Dolandırıcılar, kuruluşların Meta hesapları üzerinde kontrol sahibi olmak için karmaşık kimlik avı dolandırıcılıklarından yararlanıyor
Karmaşık bir kimlik avı kampanyası, Meta Business Suite’e erişimi olan Facebook ve Instagram hesaplarını ele geçirmeye çalışarak her büyüklükteki işletmeyi hedef alıyor. Meta Business Suite, Meta for Business olarak da bilinir, kuruluşların işletmelerinin Facebook ve Instagram platformlarındaki varlığını yönetmelerini sağlayan bir araç setidir. Meta Business Suite’e erişim, altta yatan bir Facebook veya Instagram hesabı aracılığıyla sağlanır. Bu tehdide dahil olan saldırganlar, saldırı karartma, kurban seçimi ve gelişmiş sosyal mühendislik tekniklerinde yüksek düzeyde yeterlilik göstermiştir. Ayrıca, tehdidin çeşitli varyasyonlarını güvenilir bir şekilde oluşturmak için üretken yapay zekadan yararlanırlar ve bu da bunların engellenmesini daha zor hale getirir. Bu makalede, saldırganların bu hesapları nasıl kullandıklarını ve her birinin oluşturduğu riskleri inceleyeceğiz. Ayrıca, bu saldırıyı bu kadar tehlikeli hale getiren saldırganlar tarafından kullanılan teknik setini de tartışacağız.
Bu Kampanyayı Etkileyici Kılan Nedir?
Meta for Business’ın hedeflenmesi, sosyal kanallarda tehlikeye atılan işletmelerin siber suçlular için sahip olduğu yüksek değeri odak noktasına getiriyor. Bireysel olarak sahip olunan hesaplar genellikle saldırıların hedefi olsa da, işletme hesapları daha büyük bir ödeme, daha geniş bir erişim ve daha az inceleme potansiyeline sahiptir. Kuruluşların sosyal medya hesaplarından karşılaşabilecekleri birkaç risk vardır; en yaygın olanlardan birkaçına göz atalım.
Reklam Dolandırıcılığı
Meta Business Suite’e erişimi olan kuruluşlar, tekliflerini sosyal medya kullanıcılarının okyanusuna pazarlamak için genellikle platformun önemli reklamcılık becerisini kullanır. Bu hesaplara erişim sağlayan saldırganlar, sahte ürünler veya diğer dolandırıcılıklar gibi kendi kötü amaçlı tekliflerine reklamlar yayınlamak için bunları ele geçirebilir. Platformdaki reklamlara atfedilen fonları sifonlamanın yanı sıra, saldırganlar, tehlikeye atılmış bir kuruluş kisvesi altında yayınlandığında kötü amaçlı bir reklamın onaylanmasında daha az sorun yaşayabilir. Aşağıdaki diğer üç riskten farklı olarak, bu tehdit yalnızca işletmelere özeldir.
Taklit etme
Bir kuruluşun sosyal medya hesabına erişimle, saldırganlar bir kuruluş tarafından oluşturulan güven ve erişimi yanlış bilgi yaymak, daha fazla dolandırıcılık yaymak (kötü şöhretli 2020 Twitter saldırısı sırasında olduğu gibi) veya diğer kötü niyetli amaçlar için kullanmaya çalışabilirler. İtibar hasarına ek olarak, kuruluşlar sosyal medya varlıkları bu şekilde kötüye kullanılırsa önemli yasal veya düzenleyici risklerle karşı karşıya kalabilirler. Güvenlik uygulayıcıları için önemli bir husus, bu riskin yalnızca resmi kuruluş hesapları için değil, aynı zamanda kuruluşa bağlı yöneticilerin ve diğer yüksek profilli kişilerin kişisel hesapları için de mevcut olmasıdır.
Veri Hasadı
Bazı kuruluşlar, doğrudan mesaj veya kapalı gruplar aracılığıyla son kullanıcılarla hassas iletişimler için sosyal medya hesaplarını kullanabilir. Bu kuruluşların hesaplarına erişim sağlayan saldırganlar bu bilgilere erişebilir ve bunları satmaya veya başka kötü amaçlar için kullanmaya çalışabilir. Buradaki gerçek risk kuruluştan kuruluşa büyük ölçüde değişecektir ancak sosyal medyayı yoğun bir şekilde kullanan bir kuruluşu destekleyen güvenlik uzmanları için dikkate alınması gereken önemli bir şeydir. Kimlik sahtekarlığı gibi, güvenlik uzmanları da bu riskin kuruluş içindeki bireylerin kişisel hesapları için mevcut olup olmadığını değerlendirmelidir.
Fidye
Fortra, bir saldırganın bir organizasyonun sosyal medya hesabına erişip daha sonra organizasyonu bu hesaptan kilitlediği ve karşılığında fidye karşılığında erişimi geri vereceğine söz verdiği durumlar gözlemlemiştir. Pazarlama ve reklamcılık için sosyal medyaya yoğun bir şekilde güvenen şirketler için bu kilitlemenin gelir üzerinde yıkıcı etkileri olabilir. Sosyal medya şirketlerinde üst düzey bağlantıları olmayan daha küçük organizasyonlar, fidye ödemeden resmi destek kanalları üzerinden hesaplarına yeniden erişim sağlamakta zorlanabilir ve bu para çekme yöntemine karşı en fazla risk altında olanlardır. Erişimi yeniden kazanmak için bağlantıları kullanabilen daha büyük organizasyonlar için bu yaklaşım daha az etkilidir ancak yine de fidye hemen alınmazsa çalınan hesabı kullanarak zarar verici bilgiler yayınlama tehdidiyle birlikte denenebilir.
Kampanyanın Arkasındaki Taktikler
Birçok kimlik avı tehdidi gibi, bu saldırı da başlangıçta e-posta yoluyla gerçekleştirilir. Saldırgan denenmiş ve doğru bir yaklaşımla kalır; meşru bir hizmeti (bu durumda Meta) taklit eder ve politika ihlalleri nedeniyle kuruluşun iş hesabının kısıtlanması veya kapatılmasıyla tehdit eder. Saldırgan ayrıca sahte kimliğini güçlendirmek için temel adımlar atar; “Kimden” bölümünün Görüntülenen Ad bölümünü değiştirir: e-posta istemcilerinin çoğunun bu değeri en belirgin şekilde gösterdiği ve gerçek gönderme adresini gizlediği veya en aza indirdiği gerçeğine güvenir.
Rakip ayrıca üretken AI teknolojisinden de yararlanır. Fortra, e-posta cazibesinin, konunun ve Görünen Adın çeşitli varyasyonlarını gözlemledi. Fortra’nın analizi, bu e-postaların AI tarafından oluşturulduğunu güçlü bir şekilde gösteriyor. Bu, üretken AI’nın siber suçlulara sağlayabileceği faydaların ders kitabı örneğidir; minimum çabayla birden fazla yüksek kaliteli kimlik avı e-postası oluşturarak, hem güçlü dil becerileri olmayan rakipler için engelleri düşürür hem de rakiplerin operasyonlarını daha etkili bir şekilde ölçeklendirmelerini sağlar.
Saldırgan ayrıca bu kötü amaçlı e-postaların başarıyla iletilmesini sağlamak için çaba sarf etti. İlk olarak, bu kampanyaya atfedilen e-postalar meşru satış ve e-posta pazarlama organizasyonlarına ait altyapı kullanılarak gönderildi. Saldırganlar, bu saygın şirketin hizmetlerinden yararlanarak e-posta altyapılarının düşük itibarından kaynaklanan iletilebilirlik sorunlarından kaçınırlar. Meşru SASS yeteneklerinin bu şekilde kötüye kullanılması, Living off Trusted Sites (LOTS) olarak bilinen bir karadan yaşama saldırısının bir çeşididir.
Ek olarak, kimlik avı web sitesine yönlendiren kötü amaçlı URL’yi gizlemek için adımlar atıldı. Saldırgan, URL’nin gerçek hedefini maskelemek için bir URL aracısı (bu durumda Google bildirimleri tıklama izleme) kullandı. Birçok durumda, saldırgan URL’yi bir QR kodunun içine gömerek daha da gizledi. Her iki taktik de yeni olmasa da, her ikisi de URL’nin amacını gizlemenin giderek daha popüler yolları haline geliyor. Giderek artan sayıda kimlik avı, e-posta saldırılarında birincil yem olarak QR kimlik avı veya Quishing’i kullanıyor. Yazının yazıldığı sırada, QR kodları kullanılarak bu kampanyada tespit edilen kimlik avı hacmi, geleneksel olarak tıklanabilir bağlantılar kullananlardan üç kat daha fazlaydı. Otomatik yazılımların URL’yi taramasını zorlaştırmanın yanı sıra, QR koduna dayalı bir yemlemenin en büyük faydası, kurbanın etkileşimi muhtemelen kuruluşun siber savunmaları tarafından korunmayan mobil cihazında tamamlamasıdır.
QR kodu gömülü bir bağlantı içeren bir yem örneği
Mağdur Yardım Merkezi düğmesine tıkladığında veya QR kodunu taradığında, notifications.google.com bağlantısı onları Meta için bir İş Yardım Merkezi sayfası gibi görünen bir kimlik avı web sitesine yönlendirir. Bu kampanyada gözlemlenen kimlik avı web sitelerinin neredeyse tamamı, dolandırıcılığa ek inandırıcılık katmak için benzer etki alanlarında barındırılıyordu.
İşte ilginç olan nokta burası. Çoğu kimlik avı sitesi, kurbanı hemen aranan anahtar bilgi parçasına (bu durumda kullanıcı adı ve parola) yönlendirir. Bu tehdit farklı bir yaklaşım sergiler. İlk sayfa, kurbanı makul bilgi talep eden bir “itiraz formu” doldurmaya yönlendirir. Aşağıdaki resimde görüldüğü gibi, form çoğu kişinin son derece hassas olarak değerlendireceği bilgileri talep etmekten kaçınır. Bu ilk adım birkaç amaca hizmet eder; bunlardan en önemlisi, kurbanı küçük ve zararsız bir istekle kimlik avı web sitesiyle etkileşime sokmasıdır. Bu daha sonra önemlidir.
Kimlik avı sitesinin ilk sayfası
Form tamamlandığında, kitin bir başka sıra dışı özelliğini görüyoruz; kimlik avı sitesi aslında bir Meta destek temsilcisini taklit eden bir saldırganla canlı sohbeti taklit etme işlevi içeriyor. Gerçekte, kimlik avı sitesi saldırganın kimlik avı sitesini kontrol etmek için kullanabileceği, saldırgan tarafından kontrol edilen bir Telegram kanalıyla perde arkasında iletişim kuruyor. Saldırgan kurban ziyaret ettiğinde kimlik avı sitesini izlemiyorsa, aynı etkileşimin çoğunu otomatikleştiren bir işlev de var, ancak önemli ölçüde daha az inandırıcı ve yalın.
Kurban daha sonra kurbanı daha fazla meşgul etmek için Meta Destek Personeli gibi davranan canlı bir tehdit aktörüyle kısa bir süreliğine bağlantı kurar. Tuzak burada kurulur; kurbana sohbet sırasında oturumunun sona erdiğine dair bir uyarı gösterilir. Sohbete devam etmek için parolasıyla tekrar oturum açması gerekir. Hassas bilgi parçasını istemeyi geciktirerek ve sonra aniden talep ederek kurbanı dolandırıcılıkla meşgul ederler ve parolayı verme olasılığını artırırlar.
Parola sağlandıktan sonra saldırgan, kimlik bilgilerini test ederken kurbanı oyalayacaktır. Kimlik bilgileri geçersizse veya iki faktörlü kimlik doğrulaması etkinleştirilmişse, suçlu, itirazının başarıyla iletildiğini iddia etmeden önce bu engelleri aşmak için kurbanla daha fazla etkileşime girecek ve birkaç gün içinde daha fazla iletişim alacaktır. Gerçekte, hesap zaten tehlikeye atılmıştır.
Bu Tehdide Karşı Nasıl Korunabilirsiniz?
Meta’nın birden fazla alışılmadık ve gelişmiş taktik kullanılarak hedef alınması, siber suçluların sosyal medya işletme hesaplarına verdiği değerin açık bir göstergesidir. Bu alandaki tehditlere karşı etkili bir şekilde savunma yapmak için aşağıdaki taktikleri göz önünde bulundurun.
- E-posta Güvenliği ve son kullanıcı Güvenlik Farkındalığı Eğitimi konusunda en iyi uygulamalar çok önemlidir. Kötü amaçlı e-postaların son kullanıcılara iletilmesini engelleyebilen ve son kullanıcıları güvenlikten kaçan şüpheli e-postaları nasıl tanımlayıp bildirecekleri konusunda eğiten çok katmanlı bir e-posta güvenlik çözümü kullanarak kimlik bilgilerinizin tehlikeye atılma riskini büyük ölçüde azaltırsınız
- Kuruluşunuzun sosyal medya hesaplarını, onlara sunulan en gelişmiş kimlik özelliklerini (MFA, Güvenlik Anahtarları ve yazının yazıldığı tarih itibarıyla tanınmayan cihaz uyarıları) kullanarak güvence altına alın.
-
- Yöneticilerin veya diğer üst düzey kişilerin kendi kişisel hesaplarını aynı şekilde güvence altına almalarını sağlamayı düşünebilirsiniz.
-
- Hesap kimlik bilgilerine erişimi, bunlara kesinlikle ihtiyaç duyan kişilerle sınırlayın.
-
- Tüm organizasyonlarda uygulanabilir olmasa da, daha güvenli bir uygulama farklı bireylerin farklı kimlik doğrulama faktörlerini kontrol etmesini düşünmektir. Örneğin, hesabın ana kullanıcısının parolaya sahip olması, ancak MFA kodlarını alan cihazın ayrı bir bireye sahip olması.
-
yazar hakkında
Michael Tyler, Fortra’da Güvenlik Operasyonları Kıdemli Direktörüdür. Şirketin Dijital Risk ve E-posta Güvenliği çözümleri için Yönetilen Siber Güvenlik Hizmetlerini denetlerken, aynı zamanda kuruluşlarını hedef alan saldırganlar hakkında daha derin bir anlayış kazanmayı amaçlayan şirketleri destekleyen Yönetilen Tehdit İstihbaratı grubuna da liderlik ediyor. Siber güvenlikte 15 yılı aşkın deneyime sahip olan Michael, saldırgan taktiklerinin ardındaki “neden”i ortaya çıkarma ve operasyonlarını aksatmak için etkili karşı önlemler geliştirme konusunda tutkuludur. Ayrıca buffalo tavuklu pizzayı da sever. Michael’a ulaşılabilir