'Darcula' adlı yeni bir hizmet olarak kimlik avı (PhaaS), 100'den fazla ülkede markaları yanıltmak ve Android ve iPhone kullanıcılarının kimlik bilgilerini çalmak için 20.000 alan adı kullanıyor.
Darcula, posta, finans, hükümet, vergi departmanlarından telekomünikasyon şirketlerine, havayollarına, kamu hizmetlerine kadar çeşitli hizmet ve kuruluşlara karşı kullanıldı ve dolandırıcılara aralarından seçim yapabilecekleri 200'den fazla şablon sunuyor.
Hizmeti öne çıkaran şeylerden biri de kimlik avı mesajları göndermek için SMS yerine Google Mesajlar ve iMessage için Zengin İletişim Hizmetleri (RCS) protokolünü kullanarak hedeflere yaklaşması.
Darcula kimlik avı hizmeti
Darcula ilk olarak geçen yaz güvenlik araştırmacısı Oshri Kalfon tarafından belgelendi ancak Netcraft analistleri platformun siber suç alanında daha popüler hale geldiğini ve son zamanlarda birçok yüksek profilli vakada kullanıldığını bildiriyor.
Geleneksel kimlik avı yöntemlerinden farklı olarak Darcula, JavaScript, React, Docker ve Harbor gibi modern teknolojileri kullanarak müşterilerin kimlik avı kitlerini yeniden yüklemesine gerek kalmadan sürekli güncellemelere ve yeni özellik eklemelerine olanak tanır.
Kimlik avı kiti, 100'den fazla ülkede marka ve kuruluşların kimliğine bürünen 200 kimlik avı şablonu sunar. Açılış sayfaları yüksek kalitelidir ve doğru yerel dili, logoları ve içeriği kullanır.
Dolandırıcılar, kimliğine bürünmek için bir marka seçer ve ilgili kimlik avı sitesini ve yönetim kontrol panelini doğrudan Docker ortamına yükleyen bir kurulum komut dosyasını çalıştırır.
Sistem, Docker görüntüsünü barındırmak için açık kaynaklı konteyner kayıt defteri Harbor'ı kullanırken, kimlik avı siteleri React kullanılarak geliştirilir.
Araştırmacılar, Darcula hizmetinin kimlik avı saldırıları için amaca yönelik kayıtlı alanları barındırmak için genellikle “.top” ve “.com” üst düzey alan adlarını kullandığını ve bunların yaklaşık üçte birinin Cloudflare tarafından desteklendiğini söylüyor.
Netcraft, 11.000 IP adresinde 20.000 Darcula alan adını eşledi ve her gün 120 yeni alan eklendi.
SMS'ten vazgeçiliyor
Darcula, geleneksel SMS tabanlı taktiklerden farklı olarak kurbanlara kimlik avı URL'sine bağlantılar içeren mesajlar göndermek için RCS (Android) ve iMessage'ı (iOS) kullanıyor.
Bunun avantajı, alıcıların SMS'de bulunmayan ek güvenlik önlemlerine güvenerek iletişimi meşru olarak algılama olasılıklarının daha yüksek olmasıdır.
Üstelik RCS ve iMessage uçtan uca şifrelemeyi desteklediğinden, kimlik avı mesajlarının içeriğine göre ele geçirilmesi ve engellenmesi mümkün değildir.
Netcraft, şüpheli mesajları engelleyerek SMS tabanlı siber suçları engellemeyi amaçlayan son küresel mevzuat çabalarının, muhtemelen PhaaS platformlarını RCS ve iMessage gibi alternatif protokollere doğru ittiğini söylüyor.
Ancak bu protokoller, siber suçluların aşması gereken kendi kısıtlamalarıyla birlikte gelir.
Örneğin Apple, birden fazla alıcıya yüksek miktarda mesaj gönderen hesapları yasakladı ve Google son zamanlarda kısıtlama uyguladı Root erişimli Android cihazlarının RCS mesajları göndermesini veya almasını engelleme.
Siber suçlular, birden fazla Apple kimliği oluşturarak ve cihaz gruplarını kullanarak her cihazdan az sayıda mesaj göndererek bu sınırlamaları aşmaya çalışıyor.
Daha zorlu bir engel ise iMessage'da bulunan ve alıcıların yalnızca mesaja yanıt vermeleri durumunda bir URL bağlantısına tıklamalarına izin veren bir güvenlik önlemidir.
Bu önlemi aşmak için kimlik avı mesajı, alıcıya 'Y' veya '1' ile yanıt vermesini ve ardından bağlantıyı takip etmek için mesajı yeniden açmasını söyler. Bu süreç, kimlik avı saldırısının etkinliğini azaltabilecek sürtüşmeler yaratabilir.
Kullanıcılar, özellikle gönderen tanınmıyorsa, kendilerini URL'lere tıklamaya teşvik eden tüm gelen iletilere şüpheyle yaklaşmalıdır. Platform veya uygulamadan bağımsız olarak, kimlik avı tehdidi aktörleri yeni dağıtım yöntemlerini denemeye devam edecek.
Netcraft araştırmacıları ayrıca hatalı dil bilgisi, yazım hataları, aşırı cazip teklifler veya acil eylem çağrılarına dikkat etmenizi tavsiye ediyor.