Çinli Tehdit Aktörleri Canlı Kimlik Bilgilerini Ele Geçirmek İçin Statik Kimlik Avı Sayfalarından Kurtuldu Yazılım

Çinli Tehdit Aktörleri Canlı Kimlik Bilgilerini Ele Geçirmek İçin Statik Kimlik Avı Sayfalarından Kurtuldu

Google araştırmacıları, Çin'deki hizmet olarak kimlik avı (PhaaS) ortamının son birkaç ayda hızla büyüdüğünü ve karmaşıklaştığını belirtti....

Google araştırmacıları, Çin'deki hizmet olarak kimlik avı (PhaaS) ortamının son birkaç ayda hızla büyüdüğünü ve karmaşıklaştığını belirtti.

Birçoğu muhtemelen daha geniş Asya suç ekosistemiyle bağlantılı olan, olgun kimlik avı hizmetlerini yürüten siber tehdit aktörleri, büyük ölçüde statik şifre toplamadan gerçek zamanlı müdahale ve tokenizasyona geçiş yaptı.

'Deniz Feneri' SMS kimlik avı (smishing) kitini işleten bir grup, Kasım 2025'te Google tarafından açılan bir davaya konu oldu.

Detaylar ve Etkileri

Ancak buzdağının sadece görünen kısmıydı. 25 Mayıs'ta yayınlanan yeni bir raporda, Google Tehdit İstihbarat Grubu (GTIG), Çin yeraltında en az bir düzine başka aktif PhaaS teklifi gözlemlediğini söyledi.

Uzmanların Görüşleri

Gerçek Zamanlı Kimlik Bilgisi Hırsızlığı Taktikleri

Sistem Güvenliği

GITG, kimlik avı hizmetleri için baskın pazar olan Rusya merkezli PhaaS operasyonlarının genellikle büyük kuruluşların müşterilerini hedef alırken, Çince dildeki kimlik avı hizmetlerinin fırsatçı bir şekilde genel halkı hedef alarak daha geniş bir ağ oluşturduğunu belirtti.

Raporda, bu hizmetlerin taklit ettiği neredeyse tüm kuruluşların Çinli olmayan kuruluşlar olduğu vurgulandı ve operatörlerin kasıtlı olarak yurt içi hedeflerden kaçındıkları öne sürüldü.

Sonuç ve Değerlendirme

En çok hedeflenen ülkeler arasında Japonya, ABD, Avustralya, Hong Kong ve Birleşik Arap Emirlikleri yer alıyor.

GTIG, Çince konuşan bu operatörleri diğerlerinden ayıran birkaç önemli taktik belirledi.

Önemli Gelişmeler

İlk olarak, Çinli kimlik avı operatörleri, geleneksel SMS'e güvenmek yerine, kimlik avı tuzakları sunmak için Zengin İletişim Hizmetleri (RCS) ve Apple iMessage gibi şifreli mesajlaşma protokollerine geçtiler. Bu protokoller tarafından kullanılan uçtan uca şifreleme, altyapı düzeyindeki filtrelerin kötü amaçlı bağlantıları tespit etmesini ve engellemesini önemli ölçüde zorlaştırırken, zengin özellik setleri (ör. okundu bilgileri, yüksek çözünürlüklü medya, yazma göstergeleri) kimlik avı mesajlarının potansiyel kurbanlar için çok daha ikna edici görünmesini sağlar.

Devamını oku: Uçtan Uca Şifrelenmiş RCS Mesajlaşma iPhone ve Android'e Geliyor

Daha da önemlisi GTIG, son zamanlarda gerçek zamanlı kimlik bilgilerinin dinlenmesine geçişin altını çizdi.

GTIG araştırmacıları, "Saldırganlar, canlı yönetim panellerini kullanarak kurbanlarla gerçek zamanlı etkileşime girerek tek seferlik şifreleri (OTP'ler) yakalayabilir ve böylece çok faktörlü kimlik doğrulamayı (MFA) anında atlayabilirler" dedi.

Nasıl Önlem Alınmalı?

Uygulamada, bir kurban kimlik avı sayfasına kimlik bilgilerini girdiğinde, veriler saldırganın kontrol ettiği bir yönetim panelinde anında ortaya çıkıyor. Saldırganlar daha sonra aynı anda kendi cihazlarında OTP isteklerini tetikleyebilir, kodları sona ermeden saniyeler önce yakalayabilir ve MFA korumalarını etkili bir şekilde etkisiz hale getirebilir.

Operatörler ayrıca çalınan ödeme ayrıntılarından para kazanmak için dijital cüzdan provizyonundan da yararlanıyor. Saldırganlar, ele geçirilen kimlik bilgilerini ve OTP'leri kullanarak kurbanların ödeme kartlarını saldırgan tarafından kontrol edilen cihazlardaki dijital cüzdanlara aktararak yüksek değerli işlemlere, temassız ödemelere ve ATM'den para çekme işlemlerine olanak tanıyor.

Bazı platformlar ayrıca elektronik dolandırıcılık ve hisse senedi manipülasyonu amacıyla hesapların ele geçirilmesini kolaylaştırmak için tasarlanmış komisyonculuk odaklı şablonlar da sunar.

Gelecekte Ne Bekleniyor?

Son olarak GTIG, ölçeklendirmeyi mümkün kılmak ve tespitten kaçınmak için yapay zekanın giderek artan kullanımına dikkat çekti.

Örneğin, GTIG tarafından tehdit aktörü UNC5814'e bağlanan Darcula PhaaS platformu, statik kimlik avı şablonlarını terk ederek, meşru web sitelerini HTML, CSS, JavaScript ve görsel öğelerini kopyalayarak kopyalayabilen yapay zeka destekli sayfa oluşturucular ve tarayıcı otomasyon araçlarını tercih etti. Oluşturulan her kimlik avı sayfası benzersiz olduğundan, geleneksel imza tabanlı tespit yöntemleri giderek etkisiz hale geliyor.

Paylaş: