Check Point Harmony Email Security’deki araştırmacılar tarafından yakın zamanda yapılan bir araştırma, dünya çapındaki işletmeleri hedef alan yeni ve akıllı bir kimlik avı dolandırıcılığını ortaya çıkardı. Son 14 gün içinde siber suçluların, %100 resmi görünen binlerce kötü amaçlı e-posta göndermek için Google’ın kendi otomatik sistemlerini kötüye kullandıkları tespit edildi.
Saldırı nasıl çalışır?
Check Point’in raporuna göre yeni keşfedilen bu kampanya, Google Cloud Uygulama Entegrasyonu adı verilen bir araç kullanıyor. Bu hizmet normalde şirketler tarafından otomatik uyarı göndermek gibi iş akışı otomasyonunu ayarlamak için kullanılır. Ancak dolandırıcılar, doğrudan meşru bir Google adresinden e-posta göndermek için bu özelliği kullanmanın bir yolunu buldu: [email protected].
E-postalar gerçek bir Google alanından geldiği için geleneksel güvenlik filtrelerini kolayca atlarlar. Araştırmayı daha da derinleştiren araştırmacılar, mesajların genellikle standart ofis bildirimlerine benzediğini, yeni bir sesli mesajınız olduğunu veya bir “Q4” dosyasını görüntülemeniz gerektiğini iddia ettiğini buldu. Bildiğimiz gibi, bu tür içerikler e-postaların “rutin kurumsal bildirimler” gibi görünmesine neden oluyor, bu yüzden pek çok kişi onlara güveniyor.
Üç Adımlı Bir Tuzak
Dolandırıcılar bilgi çalmak için çok aşamalı bir süreç kullanıyor. Kullanıcının gerçek bir Google Cloud sayfasına (storage.cloud.google.com) işaret eden bir bağlantıyı veya düğmeyi tıklamasıyla başlar. Oradan ikinci bir sayfaya gönderilirler (googleusercontent.com) sahte bir CAPTCHA testi gösteriyor.
Araştırmacılar bunun, gerçek kişilerin geçişine izin verirken güvenlik araçlarını engellemek için yapıldığını belirtti. Son olarak kullanıcı, kimlik bilgilerinin toplanması için sahte bir Microsoft oturum açma sayfasına gönderilir; bu, dolandırıcıların parolanızı yazdığınız anda kaydettiğini söylemenin basit bir yoludur.
Kim Hedef Alınıyor?
Araştırmacılar kampanyanın gerçekten küresel olduğunu gözlemledi. Hedeflerin %48,6’sı ABD’de olurken, Asya-Pasifik (%20,7) ve Avrupa’da (%19,8) ciddi hareketlilik yaşandı. Latin Amerika’da Brezilya (%41) ve Meksika (%26) bu bölgede en çok isabet alan ülkeler oldu. İmalat ve teknoloji sektörlerinin sırasıyla %19,6 ve %18,9 ile en büyük hedefler olduğunu, onu %14,8 ile finans ve bankacılık sektörlerinin takip ettiğini belirtmekte fayda var.
Yalnızca iki hafta içinde yaklaşık 3.200 müşteriye toplamda 9.394 kimlik avı e-postası gönderildi. Google o zamandan beri bu etkinliğin Google’ın altyapısının tehlikeye atılmasından değil, bir iş akışı otomasyon aracının kötüye kullanılmasından kaynaklandığını belirtti.
Şirket bu belirli kampanyaların artık engellendiğini doğrulasa da, bu olay hepimize, güvenilir bir kaynaktan geliyor gibi görünseler bile beklenmedik bağlantılara karşı dikkatli olmamız gerektiğini hatırlatıyor.