Çinli Tehdit Aktörleri Canlı Kimlik Bilgisi Ele Geçirme Yöntemine Geçiyor Siber Güvenlik

Çinli Tehdit Aktörleri Canlı Kimlik Bilgisi Ele Geçirme Yöntemine Geçiyor

Çinli siber suçlular, statik kimlik avı sayfaları yerine canlı yönetim panelleriyle gerçek zamanlı kimlik ve OTP ele geçirmeye yöneliyor. Google, bu y

Google araştırmacıları, Çinli siber suçluların kimlik avı hizmetlerinin (PhaaS) boyut ve karmaşıklık açısından hızla büyüdüğünü duyurdu. Bu tehdit aktörleri, statik parola toplama yöntemlerini terk ederek gerçek zamanlı kimlik bilgisi ele geçirme ve tokenizasyon tekniklerine yöneldi. Özellikle 'Lighthouse' SMS kimlik avı kitini kullanan bir gruba karşı Google, Kasım 2025'te dava açtı ancak bu sadece buzdağının görünen kısmıydı. Google Threat Intelligence Group (GTIG), 25 Mayıs'ta yayınladığı raporda Çin yeraltı dünyasında en az bir düzine aktif PhaaS teklifi tespit ettiğini belirtti.

GTIG, Rusya merkezli PhaaS operasyonlarının genellikle büyük kuruluşları hedef alırken, Çin dili kullanan kimlik avı hizmetlerinin daha geniş bir ağ atarak genel halkı fırsatçı bir şekilde hedef aldığını vurguladı. Rapora göre, bu hizmetler tarafından taklit edilen kuruluşların neredeyse tamamı Çin dışındaki varlıklar; bu da operatörlerin bilinçli olarak yerel hedeflerden kaçındığını gösteriyor. En çok hedef alınan ülkeler arasında Japonya, ABD, Avustralya, Hong Kong ve Birleşik Arap Emirlikleri yer alıyor.

Çinli operatörleri farklı kılan bir diğer önemli taktik, şifreli mesajlaşma protokollerine geçiş yapmaları. Geleneksel SMS yerine Rich Communication Services (RCS) ve Apple iMessage gibi uçtan uca şifreli protokoller kullanarak kimlik avı tuzaklarını iletiyorlar. Bu protokollerin sağladığı şifreleme, altyapı seviyesindeki filtrelerin kötü amaçlı bağlantıları tespit etmesini zorlaştırırken, okundu bilgisi, yüksek çözünürlüklü medya ve yazma göstergeleri gibi zengin özellikler sayesinde kimlik avı mesajları daha inandırıcı hale geliyor. GTIG, en önemli değişimin gerçek zamanlı kimlik bilgisi ele geçirme yöntemi olduğunu belirtti. Saldırganlar, canlı yönetim panelleri kullanarak kurbanlarla gerçek zamanlı etkileşime geçip tek kullanımlık şifreleri (OTP) ele geçiriyor ve böylece çok faktörlü kimlik doğrulamayı (MFA) anında aşabiliyor.

Sonuç ve Değerlendirme

Saldırganlar, ele geçirilen kimlik bilgilerini ve OTP'leri kullanarak kurbanların ödeme kartlarını kendi cihazlarındaki dijital cüzdanlara yüklüyor; bu sayede yüksek değerli işlemler, temassız ödemeler ve ATM'den para çekme işlemleri gerçekleştirebiliyor. Ayrıca, bazı platformlar hisse senedi manipülasyonu ve havale dolandırıcılığı için hesap ele geçirmeye yönelik broker odaklı şablonlar sunuyor. GTIG, Darcula PhaaS platformunun statik kimlik avı şablonlarını terk ederek yapay zeka destekli sayfa oluşturucular ve tarayıcı otomasyon araçları kullanmaya başladığını da vurguladı. Bu araçlar, meşru web sitelerini HTML, CSS, JavaScript ve görsel öğeleri kopyalayarak klonlayabiliyor; her oluşturulan sayfa benzersiz olduğu için geleneksel imza tabanlı tespit yöntemleri etkisiz hale geliyor.

Paylaş: