PayPal kullanıcılarını hedefleyen yeni keşfedilen bir kimlik avı kiti, hükümet kimlik belgelerini ve fotoğraflarını içeren mağdurlardan çok sayıda kişisel bilgi çalmaya çalışıyor.
400 milyondan fazla kişi ve şirket PayPal'ı çevrimiçi ödeme çözümü olarak kullanıyor.
Kit, saldırıya uğramış meşru WordPress web sitelerinde barındırılır ve bu da algılamadan belirli bir dereceye kadar kaçınmasına izin verir.
İnternet teknolojisi şirketindeki araştırmacılar Akamai, tehdit oyuncusu WordPress Honeypot'a ektikten sonra kimlik avı kitini buldular.
Tehdit oyuncusu, kötü güvenli web sitelerini hedefler ve brute, çevrimiçi bulunan ortak kimlik bilgisi çiftlerinin bir listesini kullanarak oturum açmalarını zorlar. Bu erişimi, kimlik avı kitinin ihlal edilen siteye yüklenmesini sağlayan bir dosya yönetimi eklentisi yüklemek için kullanırlar.
Akamai, kimlik avı kitinin tespitten kaçınmak için kullandığı bir yöntemin, siber güvenlik endüstrisindeki bazı kuruluşlar da dahil olmak üzere belirli bir şirket kümesine ait alanlara IP adreslerini çapraz referans yapmak olduğunu keşfetti.
Araştırmacılar, kimlik avı kitinin yazarının, hileli sayfanın profesyonel görünmesini ve orijinal PayPal sitesini mümkün olduğunca taklit etmek için çaba gösterdiğini fark ettiler.
Gözlemledikleri bir husus, yazarın URL'yi yeniden yazmak için HTAccess kullanmasıydı, böylece PHP dosyasının uzantısı ile bitmiyor. Bu, meşruiyet kazandıran daha temiz, daha parlak bir görünüme katkıda bulunur.
Ayrıca, formlardaki tüm grafik arayüz öğeleri PayPal'ın temasından sonra şekillendirilmiştir, bu nedenle kimlik avı sayfaları görünüşte otantik bir görünüme sahiptir.
Bir kurbanın kişisel verilerini çalmak, onlara yanlış bir meşruiyet duygusu yaratan bir adım olan bir captcha mücadelesi sunmakla başlar.
Bu aşamadan sonra, kurbandan otomatik olarak tehdit oyuncusuna teslim edilen e -posta adreslerini ve şifrelerini kullanarak PayPal hesaplarına giriş yapmaları istenir.
Yine de hepsi bu değil. Mağdurun hesabıyla ilişkili "olağandışı faaliyet" bahanesi altında, tehdit oyuncusu daha fazla doğrulama bilgisi istiyor.
Sonraki bir sayfada, kurbandan kart doğrulama kodu, fiziksel adres, sosyal güvenlik numarası, annenin kızlık soyadı ile birlikte ödeme kartı verilerini içeren bir dizi kişisel ve finansal detay sağlaması istenir.
Kimlik avı kitinin kurbandan gelen tüm kişisel bilgileri sıkmak için inşa edildiği anlaşılıyor. Tipik olarak kimlik avı dolandırıcılıklarında toplanan kart verilerinin yanı sıra, bu aynı zamanda Sosyal Güvenlik numarasını, annenin kızlık soyadı ve hatta kartın ATM makinelerindeki işlemler için pin numarasını talep eder.
Bu kadar çok bilgiyi toplamak kimlik avı kitleri için tipik değildir. Ancak, bu daha da ileri gider ve kurbanlardan e -posta hesaplarını PayPal'a bağlamalarını ister. Bu, saldırgana sağlanan e -posta adresinin içeriğine erişmek için kullanılabilecek bir jeton verir.
Büyük miktarda kişisel bilgi toplamasına rağmen, tehdit oyuncusu bitmedi. Bir sonraki adımda, kurbandan kimliklerini doğrulamak için resmi kimlik belgelerini yüklemelerini isterler.
Kabul edilen belgeler pasaport, ulusal kimlik veya ehliyettir ve yükleme prosedürü, tıpkı PayPal veya meşru bir hizmetin kullanıcılarından soracağı gibi belirli talimatlarla birlikte gelir.
Siber suçlular, tüm bu bilgileri, kimlik hırsızlığı ile ilgili herhangi bir şeyden para aklamaya (örn. Kripto para ticaret hesapları oluşturma, şirketler kaydetmek) ve bankacılık hesaplarını veya klonlama ödeme kartlarını devralmak için hizmet satın alırken anonimlik korumaya kadar çeşitli yasadışı faaliyetler için kullanabilirler.
Hükümet belgelerini yüklemek ve bunları doğrulamak için bir selfie almak, bir kurban için kredi kartı bilgilerini kaybetmekten daha büyük bir top oyunudur - mağdurun adı altında kripto para ticaret hesapları oluşturmak için kullanılabilir. Bunlar daha sonra para aklamak, vergilerden kaçmak veya diğer siber suçlar için anonimlik sağlamak için kullanılabilir. - Akamai
Kimlik avı kiti sofistike görünse de, araştırmacılar dosya yükleme özelliğinin bir web kabuğu yüklemek ve tehlikeye atılan web sitesinin kontrolünü ele geçirmek için kullanılabilecek bir güvenlik açığı ile geldiğini keşfettiler.
Talep edilen büyük miktarda bilgi şartıyla, aldatmaca bazı kullanıcılar için açık görünebilir. Bununla birlikte, Akamai araştırmacıları, kiti başarılı kılan bu sosyal mühendislik unsurunun olduğuna inanıyorlar.
Kimlik doğrulamasının bu günlerde normal olduğunu ve bu birçok şekilde yapılabileceğini açıklıyorlar. Araştırmacılar, "İnsanlar bu günlerde markaları ve şirketleri güvenlik önlemleri konusunda değerlendiriyorlar." Diyor.
CAPTCHA Mücadelesi Sinyallerinin Başından beri Ek Doğrulamanın Beklenebileceği Sinyalleri. Meşru hizmetlerle aynı yöntemleri kullanarak, tehdit oyuncusu kurbanın güvenini sağlamlaştırır.
Kullanıcılara hassas bilgi isteyen bir sayfanın alan adını kontrol etmeleri tavsiye edilir. Ayrıca, kimlik doğrulamasının düzenli olup olmadığını kontrol etmek için tarayıcıya manuel olarak yazarak hizmetin resmi sayfasına gidebilirler.
Microsoft: Kimlik avı, 10.000 orgs'a karşı saldırılarda MFA'yı atladı
Bilgisayar korsanları gazeteci olarak News Media Org’un ağlarını ihlal etmek için poz veriyor
Saldırganlar, savunmasız eklenti için 1.6 milyon WordPress sitesini tarar
Büyük ölçekli UNISWAP Airdrop Kimlik Avı Saldırısında 8 milyon dolar çalındı
Bilgisayar korsanları siber güvenlik firmalarını geri dönüş kimlik avı saldırılarında taklit ediyor
Kaynak: Bleeping Computer