Büyük Markaları Taklit Eden Sahte İş Mülakatlarıyla Google Hesap Çalma Kampanyası Dünya Geneli

Büyük Markaları Taklit Eden Sahte İş Mülakatlarıyla Google Hesap Çalma Kampanyası

30'dan fazla büyük markayı taklit eden bir phishing kampanyası, pazarlama profesyonellerinin Google hesap bilgilerini çalmak için sahte iş mülakatları

Siber güvenlik araştırmacıları, 30'dan fazla tanınmış markayı taklit ederek pazarlama profesyonellerinin Google hesap bilgilerini çalmayı hedefleyen karmaşık bir phishing kampanyası tespit etti. Adobe, Netflix, Coca-Cola ve OpenAI gibi dev markaların adını kullanan saldırganlar, gerçek işe alım uzmanlarının isim ve fotoğraflarını kullanarak güven oluşturmaya çalışıyor. Kampanya, meşru PeopleForce insan kaynakları platformu ve Salesforce Marketing Cloud hizmetine ait bir alan adını kötüye kullanarak hedefi kötü amaçlı bir sayfaya yönlendiriyor.

Team Cymru kıdemli danışmanı Will Thomas tarafından analiz edilen kampanyada, saldırganların en az 34 alan adı kullandığı belirlendi. Bu alan adları, American Airlines, Booking.com, Coca-Cola, Adidas, Louis Vuitton, OpenAI, Netflix, FIFA gibi birçok sektörden büyük markaları taklit ediyor. Thomas, kampanyanın iç içe geçmiş yönlendirmeler kullandığını, yani kullanıcıların birden fazla meşru hizmet üzerinden yönlendirilerek sonunda sahte giriş sayfasına ulaştığını tespit etti.

Saldırı zinciri şu şekilde işliyor: Phishing e-postaları PeopleForce kaynaklı görünüyor, ancak bağlantılar önce Salesforce Marketing Cloud'un kullandığı exct.net alan adına, ardından Wise Agent CRM yazılımına ve en sonunda saldırganın phishing sayfasına yönlendiriyor. BleepingComputer'ın araştırmasına göre kampanya en az beş aydır devam ediyor. Örnek bir e-postada, Adidas işe alım uzmanı Paulina Manzo taklit edilerek hedeften bir görüşme ayarlaması isteniyor.

Nasıl Önlem Alınmalı?

Hedef, takvim bağlantısına tıkladığında adidas-hiring.com gibi bir alan adına yönlendiriliyor ve 'Continue with Google' butonuna tıklaması isteniyor. Bu buton, browser-in-the-browser (BitB) tekniğiyle oluşturulmuş sahte bir Google kimlik doğrulama penceresi açıyor. Bu pencere, gerçek bir tarayıcı penceresi gibi görünse de tamamen HTML ve CSS kodundan oluşuyor ve kullanıcının girdiği kimlik bilgilerini çalıyor. Saldırganların meşru platformlara nasıl eriştiği henüz net değil, ancak hesaplar oluşturarak veya çalıntı giriş bilgileri kullanarak bu yönlendirme zincirini kurdukları düşünülüyor.

Paylaş: