Tehdit aktörleri, kurbanlardan ticari ve finansal bilgileri çalmak için Pfizer’in kimliğine bürünen, yüksek oranda hedeflenmiş bir kimlik avı kampanyası yürütüyor.
Pfizer, COVID-19’a karşı şu anda mevcut olan birkaç mRNA aşısından birini üretmek için geniş bir tanıtımdan yararlanan tanınmış bir ilaç şirketidir.
Kimlik avı aktörleri, kurgusal bir varlığın kimliğine bürünmeye kıyasla başarı şansları önemli ölçüde arttığından, yaygın olarak bilinen marka adlarından yararlanmayı amaçlar.
tarafından yeni bir raporda MÜKEMMEL, araştırmacılar, tehdit aktörlerinin 15 Ağustos 2021 civarında başlayan bir kimlik avı e-posta kampanyasında Phizer’ı taklit ettiğini açıklıyor.
Bu kampanyanın arkasındaki aktörler, “temiz” PDF eklerini resmi Pfizer çevrimiçi alanları olarak görünen yeni kayıtlı alan adlarıyla birleştirerek kimlik avı operasyonlarında gayretlidir.
Ardından, e-posta koruma çözümlerini atlamak için kimlik avı e-posta dağıtımı için bu etki alanlarından e-posta hesapları oluştururlar.
Alan adları, ödeme yöntemi olarak kripto para birimini kabul eden ve oyuncuların anonim kalmasına izin veren Namecheap aracılığıyla kaydedildi.
INKY tarafından görülen örneklerden bazıları şunlardır:
- pfizer-nl[.]ile
- pfizer-bv[.]kuruluş
- pfizerhtlinc[.]xyz
- pfizertenders[.]xyz
İlki, pfizer-nl[.]com, birinin şirketin ofisinin bulunduğu bir ülke olan Pfizer Hollanda’nın resmi çevrimiçi portalı olduğuna inandırabilir.
Hassas bir tuzak
Konu satırları genellikle aşağıda gösterildiği gibi acil teklifler, teklif davetleri ve endüstriyel ekipman tedariki ile ilgili konuları içerir.
Yeni COVID-19 varyantlarının dörtnala yayılması nedeniyle, kimlik avı aktörleri bu e-postalarda bir aciliyet hissini ifade etmekte pek zorluk çekmiyor.
INKY analistleri tarafından görülen 400 örneğin çoğunda, oyuncular son tarihleri, ödeme koşullarını ve meşru bir fiyat teklifi talebi oluşturan diğer ayrıntıları tartışan profesyonel görünümlü üç sayfalık bir PDF belgesi kullanıyor.
PDF, e-posta güvenlik araçlarında işaretler oluşturacak kötü amaçlı yazılım bırakma bağlantıları veya kimlik avı URL’leri ile donatılmamış ve sahtekarlığı belirgin hale getirecek herhangi bir yazım hatası içermiyor.
Ancak, alıcılardan, fiyat tekliflerini aşağıdaki gibi taklit edilen Pfizer etki alanı adreslerine göndermeleri istenir: alıntı@pfizerbvl[.]ile veya alıntı@pfizersupplychain[.]ile.
Kampanyanın tam amacı net olmasa da ödeme koşullarının PDF’de yer alması, tehdit aktörlerinin bir noktada alıcıdan banka bilgilerini paylaşmalarını talep edeceklerinin bir göstergesi.
Ödeme bilgileri sağlanırsa, saldırganlar tarafından gelecekteki BEC kampanyalarında hedeflenen şirketin müşterilerine karşı kullanılabilir.
Ayrıca, oyuncular ilk temasta kişisel bilgi istemezler, bu da alıcıların kalkanlarını indirmelerine yardımcı olur.
Bu e-postalara yanıt vermek, kurbanı yalnızca daha sonra aldatmaya iter, çünkü daha sonra prestijli bir firma ile kazançlı bir anlaşma imzalamayı umarlar.
Olağandışı teklif talepleri olan e-postalar alırken, şirketle normal numaralarından iletişime geçmek ve kişiyle konuşmayı istemek her zaman daha güvenlidir.
Kişi firmada çalışmıyorsa veya bu e-postalardan habersiz ise gelen talepleri görmezden gelerek e-postaları silebilirsiniz.