Çinli Tehdit Aktörleri Statik Oltalama Sayfalarından Gerçek Zamanlı Kimlik Bilgisi Ele Geçirmeye Geçiyor Siber Güvenlik

Çinli Tehdit Aktörleri Statik Oltalama Sayfalarından Gerçek Zamanlı Kimlik Bilgisi Ele Geçirmeye Geçiyor

Google araştırmacıları, Çinli siber suçluların statik oltalama sayfalarından gerçek zamanlı kimlik bilgisi ele geçirmeye geçtiğini ve MFA'yı aşan yeni

Google araştırmacıları, son aylarda Çin merkezli oltalama hizmeti (PhaaS) ekosisteminin boyut ve karmaşıklık açısından hızla büyüdüğünü ve bu hizmetlerin statik parola toplamadan gerçek zamanlı kimlik bilgisi ele geçirmeye yöneldiğini tespit etti. Çoğu Asya suç ekosistemiyle bağlantılı olan bu tehdit aktörleri, artık kurbanlarla canlı etkileşim kurabiliyor ve tek seferlik şifreleri (OTP) anında yakalayarak çok faktörlü kimlik doğrulamayı (MFA) etkisiz hale getirebiliyor.

Google Threat Intelligence Group (GTIG) tarafından 25 Mayıs'ta yayınlanan yeni bir rapora göre, Çin yeraltı dünyasında en az bir düzine aktif PhaaS teklifi bulunuyor. Bu hizmetler, geleneksel SMS yerine şifreli mesajlaşma protokolleri (RCS ve Apple iMessage) kullanarak oltalama tuzaklarını iletmeye başladı. Uçtan uca şifreleme sayesinde kötü amaçlı bağlantıların altyapı düzeyinde tespit edilmesi zorlaşırken, okundu bilgisi ve yüksek çözünürlüklü medya gibi özellikler mesajları daha ikna edici hale getiriyor.

En kritik değişim, gerçek zamanlı kimlik bilgisi ele geçirme taktiğine geçiş oldu. GTIG araştırmacıları, saldırganların canlı yönetim panelleri kullanarak kurbanlarla anlık etkileşime geçtiğini ve OTP'leri yakalayarak MFA'yı anında atlattığını belirtiyor. Pratikte, kurban bir oltalama sayfasına kimlik bilgilerini girdiğinde, veriler saldırganın kontrol panelinde anında görünüyor. Saldırganlar kendi cihazlarında eşzamanlı OTP talebi başlatarak kodları süresi dolmadan yakalıyor ve MFA korumalarını etkisiz hale getiriyor.

Gelecekte Ne Bekleniyor?

Saldırganlar ayrıca çalınan ödeme bilgilerini dijital cüzdan sağlama yoluyla paraya çeviriyor. Ele geçirilen kimlik bilgileri ve OTP'ler kullanılarak kurbanın ödeme kartları saldırganın kontrolündeki cihazlara dijital cüzdan olarak ekleniyor; bu da yüksek değerli işlemler, temassız ödemeler ve ATM para çekme işlemlerine olanak tanıyor. Bazı platformlar, havale dolandırıcılığı ve hisse senedi manipülasyonu için hesap ele geçirmeyi kolaylaştıran aracı kurum temalı şablonlar da sunuyor.

Hedefler arasında Japonya, ABD, Avustralya, Hong Kong ve Birleşik Arap Emirlikleri öne çıkıyor. GTIG, Çince konuşan operatörlerin neredeyse tüm taklit ettiği kuruluşların Çin dışındaki varlıklar olduğunu, bunun da operatörlerin yerel hedeflerden kasıtlı olarak kaçındığını gösterdiğini vurguluyor. Rus tabanlı PhaaS operasyonları genellikle büyük kuruluşların müşterilerini hedeflerken, Çince oltalama hizmetleri daha geniş bir ağ atarak genel kamuoyunu fırsatçı bir şekilde hedef alıyor.

Teknik Analiz

Son olarak GTIG, Darcula PhaaS platformu gibi tehdit aktörlerinin AI destekli sayfa oluşturucular ve tarayıcı otomasyon araçları kullanarak her seferinde benzersiz oltalama sayfaları oluşturduğunu ve geleneksel imza tabanlı tespit yöntemlerini etkisiz hale getirdiğini belirtiyor. Bu gelişmeler, siber güvenlik ekiplerinin kullanıcıları eğitmesi, gelişmiş tehdit tespit sistemleri kullanması ve MFA'nın yanı sıra biyometrik doğrulama gibi ek katmanlar eklemesi gerektiğini ortaya koyuyor.

Kaynak: infosecurity-magazine.com

Paylaş: