Siber suçlular, Facebook Messenger sohbet robotlarını (chatbot) kullanarak işletme hesaplarını hedef alan yeni bir oltalama (phishing) kampanyası başlattı. Huntress güvenlik araştırmacıları tarafından tespit edilen bu kampanya, Meta For Business kullanıcılarının hassas bilgilerini çalmayı amaçlıyor. Saldırganlar, meşru Facebook Business e-posta adreslerinden geliyormuş gibi görünen mesajlar göndererek birçok güvenlik doğrulamasını başarıyla aşmayı başardı. Bu durum, kullanıcıların dikkatini çekmeyen ve güvenlik duvarlarını aşan bir tehdit oluşturuyor.
Oltalama e-postaları, kurbanları hesaplarını 'korumak' için doğrulama yapmaya davet ediyor. Oysa saldırganların niyeti tam tersi: şifreler, çok faktörlü kimlik doğrulama (MFA) kodları, iş ve kişisel telefon numaraları, e-posta adresleri ve hatta devlet kimliği veya pasaport fotoğrafları gibi hassas bilgileri çalmak. Kampanya, Kasım 2025 civarında başlamış ve Meta'nın müdahalesine kadar Haziran 2026'ya kadar devam etmiş. Meta, saldırganların altyapısını kullanmasını engellemek için harekete geçti.
Huntress'in 7 Temmuz'daki blog yazısında detaylandırıldığı üzere, oltalama tuzağı, Facebook Business hesabı kullanıcılarına 'markalarını korumak' için doğrulanmış bir rozet (verified badge) sunuyor. Facebook gerçek bir doğrulama hizmeti sunsa da, bu hizmet ücretli bir abonelik temelinde ve süreç Facebook ekosistemi içinde başlıyor, e-posta yoluyla değil. Oltalama tuzağı ayrıca kullanıcıdan sahte bir giriş sayfasına giriş yapmasını ve MFA tokenlarını girmesini istiyor; bu da saldırganlar için kimlik bilgilerini çalmanın bir yöntemi.
Teknik Analiz
Saldırganlar, faaliyetlerini desteklemek için bir sohbet robotu da kullandı. Bu robot, AI Strategic Partner adlı sahte bir Facebook Messenger hesabı üzerinden çalıştırıldı. Robotla etkileşime giren kullanıcı, saldırganların kontrolündeki bir oltalama sayfasına yönlendirildi. Bu sayfada kullanıcıdan hesabını 'doğrulamak' için ek bilgiler girmesi istendi. Yine kullanıcı adı ve şifre soruldu, ardından sahte bir MFA kontrolü yapıldı ve son olarak pasaport, ehliyet veya ulusal kimlik kartı ile kimlik doğrulaması talep edildi.
Uzmanların Görüşleri
Bu belgelerin fotoğrafını yüklemek, saldırganlara dolandırıcılık ve diğer saldırılar için kullanılabilecek büyük miktarda kişisel bilgi sağlıyor. Çalınan kullanıcı adı ve şifreyle bir işletme hesabını ele geçiren saldırganlar, çeşitli dolandırıcılık yöntemleriyle para kazanma fırsatı buluyor. Huntress Baş Tehdit İstihbaratı Olay Komutanı Andrew Brandt, "Tehdit aktörleri, Meta işletme hesaplarını kullanarak kurbanın parasını kötü amaçlı veya dolandırıcılık reklamlarına harcayabilir veya hesabı tamamen ele geçirerek kurtarma yöntemlerini ve şifreyi değiştirebilir, ardından hesabı işletmenin müşterilerine veya sosyal medya takipçilerine yönelik daha hedefli saldırılar göndermek için kullanabilir" dedi.
Sistem Güvenliği
Meta, bu faaliyeti engellemek için harekete geçmiş olsa da, Facebook hesaplarının, özellikle işletme hesaplarının doğası gereği, oltalama saldırıları için birincil hedef olmaya devam ediyor. Bu mesajlarda, Facebook gibi büyük bir şirketten beklenmeyecek yazım, dilbilgisi ve biçimlendirme hataları bulunuyor. Oltalama e-postaları ayrıca kullanıcılara ücretsiz bir hizmet sunuyormuş gibi görünüyor; oysa gerçek doğrulama süreci Meta ile yapılan ücretli bir işleme dayanıyor. Brandt, "Bozuk grafikler, tanıdık olmayan bağlantılar ve heyecan verici bir fırsata davet eden beklenmedik bir e-posta almak kırmızı bayraklardır. Bu nedenle, böyle bir mesaj alırsanız ve size doğru gelmiyorsa veya beklenmedikse, o mesajı çöp kutusuna atın. Kaybedeceğiniz çok şey var" uyarısında bulundu.
Kaynak: infosecurity-magazine.com