Alman e-bankacılık kullanıcılarını hedefleyen ve kimlik bilgilerinin kapkaç sürecinde QR kodlarını içeren yeni bir kimlik avı kampanyası son birkaç haftadır devam ediyor.
Aktörler, güvenlik çözümlerini atlamak ve hedeflerini mesajları açmaya ve talimatları takip etmeye ikna etmek için bir dizi hile kullanıyorlar.
İlgili rapor araştırmacılardan geliyor Cofense, bu mesajlardan birkaçını örnekledi ve oyuncuların taktiklerini ayrıntılı olarak haritaladı.
Temiz bir teslimat
Kimlik avı e-postaları, banka logoları, iyi yapılandırılmış içerik ve genellikle tutarlı bir stil içeren özenle hazırlanmıştır.
Konuları, kullanıcıdan banka tarafından uygulanan veri ilkesi değişikliklerine izin vermesini istemekten veya yeni güvenlik prosedürlerini gözden geçirmelerini istemekten farklılık gösterir.
Kaynak: Cofense
Bu yaklaşım, aktörlerin hesap uzlaşması konusunda tipik abartılı iddialarda bulunmadığı ve kullanıcıya acil bir durum sunmadığı dikkatli bir planlamanın işaretidir.
Gömülü düğmeye tıklanırsa, kurban Google’ın feed proxy hizmeti ‘FeedBurner’dan geçtikten sonra kimlik avı sitesine ulaşır.
Kaynak: Cofense
Ayrıca, aktörler bu yeniden yönlendirmelerin yanı sıra kimlik avı sitelerinin kendileri için kullanılan kendi özel etki alanlarını kaydeder.
Bu ekstra adım, kimlik avı işlemi sırasında herhangi bir bayrak çekmemek için e-posta ve internet güvenliği çözümlerini kandırmayı amaçlamaktadır.
Etki alanları, REG.RU Rus kayıt şirketinde yeni kayıtlı sitelerdir ve hedeflenen bankaya bağlı olarak standart bir URL yapısını izler.
Bize kimlik bilgilerinizi vermek için bu QR kodunu tarayın
En son kimlik avı kampanyalarında, tehdit aktörleri kurbanları kimlik avı sitelerine götürmek için düğmeler yerine QR kodları kullanır.
Bu e-postalar açık metin URL’leri içermez ve bunun yerine QR kodları aracılığıyla karartılır, bu da güvenlik yazılımının bunları algılamasını zorlaştırır.
Kaynak: Cofense
QR kodları, internet güvenlik araçları tarafından korunma olasılığı daha düşük olan mobil kullanıcıları hedef aldıkları için etkinliği artırmıştır.
Kurban kimlik avı sitesine ulaştığında, banka konumlarını, kodlarını, kullanıcı adlarını ve PIN’lerini girmeleri istenir.
Kaynak: Cofense
Bu ayrıntılar kimlik avı sayfasına girilirse, kullanıcı doğrulamayı bekler ve yanlış oldukları için kimlik bilgilerini yeniden girmesi istenir.
Kaynak: Cofense
Bu yineleme, kullanıcı kimlik bilgilerini ilk kez girdiğinde yazım hatalarını ortadan kaldırmak için kimlik avı kampanyalarında yaygın bir kalite taktiğidir.
Bir e-posta ne kadar meşru görünürse görünsün, sizi harici bir siteye götürecek düğmelere, URL’lere ve hatta QR kodlarına tıklamaktan kaçınmalısınız.
Hesap kimlik bilgilerinizi girmeniz istendiğında, yazmaya başlamadan önce her zaman açık olduğunuz etki alanını doğrulamayı unutmayın.