Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Kimlik ve Erişim Yönetimi
Hizmet Olarak Kimlik Avı Platformu, Bilgisayar Korsanlarının 1.100'den Fazla Etki Alanını Taklit Etmesine Olanak Sağlıyor
Anviksha Daha Fazla (AnvikshaDevamı) •
27 Mart 2024
Siber suçluların 1.100'den fazla alan adını taklit etmesine olanak tanıyan bir hizmet olarak kimlik avı platformu, geçtiğimiz altı ayda en yaygın ortadaki düşman platformlarından biri haline geldi.
Ayrıca bakınız: İsteğe Bağlı | Dijital Kimliğinizi Hacklemek: Siber Suçlular Kimlik Doğrulama Yöntemlerinizi Nasıl Aşabilir ve Aşacak
Siber güvenlik firması Sekoia.io Pazartesi günü yaptığı açıklamada, Tycoon 2FA platformunun “10 gün boyunca 120 dolardan başlayan fiyatlarla kullanıma hazır Microsoft 365 ve Gmail kimlik avı sayfalarının yanı sıra ek şablonlarının” reklamını yaptığını söyledi. Telegram gibi hizmetlerde kamuya açık olarak ilan edilen fiyatlar, kimliğe bürünülen alana bağlı olarak 320 dolara kadar çıkıyor.
Saldırganlar, Tycoon 2FA gibi araçları kullanarak, bilgisayar korsanlarının çevrimiçi hesaplara girmesini zorlaştıran temel bir yöntem olan çok faktörlü kimlik doğrulamanın yükselişiyle karşılaşıyor. Bilgisayar korsanları bunları, kullanıcıları sahte bir oturum açma sayfasına ve ardından sahte çok faktörlü bir kimlik doğrulama sayfasına yönlendiren kötü amaçlı bir bağlantıya tıklamaya teşvik etmek için kullanır ve saldırganların kimlik bilgilerini ve oturum çerezlerini ele geçirmesine olanak tanır.
Görünüşe göre Tycoon 2FA geliştiricilerine ait olan bir bitcoin cüzdanının analizi, ortalama değeri 366 dolar olan yaklaşık 700 işlemi gösteriyor. Sekoia, hizmetin önemli miktarda para kazandırdığını ancak aynı zamanda alan adı kaydı, sunucu barındırma ve muhtemelen Cloudflare kullanarak kimlik avı sayfası koruması dahil önemli maliyetleri de olduğunu söyledi.
Hizmet, kimlik avı sitelerini bot trafiğinden korumak için CAPTCHA alternatifi Cloudflare Turnikesini kullanıyor.
Sekoia'nın raporu saldırının yedi farklı aşamasını özetlemektedir:
- Aşama 0: Kötü amaçlı bağlantılar e-postalar veya QR kodları aracılığıyla dağıtılır.
- 1. Aşama: Bir güvenlik sorunu botları filtreleyerek insan etkileşimlerinin ilerlemesini sağlar.
- 2. aşama: Arka plan komut dosyaları, saldırıları özelleştirmek için kurbanların e-postalarını çıkarır.
- Sahne 3: Kullanıcılar sahte giriş sayfasına yönlendiriliyor.
- Aşama 4: Sahte bir giriş sayfası, kimlik bilgilerini çalmak için WebSockets'i kullanır.
- Aşama 5: Taklit edilen 2FA, güvenliği atlamak için belirteçleri durdurmaya çalışır.
- Aşama 6: Kurbanlar, kimlik avı saldırısının başarısını gizleyen meşru görünen bir sayfaya yönlendirilir.
Şubat ayında Tycoon 2FA'da yapılan güncellemeler, trafik filtrelemeyi genişletme ve tespit edilmekten kaçınmak için gizlilik taktiklerini iyileştirme yeteneklerini geliştirdi. Bazı ayarlamalar arasında JavaScript ve HTML'de değişiklikler, 2FA uygulamasını ve veri aktarımını yönetmek için JavaScript indirmelerini farklı aşamalara ayırma ve çeşitli trafik modellerini tanımlayıp atlatarak tespitten kaçmaya yönelik uyarlamalar yer alıyor.
Tycoon 2FA kimlik avı kiti, gelişmiş teknikler kullanır ve diğer yerleşik kimlik avı platformlarıyla potansiyel bağlantılara sahiptir. Sekoia, “Tycoon 2FA PhaaS'ın 2024 yılında AiTM kimlik avı pazarında önemli bir tehdit olmaya devam edeceğini öngörüyoruz” dedi.