Siber Muhbir

Bir e-postanın gönderen adresini taklit etmek, yaygın olarak dijital mesajı daha meşru hale getirme ve aksi takdirde onu kötü amaçlı olarak işaretleyebilecek güvenlik mekanizmalarını aşma girişimi olarak görülüyor.

Spam gönderenlerin iyi bilinen alan adlarını taklit etmesini önlemek için kullanılabilecek Alan Anahtarları Tarafından Tanımlanan Posta (DKIM), Alan Adı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC) ve Gönderen Politikası Çerçevesi (SPF) gibi güvenlik önlemleri olsa da, bu tür önlemler onları operasyonlarında eski, ihmal edilmiş alan adlarından giderek daha fazla yararlanmaya yönlendirmiştir.

Bunu yaparken, e-posta iletilerinin spam'i tanımlamanın bir yolu olarak etki alanı yaşına dayanan güvenlik kontrollerini atlaması muhtemeldir.

DNS tehdit istihbarat firması Infoblox, yeni bir analizde, Muddling Meerkat ve diğerleri de dahil olmak üzere tehdit aktörlerinin, yaklaşık 20 yıldır içerik barındırmak için kullanılmayan kendi eski, kullanılmayan üst düzey alan adlarından (TLD'ler) bazılarını kötüye kullandığını keşfetti.

Şirket, "Gönderen Politikası Çerçevesi (SPF) kayıtları gibi, genellikle bir gönderen etki alanının gerçekliğini kontrol etmek için kullanılanlar da dahil olmak üzere çoğu DNS kaydından yoksundurlar" dedi. "Alan adları kısa ve son derece saygın TLD'lerde."

En az Aralık 2022'den beri aktif olan bu tür bir kampanya, kimlik avı sitelerine yönlendiren QR kodları içeren ekler içeren e-posta mesajlarının dağıtılmasını içerir. Ayrıca alıcılara eki açmaları ve QR kodunu taramak için telefonlarındaki AliPay veya WeChat uygulamalarını kullanmaları talimatını verir.

E-postalar, Mandarin dilinde yazılmış vergiyle ilgili yemleri kullanırken, aynı zamanda QR kod belgelerini e-posta gövdesinde bulunan dört haneli bir şifrenin arkasına farklı şekillerde kilitler. Kimlik avı sitesi, bir vakada, kullanıcıları kimliklerini ve kart bilgilerini girmeye ve ardından saldırgana sahte bir ödeme yapmaya çağırdı.

Infoblox, "Kampanyalar, Muddling Meerkat'ta gördüğümüz ihmal edilmiş alan adlarını kullansa da, var olmayanlar da dahil olmak üzere rastgele alan adlarını geniş ölçüde taklit ediyor gibi görünüyorlar" dedi. "Oyuncu, aynı gönderenden tekrarlanan e-postaları önlemek için bu tekniği kullanabilir."

Şirket ayrıca, kurbanları kimlik bilgilerini çalmak amacıyla trafik dağıtım sistemlerini (TDS'ler) kullanarak sahte oturum açma sayfalarına yönlendirmek için Amazon, Mastercard ve SMBC gibi popüler markaları taklit eden kimlik avı kampanyaları gözlemlediğini söyledi. Sahte gönderen alan adlarını kullandığı tespit edilen e-posta adreslerinden bazıları aşağıda listelenmiştir:

• ak@fdd.xpv[.]Org
• mh@thq.cyxfyxrv[.]Com
• mfhez@shp.bzmb[.]Com
• gcini@vjw.mosf[.]Com
• iipnf@gvy.zxdvrdbtb[.]Com
• zmrbcj@bce.xnity[.]net
• nxohlq@vzy.dpyj[.]Com

Üçüncü bir spam kategorisi, e-posta alıcılarından, sistemlerinde yüklü olduğu iddia edilen bir uzaktan erişim truva atı kullanılarak kaydedilen utanç verici videolarını silmek için Bitcoin'de 1.800 dolarlık bir ödeme yapmalarının istendiği şantajla ilgilidir.

"Aktör, kullanıcının kendi e-posta adresini taklit ediyor ve onları kontrol etmeye ve görmeye zorluyor" Infoblox E-posta, kullanıcıya cihazının güvenliğinin ihlal edildiğini söylüyor ve kanıt olarak aktör, mesajın kullanıcının kendi hesabından gönderildiğini iddia ediyor."

Açıklama, hukuk, hükümet ve inşaat sektörlerinin, Eylül 2024'ün başından bu yana Microsoft 365 kimlik bilgilerini çalmayı amaçlayan Butcher Shop adlı yeni bir kimlik avı kampanyası tarafından hedef alınmasıyla geldi.

