Saldırganlar, Bilgi Çalmak İçin WhatsApp Sesli Mesaj Uyarılarını Taklit Ediyorlar
Araştırmacılar, saldırganların, bilgi çalan kötü amaçlı bir yazılımı yaymak için meşru bir domain’i kullanan kötü niyetli bir oltalama saldırısının, WhatsApp'tan gelen sesli mesaj bildirimlerini taklit ettiğini keşfetti.
Bulut e-posta güvenlik firması Armorblox'taki araştırmacılar, Moskova, Rusya bölgesinde bulunduğuna inanılan bir kuruluş olan Karayolu Güvenliği Merkezi ile ilişkili etki alanından gönderilen e-postaları kullanarak Office 365 ve Google Workspace hesaplarını hedefleyen kötü amaçlı saldırıyı keşfetti. Salı günü yayınlanan bir blog yazısına göre, sitenin kendisi Moskova için devlet yol güvenliği operasyonlarına bağlı olduğu ve Rusya Federasyonu İçişleri Bakanlığı'na ait olduğu için meşrudur.
Araştırmacılar, kurbanların sohbet uygulamasında " New Incoming Voice message"ları olduğunu bildirerek WhatsApp'ı taklit eden ve onları oynatmalarına izin veren bir bağlantı içeren saldırı ile saldırganların şimdiye kadar yaklaşık 27.660 posta kutusuna ulaştığını söyledi. Araştırmacılar, hedeflenen kuruluşların sağlık, eğitim ve perakende satışını içerdiğini söyledi.
Armorblox Ürün Pazarlama Müdürü Lauryn Cash gönderide, saldırının "geleneksel e-posta güvenlik filtrelerini aşmak ve şüphelenmeyen kurbanların göz testlerini geçmek için bir dizi teknik kullanıyor" diye yazdı.
Cash, bu taktiklerin kurbanlara gönderilen e-postalarda güven ve aciliyet yaratarak sosyal mühendisliği, WhatsApp'ı taklit ederek marka kimliğine bürünmeyi, e-postaların gönderileceği meşru bir alandan yararlanmayı ve mevcut iş akışlarının kopyalanmasını (sesli mesajın e-posta bildirimi alınması) içerdiğini açıkladı.
Nasıl Çalışır:
Saldırının potansiyel kurbanları, “New Incoming Voice message” başlıklı ve e-posta body’sinde bu başlığı yineleyen header içeren bir e-posta alır. E-posta body’si, WhatsApp'tan gelen güvenli bir mesajı taklit eder ve kurbana, mesajı dinleyebilecekleri sözde bir "Play" düğmesi de dahil olmak üzere yeni bir özel sesli mesaj aldıklarını söyler.
E-posta gönderenin domain’i, Amorblox araştırmacılarının Moskova bölgesi sayfasının yol güvenliği merkezine bağlantılandırdığı "mailman.cbddmo.ru" domain’iydi. Bunun e-postaların hem Microsoft'un hem de Google'ın kimlik doğrulama kontrollerini geçmesine izin veren meşru bir site olduğunu söylediler. Ancak araştırmacılar, saldırganların kötü niyetli e-postaları göndermek için bu kuruluşun parent domain’inin kullanımdan kaldırılmış veya eski bir sürümünü kullanmalarının olası olduğunu kabul ettiler.
Gönderiye göre, alıcı e-postanın "Play" bağlantısını tıklarsa, trojan horse JS/Kryptik yüklemeye çalışan bir sayfaya yönlendirilir. Bu, tarayıcıyı kötü amaçlı bir URL'ye yönlendiren ve belirli bir açıktan yararlanmayı uygulayan, HTML sayfalarına gömülü, kötü niyetli, gizlenmiş bir JavaScript kodudur.
Hedef, kötü amaçlı sayfaya ulaştığında, kurbanın bir robot olmadığının onaylanması için bir onaylama istenir. Ardından, eğer kurban URL'deki popup bildiriminde "allow"a tıklarsa, bir tarayıcı reklam hizmeti kötü amaçlı yükü bir Windows uygulaması olarak yükleyerek yükün User Account Control’ü atlamasına izin verir.
Cash, “Kötü amaçlı yazılım yüklendikten sonra tarayıcıda depolanan kimlik bilgileri gibi hassas bilgileri çalabilir” dedi.
Şüphelenmeyen Tüketicileri Hedefleme:
Saldırı işletmelerden ziyade tüketicilere odaklanmış gibi görünse de kurbanların tuzağa düşmesi ve kötü amaçlı yazılımın yüklenmesi kurumsal ağlar için bir tehdit olabilir.
Şifreleme tabanlı bir veri güvenliği çözümleri şirketi olan Sotero'nun CEO'su ve kurucu ortağı Purandar Das, Threatpost'a yazdığı bir e-postada, "Tekniklerin karmaşıklığı ve gelişmişliği, ortalama bir tüketicinin kötü niyetli bir girişimi tespit etmesini çok zorlaştırıyor" dedi. "Kötü amaçlı yazılım deploy edildiğinde ve aktif olduğunda saldırganların iş bilgilerini toplayabilecekleri bir yol görebilirsiniz."
Başka bir güvenlik uzmanı, insanlar gerçek hayattaki iletişimden ziyade elektronik iletişimle gardlarını düşürdüğü için, tüketicileri hedeflemenin siber suçlular için başarılı bir yol olduğunu söyledi. Güvenlik firması KnowBe4'ün güvenlik farkındalığı savunucusu James McQuiggan, Threatpost'a bir e-postasında “Ortalama bir kişi, mesaj gönderen olduğunu iddia eden sosyal medya platformuna aşinaysa, genellikle çevrimiçi dolandırıcılıklara düşer” diye yazdı.
"Gerçek hayatta gördüklerinde, çoğu insan onları dolandırmaya çalışan birini tanıyacak" dedi ve yoldan geçen bir sahte markalı saat veya el çantası satmaya çalışan New York City sokak tüccarını örnek gösterdi. McQuiggan, "Çoğu insan sahte olduklarını anlayacak ve yürümeye devam edecek" dedi.
Fakat birçok kişi popüler bir mesajlaşma uygulamasından veya başka bir sosyal medya platformundan sesli mesaj aldığını iddia eden bir e-postayı dolandırma olarak fark edemeyebilir ve tuzağa düşebilir.
McQuiggan, "Kullanıcılar e-postalara çok fazla güveniyor" dedi. "Elektronik sosyal mühendisliğini veya dolandırıcılığı tespit etmek için sadece kuruluşlar için değil, herkes için daha fazla eğitim olması gerekiyor, böylece sokakta sahte bir saat veya el çantası satmaya çalışan biri gibi herkes tarafından açıkça görünebilsin."
- Geri Dön
- 8 dk okuma
-
Securvent