Sahte İş Görüşmeleriyle Google Hesabı Çalan Yeni Oltalama Kampanyası Dünya Geneli

Sahte İş Görüşmeleriyle Google Hesabı Çalan Yeni Oltalama Kampanyası

Adobe, Netflix, Coca-Cola gibi 30'dan fazla büyük markayı taklit eden sahte iş görüşmeleri, pazarlama profesyonellerinin Google hesaplarını hedef alıy...

Siber güvenlik araştırmacıları, Adobe, Netflix, Coca-Cola ve OpenAI gibi 30'dan fazla tanınmış markayı taklit ederek pazarlama profesyonellerinin Google hesap bilgilerini çalmayı amaçlayan bir oltalama kampanyası tespit etti. Saldırganlar, meşru bulut tabanlı PeopleForce insan kaynakları platformunu ve Salesforce Marketing Cloud hizmetine ait bir alan adını kötüye kullanarak kurbanları kötü amaçlı bir sayfaya yönlendiriyor. Güven oluşturmak için taklit edilen şirketlerdeki gerçek işe alım uzmanlarının isim ve fotoğraflarını kullanıyorlar.

Team Cymru'da kıdemli danışan olan Will Thomas, kampanyayı analiz ederek oltalama e-postalarının 'pazarlama pozisyonları için insan arayan bir işe alımcıdan' geldiğini ortaya çıkardı. Araştırmacı, saldırganın American Airlines, Booking.com, Delta Air Lines, Coca-Cola, PepsiCo, Red Bull, Adidas, Louis Vuitton, Sephora, Levi's, Adobe, Aquent, ManpowerGroup, McKinsey & Company, OpenAI, Marriott, Omnicom Group, FIFA ve Netflix gibi yüksek değerli şirketleri taklit eden en az 34 alan adı kullandığını belirledi.

Kampanya, iç içe yönlendirmeler kullanarak ziyaretçileri kötü amaçlı sayfaya ulaşmadan önce birden fazla meşru hizmet üzerinden geçiriyor. E-postalar PeopleForce üzerinden geliyor gibi görünürken, bağlantılar Salesforce Marketing Cloud tarafından işletilen exct[.]net alan adına yönleniyor. Buradan Wise Agent emlak CRM yazılımına, oradan da oltalama sayfasına yönlendirme yapılıyor. BleepingComputer, operasyonun en az beş aydır devam ettiğini ve başlangıçta taklit edilen şirket adıyla Outlook e-posta adresleri kullanıldığını tespit etti.

Nasıl Önlem Alınmalı?

Bir örnekte, Adidas işe alımcısı Paulina Manzo'yu taklit eden e-posta, kurbanı bir takvim bağlantısına tıklamaya yönlendiriyor. Bu bağlantı, adidas-hiring[.]com adresindeki saldırgan sayfasına yönleniyor. Burada kurban, Google hesabıyla oturum açmaya zorlanıyor. 'Continue with Google' düğmesi, tarayıcı içinde tarayıcı (BitB) tekniğiyle oluşturulmuş sahte bir Google giriş penceresi açıyor. Bu pencere HTML ve CSS ile oluşturulduğu için gerçek bir pencere gibi görünüyor. Saldırganın bu platformlara nasıl eriştiği bilinmiyor; ancak hesaplar oluşturarak veya çalıntı giriş bilgileri kullanarak bu yönlendirme zincirini yapılandırmış olabileceği düşünülüyor.

Paylaş: