Google reCAPTCHA, Birden Çok Kimlik Avı Saldırısında Kötüye Kullanıldı

Sahte Google reCAPTCHA kullanan birden çok Microsoft temalı kimlik avı saldırısı keşfedildi. Bunlarda hackerlar, çeşitli kuruluşların üst düzey çalışanlarının kimlik bilgilerini arıyor. Zscaler’in raporuna göre, firma bu kampanyaya ait 2.500’den fazla kimlik avı e-postasını durdurdu.

Modus operant

Phishing kampanyalar Aralık 2020 yılından bu yana büyük ölçüde bankacılık sektöründe çalışan yüksek çalışanlara odaklanmıştır. Bu kimlik avı saldırıları muhtemelen tek bir koordineli kampanyanın parçasıdır.

  • İlk olarak, saldırganlar zararlı eklerle dolu kimlik avı e-postaları gönderir. Bu e-postalar, kurumsal iletişimi kolaylaştırmak için kullanılan birleşik bir iletişim sistemini taklit eder. 
  • Kurban ekli HTML dosyasını tıklar veya açar. Kullanıcıları kandırmak için gerçek bir Google reCAPTCHA sayfası gibi görünen bir .xyz kimlik avı alanına yönlendiriliyor.
  • ReCAPTCHA doğrulandıktan sonra, kurbanlara sahte bir Microsoft oturum açma kimlik avı sayfası sunuluyor. Ardından, kampanyaya meşruiyet katmak için sahte doğrulama mesajı gösteriliyor.
  • Microsoft kimlik avı kampanyalarının saldırı döngüsü .xyz, .club ve .online genel Üst Düzey Etki Alanlarında (TLD’ler) barındıyor. Bu saldırılarda kullanılan diğer kimlik avı etki alanını içerir.

Genel TLD’lerin kullanımı

Tüm süre boyunca, farklı saldırı kampanyaları için çeşitli TLD’ler var:

  • .xyz TLD kampanyası : Hackerlar dosyayı, birleşik iletişim sisteminden gelmiş görünen HTML dosya eki olarak yüklüyor. Ve sesli posta olduğu iddia edilen bir spam e-posta gönderir.
  • .club TLD kampanyası: .xyz TLD kimlik avı kampanyasıyla aynı saldırı modelini izler. Ancak sahte reCAPTCHA da, sahte Microsoft ekranı kullanılıyor. Ve kullanıcıya barındırılan bir PDF dosyası göstererek sona erer.
  • .online TLD kampanyası: Bu kimlik avı kampanyasında, saldırganlar, kullanıcılara “GÜVENLİ BELGEYİ İNCELE” yazan bir yönerge göderir. Ayrıca saldırı bağlantısını içeren PDF dosyası gönderir.

Sahte reCAPTCHA Saldırsından Korunma

Başkan yardımcıları ve genel müdürler gibi üst düzey iş liderlerini hedefleyen bu saldırı kampanyaları, saldırganların daha yüksek düzeyde erişim gerektiren hassas verilerle ilgilendiğini gösteriyor. Bunlar yaşanmaması için, kurumların erişim sınırlandırmaları tavsiye edildi. İki faktörlü kimlik doğrulama uygulaması öneriliyor.

Benzer haberler için buraya tıklayınız.

Kaynak: cyware.com

En son haberler

İlgili haberler