleri vermek olduğunu keşfetti.
Yasal görünümlü sayfa
Araştırmacılar, kimlik avı kitinin yazarının, sahte sayfanın profesyonel görünmesi ve mümkün olduğunca orijinal PayPal sitesini taklit etmesi için çaba sarf ettiğini fark ettiler.
Gözlemledikleri bir yön, yazarın kullandığı htaccess URL’yi PHP dosyasının uzantısıyla bitmeyecek şekilde yeniden yazmak. Bu, meşruiyet kazandıran daha temiz, daha parlak bir görünüme katkıda bulunur.
Ayrıca, formlardaki tüm grafik arayüz öğeleri PayPal’ın temasına göre şekillendirilmiştir, bu nedenle kimlik avı sayfaları görünüşte gerçek bir görünüme sahiptir.
Veri çalma süreci
Bir kurbanın kişisel verilerini çalmak, onlara yanlış bir meşruiyet duygusu yaratan bir adım olan bir CAPTCHA meydan okuması sunmakla başlar.
Bu aşamadan sonra mağdurdan, tehdit aktörüne otomatik olarak iletilen e-posta adresi ve şifresini kullanarak PayPal hesabına giriş yapması istenir.
Yine de hepsi bu değil. Tehdit aktörü, kurbanın hesabıyla ilişkili “olağandışı etkinlik” bahanesiyle daha fazla doğrulama bilgisi ister.
Bir sonraki sayfada, mağdurdan, kart doğrulama kodu, fiziksel adres, sosyal güvenlik numarası, anne kızlık soyadı ile birlikte ödeme kartı verilerini içeren bir dizi kişisel ve finansal ayrıntı vermesi isteniyor.
Kimlik avı kitinin, kurbandan tüm kişisel bilgileri sızdırmak için yapıldığı anlaşılıyor. Kimlik avı dolandırıcılıklarında tipik olarak toplanan kart verilerinin yanı sıra, bu, ATM makinelerinde yapılan işlemler için sosyal güvenlik numarası, anne kızlık soyadı ve hatta kartın PIN numarasını da ister.
Bu kadar çok bilgiyi toplamak, oltalama kitlerine özgü değildir. Ancak bu daha da ileri gidiyor ve kurbanlardan e-posta hesaplarını PayPal’a bağlamalarını istiyor. Bu, saldırgana, sağlanan e-posta adresinin içeriğine erişmek için kullanılabilecek bir belirteç verir.
Büyük miktarda kişisel bilgi toplamasına rağmen, tehdit aktörü bitmedi. Bir sonraki adımda, mağdurdan kimliğini doğrulamak için resmi kimlik belgelerini yüklemesini isterler.
Kabul edilen belgeler pasaport, ulusal kimlik veya ehliyettir ve yükleme prosedürü, tıpkı PayPal’ın veya meşru bir hizmetin kullanıcılarından isteyeceği gibi özel talimatlarla birlikte gelir.
Siber suçlular, tüm bu bilgileri, kimlik hırsızlığı ile ilgili herhangi bir şeyden kara para aklamaya (örneğin, kripto para birimi alım satım hesapları oluşturmak, şirketleri kaydettirmek) ve bankacılık hesaplarını devralmaya veya ödeme kartlarını klonlamaya kadar çeşitli yasa dışı faaliyetler için kullanabilir.
Devlet belgelerini yüklemek ve bunları doğrulamak için bir selfie çekmek, bir kurban için kredi kartı bilgilerini kaybetmekten daha büyük bir oyundur – kurbanın adı altında kripto para birimi alım satım hesapları oluşturmak için kullanılabilir. Bunlar daha sonra kara para aklamak, vergi kaçırmak veya diğer siber suçlar için anonimlik sağlamak için kullanılabilir. – Akamai
Kimlik avı kiti karmaşık görünse de araştırmacılar, dosya yükleme özelliğinin bir web kabuğu yüklemek ve güvenliği ihlal edilen web sitesinin kontrolünü ele geçirmek için kullanılabilecek bir güvenlik açığıyla birlikte geldiğini keşfettiler.
İstenen büyük miktarda bilgi sağlandığında, bazı kullanıcılar için dolandırıcılık açık görünebilir. Ancak Akamai araştırmacıları, kiti başarılı kılan şeyin bu özel sosyal mühendislik unsuru olduğuna inanıyor.
Kimlik doğrulamanın bu günlerde normal olduğunu ve bunun birçok yolla yapılabileceğini açıklıyorlar. Araştırmacılar, “İnsanlar bugünlerde markaları ve şirketleri güvenlik önlemlerine göre değerlendiriyor” diyor.
Captcha sorgulamasının kullanılması, baştan ek doğrulamanın beklenebileceğini gösterir. Tehdit aktörü, meşru hizmetlerle aynı yöntemleri kullanarak kurbanın güvenini pekiştirir.
Kullanıcıların hassas bilgiler isteyen bir sayfanın alan adını kontrol etmeleri önerilir. Ayrıca, kimlik doğrulamanın uygun olup olmadığını kontrol etmek için tarayıcıya manuel olarak yazarak hizmetin resmi sayfasına gidebilirler.