Obsidian Security'ye göre saldırılar, kullanıcıları kötü amaçlı sitelere yönlendirmek için Canva, Dropbox DocSend ve Google Accelerated Mobile Pages (AMP'ler) gibi güvenilir platformları kötüye kullanıyor. Diğer kanallardan bazıları e-postaları ve güvenliği ihlal edilmiş WordPress sitelerini içerir.

Şirket, "Kimlik avı sayfasını görüntülemeden önce, kullanıcının aslında insan olduğunu doğrulamak için Cloudflare Turnike içeren özel bir sayfa gösteriliyor" dedi. "Bu turnikeler, URL tarayıcıları gibi e-posta koruma sistemlerinin kimlik avı sitelerini tespit etmesini zorlaştırıyor."

Son aylarda, var olmayan trafik ihlalleri, park ihlalleri ve ehliyet yenilemeleri için sahte ödeme talepleri göndermek üzere BAE'deki kolluk kuvvetlerini taklit eden SMS kimlik avı kampanyaları gözlemlendi. Bu amaçla kurulan sahte sitelerden bazıları, Smishing Triad adlı bilinen bir tehdit aktörüne atfedildi.

Orta Doğu'daki bankacılık müşterileri, telefon görüşmelerinde hükümet yetkililerinin kimliğine bürünen ve kredi kartı bilgilerini ve tek seferlik şifreleri (OTP'ler) çalmak için uzaktan erişim yazılımı kullanan sofistike bir sosyal mühendislik planının da hedefi oldu.

Ana dili Arapça olmayan kişilerin eseri olduğu değerlendirilen kampanyanın, öncelikle kişisel verileri dark web'deki hırsız kötü amaçlı yazılımlar aracılığıyla sızdırılan kadın tüketicilere yönelik olduğu tespit edildi.

Group-IB, bugün yayınlanan bir analizde, "Dolandırıcılık, özellikle çevrimiçi satıcılardan satın alınan ürün veya hizmetlerle ilgili olarak web sitesi veya mobil uygulaması aracılığıyla devlet hizmetleri portalına daha önce ticari şikayetlerde bulunan kişileri hedef alıyor" dedi.

"Dolandırıcılar, tatmin edici olmayan satın alımları için geri ödeme almayı umarak kurbanların işbirliği yapma ve talimatlarına uyma istekliliğinden yararlanıyor."

Cofense tarafından belirlenen başka bir kampanya, Amerika Birleşik Devletleri Sosyal Güvenlik İdaresi'nden geldiğini iddia eden ve ConnectWise uzaktan erişim yazılımı için bir yükleyici indirmek veya kurbanları kimlik bilgisi toplama sayfalarına yönlendirmek için bir bağlantı içeren e-postalar göndermeyi içerir.

Interisle Consulting Group'un bir raporuna göre, .top, .xyz, .shop, .vip ve .club gibi jenerik üst düzey alan adlarının (gTLD'ler), toplam alan adı pazarının yalnızca %11'ini elinde tutmasına rağmen, Eylül 2023 ile Ağustos 2024 arasında bildirilen siber suç alan adlarının %37'sini oluşturmasıyla bu gelişme yaşandı.

Bu alan adları, düşük fiyatlar ve kayıt gereksinimlerinin olmaması nedeniyle kötü niyetli aktörler için kazançlı hale geldi ve böylece kötüye kullanım için kapılar açtı. Siber suçlar için yaygın olarak kullanılan gTLD'ler arasında 22'si 2,00 dolardan daha düşük kayıt ücretleri teklif etti.

Tehdit aktörleri ayrıca, Telegram aracılığıyla kişisel ve finansal verileri çalmak için Stripe gibi meşru ödeme işlemcilerini taklit eden özelleştirilebilir ödeme sayfaları oluşturmak için kullanılabilecek PhishWP adlı kötü amaçlı bir WordPress eklentisinin reklamını yaptığı da keşfedildi.

SlashNext yeni bir raporda, "Saldırganlar meşru WordPress web sitelerini tehlikeye atabilir veya yüklemek için sahte web siteleri kurabilir" dedi. "Eklentiyi bir ödeme ağ geçidini taklit edecek şekilde yapılandırdıktan sonra, şüphelenmeyen kullanıcılar ödeme ayrıntılarını girmeye ikna ediliyor. Eklenti bu bilgileri toplar ve genellikle gerçek zamanlı olarak doğrudan saldırganlara gönderir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.