Teknik destek dolandırıcıları, e-posta kampanyalarıyla yine geri planda kalıyor. Bu özellikle temaslarınızdan birinin zamansız bir sonla karşılaşmış olabileceğini ima ediyor.
Her şey “Üzücü duyuru” başlıklı bir e-postayla başlar ve ardından tanıdığınız birinin tam adının gelmesiyle başlar. E-posta kişinin kendisinden geliyormuş gibi görünebilir.
Böyle bir e-posta alan bir iş arkadaşımız bunu ekibimize bildirdi. Etrafa bakınca böyle bir e-postayla ilgili ilk raporu 5 Şubat 2024 tarihli bir tweet’te buldum.
Aradığım şeyle ilgili daha fazla bilgiyle birkaç tane daha bulmayı başardım.
E-postalar arasında büyük farklılıklar var, ancak size şuna benzeyen bir model gösterecek kadar yeterli örneğimiz var:
Konu: Üzücü duyuru:
Bazen iki nokta üst üste “from” kelimesiyle değiştirilir.
Ardından okuyucunun merakını uyandırmak için sıklıkla fotoğraflara gönderme yapan kısa bir cümle. İşte bazı örnekler:
“Onları açtığınızda bugün neden bunları sizinle paylaşmak istediğimi anlayacaksınız”
“Bu görüntüleri sizinle paylaşmak isteyeceğimi hiç düşünmezdim, zaten işte buradalar”
“Sanırım o fotoğraftaki bu iki kadını hatırlamanız gerekir”
“Bazı eski klasörlere bakarken bu 3 fotoğrafı buldum”
“Başlangıçta planım bu değildi ama bu konuda fikrimi değiştirmek zorunda kaldım”
“Sizinle paylaşmak istediğim iki fotoğraf. Muhtemelen bana yaptıkları gibi sana da bir sürü anı getirecekler…”
“Muhtemelen seninle biraz daha önce iletişime geçmeliydim. Neyse sadece sizi bilgilendirmek istedim”
Bunu hemen ardından bir bağlantı takip eder. Bunlar da belli bir modeli takip ediyor:
gjsqr.hytsiysx.com
tmdlod.vdicedohf.com
gtfhq.rmldxkff.com
pdbh.ramahteen.com
owwiu.dexfyerd.com
roix.unrgagceso.com
yrlbi.vohdsniuz.com
uqjk.mbafwnds.com
vjdbd.hhesdeh.com
mbjzo.enexoo.com
Bu alan adlarının tümü NameCheap’e kayıtlıdır ve yalnızca birkaç gün boyunca aktiftir.
Dolandırıcılar e-postaları kapatmak için şu formatta bir alıntı yapıyor:
“Mutlu hayatı bulamıyorsunuz. Sen başarırsın.” – Camilla Eyring Kimball
Gönderen adresleri, hedefin ailesinden veya arkadaşlarından geliyormuş gibi görünecek şekilde sahtedir. Gerçek gönderen adresleri dünyanın her yerinden güvenliği ihlal edilmiş hesaplardır.
Kampanya esas olarak ABD’yi hedeflemiş gibi görünüyor, ancak bazılarının İrlanda ve Birleşik Krallık’ta, bazılarının da Hindistan ve İtalya’da olduğunu gördüm.
Peki soru şu: Neyin peşindeler? Kısa ömürlü alanlar bunu anlamamı gerçekten zorlaştırdı. Hâlâ aktif olan bir alan adı bulmam biraz zaman aldı, ancak çok geçmeden spam gönderenlerin nihai hedefinin ne olduğunu anladım.
Kısa bir yönlendirme zinciri beni şuraya gönderdi: https://niceandsafetystore0990.blob.core.windows[.]net/niceandsafetystore0990/index.html bu artık Malwarebytes Tarayıcı Koruması tarafından engelleniyor.
blob.core.windows.net alt etki alanları, Azure Blob Depolama hesapları için benzersiz tanımlayıcılardır. Bu formatı takip ediyorlar:
Nerede windows.net alanın bir kısmı onların güvenilir görünmesini sağlar.
