Yeni oltalama e-postaları, tüm dünyada e-ticaret alışverişçilerini sahte markalarla hedef alarak Black Friday alışveriş sezonunda kişisel bilgilerini çalıyor.
Yeni bir oltalama kampanyası, Avrupa ve ABD’deki e-ticaret alışverişçilerini, meşru markaları taklit eden sahte sayfalarla hedef alarak kişisel bilgilerini çalmayı amaçlıyor.
Dünya geneline hizmet veren EclecticIQ beyanında mevcut saldırıları “Bu sahte kampanya hareketi, Black Friday indirimlerinin yoğun yaşandığı Kasım ayındaki artan çevrimiçi alışveriş aktivitelerinden faydalanmaktadır. Saldırı aktörleri, oltalama saldırıları mağdurlarının ‘Kart Sahibi Verileri (CHD), Hassas Kimlik Doğrulama Verileri (SAD) ve Kişisel Tanımlayıcı Bilgilerini (PII) ele geçirmek için sahte indirimli ürün haberlerini kullanıyorlar.” olarak tanımladı.
2024 yılının Ekim ayı başlarında gözlemlenen bu faaliyet, Çin merkezli ve finansal kazanç odaklı bir tehdit grubu olan SilkSpecter tarafından gerçekleştiriliyor. Saldırganlar IKEA, L.L.Bean, North Face ve Wayfare gibi tanınmış markaları taklit eden sahte web siteleri oluşturuyor. Kullanıcıları bu sitelere çekmek için “.top”, “.shop”, “.store” ve “.vip” gibi alan adları kullanılarak popüler markaların isimlerini kopyalıyor (örneğin, northfaceblackfriday[.]shop). Bu sahte siteler, gerçek olmayan indirimler sunarken ziyaretçilerin bilgilerini ele geçiriyor.
Daha da kötüsü, bu oltalama kitleri kullanıcıların coğrafi konumlarına göre sayfa dilini dinamik olarak değiştirmek için Google Translate bileşeni kullanıyor. Ayrıca OpenReplay, TikTok Pixel ve Meta Pixel gibi izleyiciler aracılığıyla saldırıların etkinliğini izliyor.
Finansal Bilgi Hırsızlığı ve İleriye Dönük Saldırılar
Kampanyanın temel amacı, sahte sipariş süreçleri üzerinden kullanıcıların finansal bilgilerini ele geçirmek. Saldırganlar, işlemleri Stripe gibi meşru görünen platformlar üzerinden yönlendirerek, kurbanlara gerçek bir alışveriş yapıldığı izlenimini veriyor. Ancak gerçekte, kredi kartı bilgileri saldırganların kontrolündeki sunuculara aktarılıyor.
Ek olarak, kullanıcıların telefon numaralarını girmeleri isteniyor. Bu, saldırganların smishing (SMS tabanlı oltalama) ve vishing (telefon tabanlı oltalama) gibi yöntemlerle iki faktörlü kimlik doğrulama (2FA) kodlarını ve diğer hassas bilgileri ele geçirme planlarının bir parçası olabilir.
SilkSpecter’in Tehdit Stratejisi
EclecticIQ, saldırganların güvenilir finansal kurumlar ya da popüler e-ticaret platformlarını taklit ederek güvenlik bariyerlerini aşabildiğini ve kurbanların hesaplarına izinsiz erişim sağlayarak sahte işlemler başlatabildiğini belirtti.
Bu URL’lerin tam olarak nasıl yayıldığı şu an için belirsiz olsa da, sosyal medya hesaplarının ve arama motoru optimizasyonu (SEO) manipülasyonunun kullanıldığı düşünülüyor.
SEO Manipülasyonu ile Sahte Siteler
Benzer bir dolandırıcılık operasyonu olan “Phish ‘n’ Ships”, 2019’dan bu yana aktif olarak tüketicilerin kredi kartı bilgilerini çalmak için Mastercard ve Visa gibi dijital ödeme sağlayıcılarını kötüye kullanıyor. Trend Micro’ya göre, saldırganlar SEO kötü amaçlı yazılımını enfekte olmuş web sitelerine yükleyerek bu sitelerin arama motoru sonuçlarında üst sıralarda görünmesini sağlıyor. Böylece kurbanlar bu sahte sayfalara yönlendiriliyor ve kandırılıyor.
Diğer Dolandırıcılık Faaliyetleri
Siber suçlular yalnızca alışveriş platformlarıyla sınırlı kalmıyor. Balkanlar’daki posta hizmeti kullanıcıları, Apple iMessage yoluyla gönderilen “başarısız teslimat” temalı sahte mesajlarla hedef alınıyor. Bu mesajlar, kullanıcılardan kişisel ve finansal bilgilerini paylaşmalarını istiyor.
Group-IB’ye göre, kurbanlar ödeme yaptıktan sonra ne paralarını geri alabiliyor ne de dolandırıcılarla iletişim kurabiliyor. Bu durum, hem kişisel bilgi hem de maddi kayıp anlamına geliyor.
The Hacker News