Dolandırıcıların kurbanların oturum açma kimlik bilgilerini ve diğer verilerini çalmak için Freemium Dinamik DNS ve SaaS Sağlayıcılarından yararlandığı yeni bir USPS Teslimat Kimlik Avı Dolandırıcılığı ortaya çıktı.
Bloster AI’daki siber güvenlik araştırmacıları, ABD’deki kurbanları hedeflemek için gelişmiş teknikler kullanan yeni bir USPS Teslimat Kimlik Avı kampanyasını ortaya çıkardı.
Siber suçluların saygın hizmetlerden dolandırıcılık yapmak için karmaşık teknikler kullanması ve masum tüketicilerin tatil alışveriş sezonunun tadını çıkarmasını zorlaştırması şaşırtıcı değil. Bu model, Booking.com müşterilerine yönelik devam eden dolandırıcılık saldırısında açıkça görülüyor.
Otomatik bir dijital risk koruma hizmeti olan Bloster AI’ye göre Walmart, USPS kimlik avı saldırısında Kasım ve Aralık aylarında artan nakliye ihtiyaçları nedeniyle bu sezon ana hedeflerden biri. Bolster’ın CheckPhish’i halihazırda Walmart’ı taklit eden 3.000’den fazla kimlik avı alanı keşfetti.
Kapsamlı kimlik avı kampanyası USPS’i taklit ederek tüketicileri teslimatların başarısız olduğunu ve ödemelerin geciktiğini düşünmeleri için kandırıyor. Tehdit aktörleri, yanıltıcı/yanıltıcı mesajlardan kurbanları kandırıp finansal/bankacılık verilerini çalan uygulamalar indirmeye geçerek saldırı taktiklerini önemli ölçüde geliştirdi.
Araştırmacılar, blog yazılarında, blog yazısını yazarken Walmartsco alan adının aktif olduğunu kaydetti. Bu alan adı esas olarak Walmart’ın alan adını taklit etti ve USPS teslimat takibiyle ilgili içerik sundu ve tespit mekanizmalarından kaçınmak için orijinal USPS portalına yönlendirmeler yaptı.
Dolandırıcılar, kimlik avı bağlantılarını e-posta veya SMS yoluyla dağıtır ve çalınan verileri kullanarak kurbanları sosyal mühendislik teknikleri yoluyla hassas bankacılık verilerini vermeye ikna eder. Kurbanın banka bilgileri ele geçirildiğinde saldırganlar para satın alabilir, aktarabilir veya parasal fayda elde edebilir.
Kimlik avı siteleri, USPS.com® – USPS Tracking® Sonuçları gibi bir site başlığı içerir ve e-posta adresleri, isimler, telefon numaraları, ikamet adresleri ve kredi/banka kartı bilgileri gibi hassas bilgileri çalmak üzere tasarlanmıştır. Bu siteler, köprüleri akıllıca meşru USPS web sitelerine yönlendirir ve tespit edilmekten kaçınmak için IP konumunu kullanır.
Bazı durumlarda bilgisayar korsanları, bu dolandırıcılıkta çalınan e-posta adresi, telefon numarası veya ad gibi kişisel bilgileri kullandılar ve kurban gibi davranarak e-postalar/kimlik avı dolandırıcılıkları gönderdiler. Sosyal mühendislik içeren bu tür saldırılar, e-posta/SMS’in inandırıcı bir kaynaktan gelmesi durumunda daha başarılı olur.
Bazı kimlik avı siteleri, orijinal görünmek için kurbanın IP konumlarına göre izleme ayrıntılarını da görüntüleyebilir. Ayrıca Bolster araştırmacıları, tehdit aktörlerinin bu sitelere itilen alan adlarına güvendiğini ve ücretsiz barındırma hizmetlerinden yararlandığını belirtti.
Bunlara DNS hizmeti barındırma sağlayıcısı alviy.com ve uygulama barındırma/dağıtım/bakım araçları sağlayıcısı clear-cloud.com dahildir. Saldırganlar ayrıca now-dns.com ve forumz.info vb. sitelerdeki mevcut alan adlarını kullanarak kimlik avı siteleri barındırır.
Bu kampanya, ücretsiz barındırma hizmetlerinden yararlanmanın tehlikelerini ve e-ticaret platformlarındaki güvenlik açıklarını vurgulamaktadır. Tehdit aktörleri daha çok SaaS hizmetlerine odaklanıyor ve finans, sağlık hizmetleri ve devlet kurumları gibi karlı sektörlerden müşterileri çalmak/cezbetmek için yapay zeka teknolojisini, sosyal medya kimlik avını ve marka kimliğine bürünme dolandırıcılıklarını kullanıyor.
Bu kimlik avı kampanyası öncelikli olarak ABD’deki USPS müşterilerini hedefliyor ancak saldırganların bu dolandırıcılığın kapsamını ne zaman genişletmeye karar vereceğini asla bilemeyebilirsiniz. Bu durum, yoğun tatil alışveriş sezonunda yasal işletmelerin itibarını etkiledi. Kötü amaçlı etki alanlarını manuel olarak veya otomatik kaldırma hizmetleri aracılığıyla tespit etmeye ve kaldırmaya yönelik proaktif önlemler, tüketicinin güvenini korumak açısından çok önemlidir.
İLGİLİ MAKALELER
- Dolandırıcılar, Kimlik Avı Saldırılarında Microsoft Team GIF’lerinden Yararlanıyor
- Küresel CDN Hizmeti ‘jsdelivr’ Kullanıcıları Kimlik Avı Saldırılarına Maruz Bıraktı
- Kimlik Avı Dolandırıcılığı Alman Medyasını Sahtekarlık Ediyor, Geniş Bant Konferansı Anga
- FBI: Silent Ransom Group, Ağ Hack’leri İçin Geri Arama Kimlik Avını Kullanıyor
- Bilgisayar Korsanları, Saldırıya Uğramış Ucuz İsim Avı E-postalarıyla Kripto Cüzdanlarını Hedefliyor