Web sitesinin kendisi muhtemelen pek çok okuyucuya tanıdık geliyor: Sahte bir çevrimiçi Windows Defender taraması.
Sahte Windows Defender sitesi, sisteminize çok sayıda tehdit bulaştığını gösteriyor.
Sitenin Windows Defender olduğunu iddia etmesi oldukça komik, ancak Malwarebytes’in algılama adlarını kullanıyor. Örneğin: Microsoft, Malwarebytes’in PUP.Optional.RelevantKnowledge olarak algıladığı Potansiyel Olarak İstenmeyen Programı algılamaz.
Her neyse, web sitesi hızlı bir şekilde ekranın tamamını kaplıyor, bu nedenle web sitesini kapatmanıza izin veren kontrolleri geri almak için ESC düğmesini tıklamanız veya basılı tutmanız gerekir (tarayıcınıza bağlı olarak).
Artık e-postadaki kalıpları gördüğünüze göre, bağlantılara tıklamaktan kaçınmanızı umuyoruz. Yönlendirme zinciri değiştirilebilir ve konumunuza ve sistem türüne göre farklı olabilir. Yani sinir bozucu bir web sitesinden daha ciddi sonuçlar olabilir.
“Üzücü duyuru” dolandırıcılığından nasıl kaçınılır
- Her zaman gerçek gönderen adresini, bu kişinin normalde size e-posta göndermek için kullanacağı e-posta adresiyle karşılaştırın.
- Gönderenle görüşmeden önce asla istenmeyen bir e-postadaki bağlantıya tıklamayın.
- Web sitesinde görüntülenen telefon numaralarını aramayın çünkü sizi dolandırmaya çalışacaklardır.
- Şüpheniz varsa arkadaşınızla başka, güvenilir bir yöntemle iletişime geçin
Tarayıcınız veya mobil cihazınız “kilitlenirse”, yani virüs uyarısından artık kurtulamayacaksanız, muhtemelen bir teknik destek dolandırıcılığıyla karşı karşıyasınız demektir. Bir şey tarayıcınızın içinden dosya ve klasörleri gösterdiğini iddia ediyorsa, bu sahte bir sayfada olduğunuzun başka bir işaretidir. Mümkünse tarayıcıyı kapatın veya işe yaramazsa cihazınızı yeniden başlatın.
Teknik destek dolandırıcıları ve yandaşlarına yönelik zaman zaman tutuklanmalara ve FTC cezalarına rağmen, bu alanda hâlâ aktif olan çok sayıda siber suçlu var. Dolandırıcılıklar, “virüs bulaşmış” bilgisayarınızla ilgili yardım sunan istenmeyen çağrılardan, yasal güvenlik yazılımının oldukça yüksek fiyatlı sürümlerini satın alabileceğiniz tam donanımlı web sitelerine kadar çeşitlilik gösterir.
Ne yazık ki bazı kişiler için bu uyarılar çok geç gelmiş olabilir. Peki bir teknik destek dolandırıcılığının kurbanı olursanız ne yapmalısınız? İşte birkaç ipucu:
- Zaten ödeme yaptınız mı? Kredi kartı şirketinizle veya bankanızla iletişime geçin ve onlara ne olduğunu bildirin. Ayrıca bölgenize bağlı olarak FTC’ye şikayette bulunmanız veya yerel emniyet teşkilatınızla iletişime geçmeniz gerekebilir.
- Şifrenizi bir dolandırıcıyla paylaştıysanız, bu şifreyi kullanan her hesapta şifrenizi değiştirin. Bir şifre yöneticisi kullanmayı ve önemli hesaplar için 2FA’yı etkinleştirmeyi düşünün.
- Cihazınızı tarayın. Dolandırıcıların sisteminize erişimi varsa, istedikleri zaman tekrar ziyaret edebilmeleri için bir arka kapı yerleştirmiş olabilirler. Malwarebytes, dolandırıcıların geride bıraktığı arka kapıları ve diğer yazılımları kaldırabilir.
- Beklenmedik ödemelere dikkat edin. Kredi kartlarınızda ve banka hesaplarınızda şüpheli ödemeler/ödemeler olup olmadığına dikkat edin, böylece bunları geri alıp durdurabilirsiniz.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.