3. çeyrekte Cofense Intelligence, sosyal medya, pazarlama ve ilgili rollerde çalışan çalışanlara yönelik hedefli bir mızrak avı kampanyası ortaya çıkardı.
Saldırganlar, Meta, Coca-Cola ve Paypal dahil olmak üzere Fortune 500 şirketlerini kurbanları sosyal medya yöneticileri olarak sahte iş fırsatlarına başvurmaya teşvik etti.
Geleneksel kimlik kimlik avı kampanyalarından farklı olarak, bu operasyon aynı zamanda kimlik hırsızlığı veya güvenlik önlemleri için kullanılabilen eğitim geçmişi ve iş deneyimi gibi hassas iş başvurusu ayrıntılarını da ortaya çıkarmıştır.
Kimlik avı e -postaları karmaşıklıkta değişiyordu. Daha basit sürümler minimum ayrıntılar sağladı ve alıcıları pozisyona başvurmak için bir bağlantıyı tıklamaya çağırdı.
Gelişmiş versiyonlar, kişiselleştirilmiş bilgileri, meşru iş tanımlarını ve “CRM” ve “veri koşumu” gibi sektöre özgü jargon içeren daha yüksek düzeyde sofistike olduğunu gösterdi.
Bu unsurlar hileli e -postaların algılanan meşruiyetini arttırdı.
Kampanya ayrıca sahte şirketlerin web sitelerini taklit etmek için özel alt alanlar kullandı.
Bazı durumlarda, kurbanlar kimlik avı sitesine yönlendirilmeden önce isteğe bağlı bir Captcha sayfasıyla karşılaştılar.
Kimlik bilgilerinin ötesinde veri hırsızlığı
Kampanyanın birincil hedefi, giriş kimlik bilgilerini çalmanın ötesine geçti.
Mağdurlardan e -posta adresleri, telefon numaraları, eğitim nitelikleri ve istihdam geçmişi gibi kişisel bilgiler sağlamaları istendi.
Bu kimlik avı sayfaları aracılığıyla toplanan verileri, önceki işverenler ve üniversite detayları gibi kişisel olarak tanımlanabilir bilgileri (PII) içermektedir.
Bu tip PII, güvenlik sorularını cevaplamak veya hesap şifrelerini sıfırlamak için kullanılabileceğinden, tehdit aktörleri için özellikle değerlidir.
Ayrıca, bu tür bilgiler saldırganların gelecekteki daha hedefli saldırılar yapmalarını sağlar.
Bazı kimlik avı sayfaları, verilerini topladıktan sonra kurbanları meşru şirket web sitelerine yönlendirerek hileli faaliyetleri daha da maskeledi.
Örneğin, Red Bull’u taklit eden kimlik avı siteleri, kullanıcıları Red Bull’un resmi web sitesine yönlendiren “iş”, “SSS” ve “yetenek toplulukları” etiketli bağlantılar içeriyordu.
Yüksek etkili olan kısa ömürlü kimlik avı sayfaları
Bu kampanyada kullanılan kimlik avı web siteleri, kısa süreli kullanım için tasarlanmıştır, genellikle üç saat kadar kısa bir günden az bir süre aktif kalmıştır.
Bu sınırlı faaliyet penceresi muhtemelen otomatik güvenlik sistemleri tarafından algılamadan kaçınmayı amaçlamıştır.
Saldırganlar ayrıca belirli endüstrilerdeki potansiyel hedefleri belirlemek için açık kaynaklı zeka (OSINT) teknikleri kullandılar.
Hedeflenen roller öncelikle sosyal medya ve pazarlamada iken, kurbanların mesleki işlevleri dışında etkilenen endüstriler arasında net bir model yoktu.
COFENSE raporuna göre, bu kampanya, güvenilir marka isimlerinden ve sofistike yöntemlerden yararlanarak şimdi iş arayanlardan yararlanan siber suçluların gelişen taktiklerinin altını çiziyor.
Çalınan bilgiler sadece acil riskler oluşturmakla kalmaz, aynı zamanda saldırganları yüksek kişiselleştirilmiş saldırılarla uzun vadeli sömürü için araçlarla donatır.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free