İngiltere’nin en popüler yalnızca dijital bankacılık platformlarından biri olan Monzo kullanıcıları, büyüyen bir kötü amaçlı web sitesi ağı tarafından desteklenen kimlik avı mesajlarının hedefi oluyor.
Monzo, dört milyondan fazla müşterisi olan ve geleneksel finansal yönetim sistemine meydan okuyan ilk kişilerden biri olan %100 çevrimiçi bankacılık platformudur.
Yalnızca mobil platform, zengin özelliklere sahip bir uygulama, bankamatik Mastercards ve henüz kapsamlı bir tamamen kusursuz değil dolandırıcılık tespit sistemi.
Güvenlik araştırmacısı William Thomas tarafından hazırlanan bir rapora göre, Monzo kullanıcılarını hedef alan ve hesaplarını çalmaya çalışan devam eden bir kimlik avı kampanyası var.
Bankacılık platformu ayrıca, müşterilerini dolandırıcılık belirtileri ve şüpheli görünen bir mesaj aldıklarında ne yapmamaları gerektiği konusunda uyarmak için Twitter’da yayınladı.
Dolandırıcılık Uyarısı: Kimlik Avı Dolandırıcılığı
Bu mesaj bankanızdan mı, aslında bankanızdan mı?
Hesabınızı metin yoluyla doğrulamanız için size hiçbir zaman bir bağlantı göndermeyiz veya herhangi bir hesap ayrıntısını doğrulamak için bir web sitesine giriş yapmanızı istemeyiz.
İşte bir kimlik avı dolandırıcılığının kırmızı bayrakları…
KONU pic.twitter.com/e71TscTLMw
— Monzo (georginamonzon) 16 Şubat 2022
Kimlik avı süreci
İçinde yeni raporThomas kimlik avı sürecinin, gönderenin adı olarak Monzo’yu gösteren ve alıcıdan oturumunu yeniden etkinleştirmek veya hesabını doğrulamak için sağlanan bağlantıya dokunmasını isteyen bir SMS metninin gelmesiyle başladığını açıklıyor.
Kullanıcılar, sahte bir e-posta oturum açma formu görüntüleyen ve ardından tam ad, telefon numarası ve Monzo PIN’i dahil olmak üzere Monzo hesapları hakkında bilgi isteyen bir kimlik avı sitesine götürülür.
Bu ayrıntılar sağlanırsa, tehdit aktörleri artık kurbanların Monzo hesaplarını ele geçirmeye başlamak için gereken her şeye sahip olacak.
Monzo uygulamasını tehdit aktörünün akıllı telefonu gibi yeni bir cihaza yüklerken, hizmet, kullanıcının e-posta adresine ilk giriş için bir cihaz doğrulama bağlantısı gönderir.
Tehdit aktörlerinin artık kurbanların e-posta hesaplarına erişimi olduğundan, bu “altın bağlantıya” tıklayabilir ve cihazlarını doğrulayarak Monzo hesabına tam erişim sağlayabilirler.
Bu bağlantıya erişim kazanmanın ciddiyeti, bağlantının asla başkalarıyla paylaşılmaması gerektiği konusunda uyaran Monzo tarafından gönderilen e-postalarda gösterilmektedir.
E-posta hesabı 2FA tarafından korunuyorsa Thomas, rakiplerin ek sosyal mühendislik adımlarıyla veya OTP çalma botları kullanarak bunun üstesinden gelebileceğine inanıyor.
Kimlik avı siteleri kurma
Thomas, tehdit aktörlerinin Monzo kimlik avı açılış sayfasını oluşturmak için Cazanova Morfin kitini kullandığını ve bazı örnek alan adlarının aşağıda listelendiğini söylüyor:
- monzo-bildirim[.]ile birlikte
- monzo-çevrimiçi-destek[.]ile birlikte
- monzo-kontrol[.]ile birlikte
- monzo-kart desteği[.]ile birlikte
- monzo değiştirme[.]ile birlikte
- uyarı-monzo[.]ile birlikte
Yukarıdakilere ek olarak, araştırmacı aynı ASN’de popüler bir çevrimiçi ödeme hizmeti olan Revolut kullanıcılarını hedefleyen dört alan da fark etti.
- isyan-iptal-destek[.]ile birlikte
- devrim iptali[.]ile birlikte
- isyan-iptal-çevrimiçi[.]ile birlikte
- oturum açma-devrim-çözme[.]ile birlikte
Thomas blog yazısında, “URLscan.io aracılığıyla alan adının kendisinde yapılan araştırma, 11 Kasım 2021’e kadar uzanan 33 benzer siteyi daha ortaya çıkardı” dedi.
“34 alanın tümü, NForce Entertainment (AS43350) ile Rus IP alanında aynı üç CIDR’de barındırıldı. İlginç bir şekilde, Monzo temalı alan adları ayrıca iki Guangdong tabanlı Kayıt Şirketi (Eranet ve NiceNic) kullandı.”
Çinli kayıt operatörleri ile Rus IP adreslerini karıştırmak, ilişkilendirmeyi zorlaştırır ve kaldırma işlemlerini karmaşık hale getirerek kimlik avı sitelerinin çalışma süresini uzatır.
Hiçbir bağlantıya dokunmayın
Monzo, kullanıcıları herhangi bir şey hakkında bilgilendirmek istediğinde, yerleşik uygulama bildirimlerini veya resmi web sitesindeki hesap portalını kullanır.
Monzo, bildirim göndermek için SMS kullanmaz ve platform, kullanıcıları asla uygulamanın dışından herhangi bir bağlantıyı takip etmeye teşvik etmez.
Bu bağlantılara dokunduysanız ve oyunculara herhangi bir giriş bilgisi verdiyseniz, hesap şifrelerinizi hemen sıfırlayın ve hem e-posta hem de Monzo hesaplarınızda MFA’yı etkinleştirin.