Akamai’den siber güvenlik araştırmacıları, sahte tatil teklifleriyle ABD’deki tüketicileri hedefleyen yeni bir kimlik avı kampanyası tespit etti. Kampanyanın amacı, kredi kartı bilgileri gibi hassas kimlik bilgilerini ve nihayetinde paralarını çalmaktır.
Tehdit aktörleri, Dick’s, Tumi, Delta Airlines, Sam’s Club, Costco ve diğerleri dahil olmak üzere ABD’deki en büyük markalardan bazılarının kimliğine bürünen açılış sayfaları oluşturuyor.
Genellikle Google veya Azure gibi saygın bulut hizmetlerinde barındırılan açılış sayfası, kullanıcıları kısa bir anketi tamamlamaya yönlendirir ve ardından kendilerine bir ödül sözü verilir. Anket ayrıca, insanların dikkatini olası kırmızı bayraklardan uzaklaştırmak için aciliyeti kullanarak, beş dakikayla sınırlı bir süreye sahip olacaktır.
Benzersiz kimlik avı URL’leri
Anketi tamamladıktan sonra kurbanlar “kazananlar” olarak ilan edilecek. Şimdi ödüllerini almak için yapmaları gereken tek şey nakliye ücretini ödemek. Daha sonra saldırganlar tarafından farklı şekillerde kullanılmak üzere hassas ödeme bilgilerini burada vereceklerdi.
Bununla birlikte, bu kampanyayı benzersiz kılan, radarın altında uçmasına ve siber güvenlik çözümlerine yakalanmamasına izin veren jeton tabanlı sistemidir.
Araştırmacıların açıkladığı gibi, sistem her kurbanı benzersiz bir kimlik avı sayfası URL’sine yönlendirmeye yardımcı oluyor. Dolandırıcılar yerel olarak mevcut markaların kimliğine bürünmeye çalıştıklarından, URL’ler kurbanın konumuna göre farklılık gösterir.
Sistemin nasıl çalıştığını açıklayan araştırmacılar, her kimlik avı e-postasının bir bağlantı (#) ile birlikte gelen açılış sayfasına bir bağlantı içerdiğini söyledi. Ziyaretçiler genellikle bir açılış sayfasının belirli bölümlerine bu şekilde yönlendirilir. Bu senaryoda etiket, URL’yi yeniden yapılandıran açılış sayfasında JavaSCript tarafından kullanılan bir belirteçtir.
Araştırmacılar, “HTML bağlantısından sonraki değerler HTTP parametreleri olarak kabul edilmeyecek ve sunucuya gönderilmeyecek, ancak bu değere kurbanın tarayıcısında çalışan JavaScript koduyla erişilebilecek” dedi. “Bir kimlik avı dolandırıcılığı bağlamında, HTML bağlantısından sonra yerleştirilen değer, bunun kötü amaçlı olup olmadığını doğrulayan güvenlik ürünleri tarafından tarandığında göz ardı edilebilir veya gözden kaçabilir.”
“Bir trafik denetim aracı tarafından görüntülendiğinde bu değer de gözden kaçacaktır.”
Siber güvenlik çözümleri bu belirteci göz ardı ederek tehdit aktörlerinin dikkat çekmemesine yardımcı olur. Öte yandan, araştırmacılar, analistler ve diğer istenmeyen ziyaretçiler uzak tutulur, çünkü uygun belirteç olmadan site yüklenmez.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
