Kimlik avı, Google hesaplarını çalmak için büyük bir markanın iş görüşmesine benziyor Yazılım

Kimlik avı, Google hesaplarını çalmak için büyük bir markanın iş görüşmesine benziyor

Bir kimlik avı kampanyası, pazarlama profesyonellerinden Google hesabı kimlik bilgilerini çalmak için sahte iş görüşmelerinde Adobe, Netflix, Coca-Col...

Bir kimlik avı kampanyası, pazarlama profesyonellerinden Google hesabı kimlik bilgilerini çalmak için sahte iş görüşmelerinde Adobe, Netflix, Coca-Cola ve OpenAI dahil olmak üzere 30'dan fazla tanınmış markanın kimliğine bürünüyor.

Operasyon, alıcıyı kötü amaçlı bir açılış sayfasına yönlendirmeden önce meşru bulut tabanlı PeopleForce insan kaynakları platformunu ve Salesforce Marketing Cloud hizmetiyle ilişkili bir etki alanını kötüye kullanıyor.

Tehdit aktörü, güveni daha da artırmak ve başarı şansını artırmak için, taklit şirketlerdeki gerçek işe alım görevlilerinin adlarını ve resimlerini kullanıyor.

Siber güvenlik istihbaratı ve tehdit avcılığı şirketi Team Cymru'nun kıdemli danışmanı Will Thomas, kampanyayı analiz etti ve kimlik avı e-postasının "pazarlama rolleri için insanları işe almak isteyen bir işe alım uzmanı" gibi davrandığını keşfetti.

Teknik Analiz

Araştırmacı, tehdit aktörünün aşağıdaki sektörlerde yüksek değerli şirketleri taklit eden en az 34 alan adı kullandığını ortaya çıkardı:

Sistem Güvenliği

Havayolları ve seyahat: American Airlines, Booking.com, Delta Air Lines, United Airlines

Yiyecek ve içecek: Coca-Cola, PepsiCo, Red Bull

Detaylar ve Etkileri

Giyim ve lüks ürünler: Adidas, Louis Vuitton, Sephora, Levis

Personel alımı, danışmanlık ve teknoloji: Adobe, Aquent, ManpowerGroup, McKinsey & Company, OpenAI

Nasıl Önlem Alınmalı?

Ağırlama ve pazarlama: Marriott, Omnicom Group

Önemli Gelişmeler

Eğlence ve spor: FIFA, Netflix

Thomas, kampanyanın, ziyaretçileri kötü amaçlı açılış sayfasına ulaşmadan önce birden fazla meşru hizmet üzerinden yönlendiren bir teknik olan iç içe yönlendirmelere dayandığını buldu.

Araştırmacı, kimlik avı e-postalarının PeopleForce'tan geliyor gibi görünse de, temeldeki bağlantıların ExactTarget pazarlama otomasyon platformunu satın almasının ardından Salesforce tarafından işletilen ve artık Salesforce Pazarlama Bulutu olarak yeniden markalanan exct[.]net alanına çözümlendiğini belirtti.

Gelecekte Ne Bekleniyor?

ExactTarget, aracılara, ekiplere ve komisyonculara yönelik Wise Agent (wiseagent[.]com) bulut tabanlı gayrimenkul Müşteri İlişkileri Yönetimi (CRM) yazılımına yönlendirme yapar ve bu yazılım, kimlik avı açılış sayfasına yönlendirir.

BleepingComputer, operasyonun en az beş aydır çalıştığını ve başlangıçta kimliğine bürünülen şirketin adını taşıyan Outlook e-posta adreslerini kullandığını tespit etti.

Adidas işe alım sorumlusu Paulina Manzo'dan gelen bir mesaj gibi görünen bir kimlik avı e-postası, alıcıdan şirketteki potansiyel bir pozisyon hakkında bir görüşme planlamasını istiyordu.

Kimlik avı e-postası Gmail şifresini çalmaya çalışıyor

Uzmanların Görüşleri

Kaynak: Sergiu George

Alıcı, takvim bağlantısına tıklandığında tehdit aktörünün adidas-hiring[.]com açılış sayfasına yönlendirildi.

Sonuç ve Değerlendirme

İşverenle bir toplantı planlama sürecine devam etmek için potansiyel kurbandan Google hesabında oturum açması istenir.

Adidas'ın kimliğine bürünen sahte toplantı planlama sayfası

kaynak: BleepingComputer

"Google ile Devam Et" düğmesini tıklamak, Google kimlik doğrulamasını taklit etmek için kimlik avı sayfasında oluşturulan sahte bir Google oturum açma açılır penceresini tetikler.

Açılır pencere meşru bir tarayıcı penceresi gibi görünse de, tarayıcıdaki tarayıcı (BitB) olarak bilinen bir teknik olan, kimlik avı sayfasının içinde oluşturulan yalnızca HTML ve CSS kodudur.

Saldırgan, modern web geliştirme araçlarını kullanarak meşru bir kimlik doğrulama açılır sayfasının tüm öğelerini taklit edebilir.

Sahte Google kimlik doğrulama formu

kaynak: BleepingComputer

Tehdit aktörünün meşru platformlara nasıl erişim sağladığı belli olmasa da, bunların kötüye kullanılması hizmetlerden taviz verildiği anlamına gelmiyor.

Olası yollardan biri, özellikle kampanya için gerçek bir hesap oluşturmak veya yönlendirme zincirini ve açılış sayfasını yapılandırmaya olanak tanıyan güvenliği ihlal edilmiş oturum açma bilgileri kullanmaktır.

Bu kimlik avı saldırısında keşfedilen alan adlarının listesi Will Thomas'ın GitHub'daki analizinde mevcuttur.

Paylaş: