Yeni bir siber saldırı kampanyası, Adobe, Netflix, Coca-Cola ve OpenAI gibi 30'dan fazla tanınmış markayı kullanarak sahte iş görüşmeleri düzenliyor. Bu yöntemle pazarlama profesyonellerinin Google hesap bilgilerini ele geçirmeyi hedefleyen saldırganlar, meşru bulut tabanlı PeopleForce insan kaynakları platformunu ve Salesforce Marketing Cloud hizmetine ait bir alan adını kötüye kullanıyor.
Saldırganlar, güven oluşturmak ve başarı şansını artırmak için taklit ettikleri şirketlerin gerçek işe alım uzmanlarının isimlerini ve fotoğraflarını kullanıyor. Siber güvenlik istihbarat şirketi Team Cymru'da kıdemli danışman olan Will Thomas, kampanyayı analiz ederek sahte e-postaların 'pazarlama rollerinde çalışacak kişileri arayan bir işe alım uzmanından' geliyormuş gibi göründüğünü tespit etti.
Thomas, kampanyada kullanılan 34 alan adının American Airlines, Booking.com, Coca-Cola, Adidas, Louis Vuitton, OpenAI, Netflix gibi birçok sektörden yüksek değerli şirketleri taklit ettiğini keşfetti. Saldırganlar, yönlendirme zincirini meşru hizmetler üzerinden yönlendirerek kurbanı zararlı bir sayfaya ulaştırıyor. İlk olarak PeopleForce üzerinden gelen e-postalar, ExactTarget alan adına yönlendiriliyor ve ardından Wise Agent CRM yazılımı üzerinden phishing sayfasına iletiyor.
Sistem Güvenliği
BleepingComputer, kampanyanın en az beş aydır devam ettiğini ve başlangıçta taklit edilen şirketin adını taşıyan Outlook e-posta adreslerinin kullanıldığını tespit etti. Sahte iş görüşmesi davetiyesine tıklayan kullanıcı, 'Google ile Devam Et' butonuna bastığında, sayfa içinde oluşturulan sahte bir Google giriş penceresiyle karşılaşıyor. Bu teknik 'browser-in-the-browser' (BitB) olarak adlandırılıyor ve kullanıcıyı kandırarak kimlik bilgilerini çalıyor.