Siber güvenlik araştırmacıları, sosyal medyada kötü amaçlı reklamcılık, şirket markalı gönderiler ve ünlü kişiliklerin yer aldığı yapay zeka (AI) destekli video referanslarının birleşiminden yararlanan ve sonuçta finansal ve veri kaybına yol açan yeni bir tür yatırım dolandırıcılığına dikkat çekiyor.
ESET, The Hacker News ile paylaştığı 2024 İkinci Yarı Tehdit Raporunda “Dolandırıcıların temel amacı, kurbanları kimlik avı web sitelerine ve kişisel bilgilerini toplayan formlara yönlendirmek” dedi.
Slovak siber güvenlik şirketi tehdidi şu isim altında takip ediyor: Nomani“para yok” cümlesi üzerine bir oyun. Dolandırıcılığın 2024’ün ilk ve ikinci yarısı arasında %335’in üzerinde arttığı ve Mayıs ile Kasım 2024 arasında günlük ortalama 100’den fazla yeni URL’nin tespit edildiği belirtildi.
Saldırılar, sosyal medya platformlarındaki hileli reklamlar aracılığıyla gerçekleştiriliyor; birçok durumda, daha önce Europol ve INTERPOL ile ilgili yardım için onlarla iletişime geçme veya bir bağlantıya tıklayarak çalınan paralarını geri alma konusunda kandırılan kişileri hedef alıyor.
Bu reklamlar, küçük işletmeler, devlet kurumları ve on binlerce takipçisi olan mikro etkileyicilerle ilişkili sahte ve çalıntı meşru profillerin bir karışımından yayınlanmaktadır. Diğer dağıtım kanalları arasında bu gönderilerin Messenger ve Threads’te paylaşılmasının yanı sıra Google’da yanıltıcı derecede olumlu eleştirilerin paylaşılması yer alıyor.
ESET, “Nomani reklamlarını sıklıkla yayan bir diğer büyük hesap grubu da, unutulması kolay adlara sahip yeni oluşturulmuş profiller, bir avuç takipçi ve çok az gönderidir” dedi.
Bu bağlantıların yönlendirdiği web sitelerinin iletişim bilgilerini talep ettiği ve yerel haber medyasını görsel olarak taklit ettiği tespit edilmiştir; belirli kuruluşların logolarını ve markalarını kötüye kullanmak; veya Quantum Bumex, Immediate Mator veya Bitcoin Trader gibi sürekli değişen isimlerle kripto para yönetimi çözümlerinin reklamını yaptığını iddia edin.
Bir sonraki adımda, siber suçlular, kurbanları doğrudan aramak ve paralarını sahte bir şekilde olağanüstü kazançlar gösteren, var olmayan yatırım ürünlerine yatırmaları için onları yönlendirmek için kimlik avı alanlarından toplanan verileri kullanır. Bazı durumlarda mağdurlar kandırılarak kredi alıyor veya cihazlarına uzaktan erişim uygulamaları yüklüyor.
ESET, “Bu kurban ‘yatırımcılar’ vaat edilen kârın ödenmesini talep ettiğinde, dolandırıcılar onları ek ücret ödemeye ve kimlik ve kredi kartı bilgileri gibi daha fazla kişisel bilgi vermeye zorluyor.” dedi. “Sonunda, dolandırıcılar tipik domuz katliamı dolandırıcılığının ardından hem parayı hem de verileri alıp ortadan kayboluyor.”
Kaynak kodu yorumlarının Kiril alfabesiyle yazılmış olması ve ziyaretçi takibi için Yandex araçlarının kullanılması göz önüne alındığında, Nomani’nin Rusça konuşan tehdit aktörlerinin işi olduğunu öne süren kanıtlar var.
Telekopye gibi büyük dolandırıcılık operasyonlarına benzer şekilde, saldırı zincirinin her yönünü yönetmekten sorumlu farklı grupların bulunduğundan şüpheleniliyor: Meta hesaplarının ve reklamların çalınması, oluşturulması ve kötüye kullanılması, kimlik avı altyapısının oluşturulması ve çağrı merkezleri.
ESET, “Sosyal mühendislik tekniklerini kullanarak ve kurbanlar arasında güven oluşturarak, dolandırıcılar çoğu zaman bankaların dolandırıcılığı önlemek için kullandığı yetkilendirme mekanizmalarını ve doğrulama telefon görüşmelerini bile geride bırakıyor.” dedi.
Bu gelişme, Güney Kore kolluk kuvvetlerinin, MIDAS adı verilen bir operasyonun parçası olarak sahte çevrimiçi ticaret platformlarıyla kurbanlardan yaklaşık 6,3 milyon dolar dolandıran büyük ölçekli bir dolandırıcılık ağını çökerttiğini söylemesinin ardından geldi. Dolandırıcılık çetesinin kullandığı 20’den fazla sunucuya el konuldu ve dolandırıcılığa karışan 32 kişi tutuklandı.
Kurbanları SMS ve telefon çağrılarıyla cezbetmenin yanı sıra, yasa dışı ev ticaret sistemi (HTS) programlarının kullanıcıları, YouTube videolarını izleyerek ve KakaoTalk sohbet odalarına katılarak paralarını yatırmaya ikna edildi.
Finansal Güvenlik Enstitüsü (K-FSI) Black Hat’te yapılan bir sunumda, “Program, gerçek zamanlı hisse senedi fiyat bilgileri almak için gerçek aracı kurumların sunucularıyla iletişim kuruyor ve görsel temsiller oluşturmak için halka açık grafik kitaplıklarını kullanıyor.” dedi. Geçen hafta Avrupa konferansı.
“Ancak, gerçek anlamda hisse senedi ticareti yapılmıyor. Bunun yerine programın temel özelliği olan ekran yakalama işlevi, kullanıcıların ekranlarını gözetlemek, izinsiz bilgi toplamak ve parayı iade etmeyi reddetmek için kullanılıyor.”