Çinli Siber Tehdit Aktörleri Canlı Kimlik Avına Geçti: Şifreler Anında Çalınıyor Yazılım

Çinli Siber Tehdit Aktörleri Canlı Kimlik Avına Geçti: Şifreler Anında Çalınıyor

Google araştırmacıları, Çinli siber tehdit aktörlerinin statik kimlik avı sayfalarından canlı kimlik bilgisi ele geçirmeye geçtiğini duyurdu.

Google araştırmacıları, Çin merkezli siber tehdit aktörlerinin geleneksel statik kimlik avı sayfalarından canlı kimlik bilgisi ele geçirme yöntemine yöneldiğini açıkladı. Bu yeni teknik, saldırganların kurbanların girdiği şifreleri anında ele geçirmesine ve tek kullanımlık şifreleri (OTP) gerçek zamanlı olarak çalarak çok faktörlü kimlik doğrulamayı (MFA) aşmasına olanak tanıyor. Google Tehdit İstihbarat Grubu (GTIG) tarafından yayınlanan rapora göre, Çinli siber suç ekosistemi, Rusya merkezli rakiplerine kıyasla daha geniş bir hedef kitlesine yöneliyor ve özellikle Japonya, ABD, Avustralya, Hong Kong ve Birleşik Arap Emirlikleri gibi ülkeleri hedef alıyor.

GTIG raporu, Çinli kimlik avı operatörlerinin geleneksel SMS yerine şifreli mesajlaşma protokollerini (RCS ve Apple iMessage) kullanarak kimlik avı tuzakları gönderdiğini ortaya koydu. Bu protokollerin uçtan uca şifrelemesi, kötü amaçlı bağlantıların tespit edilmesini zorlaştırırken, zengin özellik setleri (okundu bilgisi, yüksek çözünürlüklü medya, yazma göstergeleri) mesajları daha inandırıcı kılıyor. En dikkat çekici değişim ise canlı kimlik bilgisi ele geçirme taktiği: Saldırganlar, yönetici panelleri aracılığıyla kurbanların girdiği verileri anında görüyor ve kendi cihazlarında OTP talebi başlatarak kodları saniyeler içinde çalıyor.

Saldırganlar, ele geçirilen ödeme kartı bilgilerini dijital cüzdanlara yükleyerek yüksek değerli işlemler, temassız ödemeler ve ATM para çekme işlemleri gerçekleştiriyor. Ayrıca, bazı platformlar hisse senedi manipülasyonu ve havale dolandırıcılığı için aracı kurum temalı şablonlar sunuyor. GTIG, bu operasyonların arkasında Asya suç ekosistemine bağlı grupların olduğunu ve 'Lighthouse' adlı SMS kimlik avı kitinin Google tarafından Kasım 2025'te dava edildiğini ancak bunun sadece buzdağının görünen kısmı olduğunu belirtti.

Raporda ayrıca, yapay zeka destekli kimlik avı platformlarının (örneğin Darcula) statik şablonları terk ederek AI tabanlı sayfa oluşturucular ve tarayıcı otomasyon araçları kullandığı vurgulanıyor. Bu araçlar, meşru web sitelerinin HTML, CSS, JavaScript ve görsel öğelerini kopyalayarak benzersiz kimlik avı sayfaları oluşturuyor. Her sayfanın farklı olması, imza tabanlı tespit yöntemlerini etkisiz hale getiriyor. GTIG, bu gelişmelerin Çinli siber tehdit aktörlerinin giderek daha sofistike hale geldiğini ve küresel güvenlik topluluğunun bu yeni tehditlere karşı hazırlıklı olması gerektiğini vurguluyor.

Paylaş: