Çoklu tehdit araştırma firmaları, maaş artışları, yan hak değişiklikleri ve güncellenmiş çalışan el kitaplarıyla ilgili ayrıntıları içeren, profesyonelleri hedef alan bir dizi kimlik avı kampanyası ortaya çıkardı.
Proofpoint, 10 Ocak gibi erken bir tarihte ve en yakın Çarşamba günü, HR’den geldiği iddia edilen kimlik avı bağlantıları içeren e-postalar gözlemlediğini söyledi.
Proofpoint’in tehdit araştırma ekibine göre, e-posta konu satırları ve mesajları maaş artışları, eksik zaman çizelgeleri, parola sıfırlamaları, limitin üzerinde harcama talebi rakamları ve kurumsal siber güvenlik eğitimi hakkında bilgiler içeriyordu.
Bir takvim yılının dönüşü, genellikle profesyoneller için İK ile ilgili birden çok güncellemeyle aynı zamana denk gelir. Yan haklar, tazminat ve yıllık incelemelerle ilgili olarak artan İK faaliyeti dönemi, aynı zamanda tehdit aktörlerinin sosyal mühendislik kampanyaları başlatması için bir pencere açıyor.
Proofpoint’te tehdit araştırması ve tespitinden sorumlu Başkan Yardımcısı Sherrod DeGrippo yaptığı açıklamada, “Tehdit aktörleri, cazip sosyal mühendislik tuzakları yaratmak için güncel olayları kullanmakla ünlüdür” dedi.
DeGrippo, “Tehdit aktörleri, duygusal bir tepki uyandırmayı ve yargılamadan bir tık sesi çıkarmayı umuyor” dedi.
Proofpoint tarafından gözlemlenen bazı e-posta kimlik avı tuzaklarının URL’leri, Microsoft hesaplarını tehlikeye atmak için EvilProxy kimlik avı çerçevesine yönlendiren bir trafik yönlendirme sistemi aracılığıyla yönlendirildi.
Proofpoint’in tehdit araştırma ekibi, EvilProxy çerçeve kampanyaları serisinin aynı tehdit aktörüne atfedilebileceğini ancak etkinliğin firmanın şu anda adlandırılmış tehdit aktörlerinden hiçbiriyle eşleşmediğini orta düzeyde bir güvenle değerlendirdiğini söyledi.
Proofpoint’e göre, devam eden bu kampanyayla bağlantılı mesajların hacmi tipik olarak binlerce ve finansal olarak uyumlu kuruluşların büyük bir kısmı da dahil olmak üzere yüzlerce kuruluş hedef alındı.
“Şu anda birçok şirkette promosyonlar, maaş artışları ve ikramiye ödemeleri yapılıyorken, bu konudaki cazibeler şaşırtıcı değil ve EvilProxy kimlik avı çerçevesi giderek daha popüler bir MFA haline geldi. [multifactor authentication] Ağustos 2022’den beri hizmet olarak kimlik avı kiti,” dedi DeGrippo.
Tehdit aktörleri, Oktapus veya Scatter Swine olarak adlandırılan kalıcı ve yaygın metin mesajı kimlik avı kampanyasının kanıtladığı gibi, kimlik avı veya sosyal mühendislik saldırıları yoluyla MFA’dan yararlanma yeteneklerini defalarca kanıtlıyor.
MFA, çalışanları kimlik bilgilerini paylaşmaları için kandıran siber suçlular tarafından düzenli olarak silah haline getirilir.
Perşembe günü Anormal Intelligence ayrıca profesyoneller için İK temasını öne çıkaran birkaç yeni kampanyayı detaylandıran bir rapor yayınladı.
HR’den olduğu iddia edilen bir yük tabanlı kimlik bilgisi kimlik avı saldırısı, alıcıları alındı bildirimi için hemen imzalamaya zorlayan yeni bir çalışanlara sağlanan fayda paketine yönelik kötü amaçlı bir bağlantı içerir. Abnormal Intelligence’a göre, ek tıklandığında, alıcının önceden doldurulmuş kurumsal e-posta adresini içeren bir Microsoft oturum açma sayfasını taklit eden bir kimlik avı sayfasının yerel bir kopyasını açar.
Tehdit araştırma şirketi ayrıca, çalışan el kitabı ve yönergelerinde yakın zamanda yapılan bir güncellemeyle ilgili olarak İK’dan dahili bir duyuru gibi görünen bir e-postada bağlantı tabanlı kimlik bilgilerine dayalı bir kimlik avı saldırısı gözlemledi.
Bu kampanyaların her biri, hassas kurumsal veri ve sistemlerin ele geçirilmesiyle sonuçlanabilir.
“Çoğu kimlik avı mesajı, korku, endişe, güven veya ödül gibi insan duygularını istismar eder; ancak en başarılı saldırılar, bir hedefin mesajdan kişisel olarak etkilendiğini hissettiren temaları içerir,” dedi. “Tehdit aktörleri insan duygularıyla oynuyorlar ve bu durumda hangi temaların işe yarayacağını tam olarak biliyorlardı.”