YÜKLENİYOR

Arama Yapın

Sektörel Haberler

FedEx Kimlik Avı Saldırısında 10.000 Microsoft E-Posta Kullanıcısı Vuruldu

Paylaş

Microsoft kullanıcıları, posta kuryeleri FedEx ve DHL Express’ten geliyormuş gibi görünen e-postalar alıyor – ancak bu gerçekten kimlik bilgilerini çalıyor.

Araştırmacılar, en az 10.000 Microsoft e-posta kullanıcısını hedef alan ve FedEx ve DHL Express dahil olmak üzere popüler posta kuryelerinden geliyormuş gibi görünen son kimlik avı saldırıları konusunda uyarıda bulunuyorlar.

Her iki dolandırıcılık da Microsoft e-posta kullanıcılarını hedefledi ve iş e-posta hesabı kimlik bilgilerini kaydırmayı amaçlıyor. Ayrıca, Quip ve Google Firebase’de bulunanlar da dahil olmak üzere meşru alanlarda barındırılan kimlik avı sayfalarını kullandılar – e-postaların bilinen kötü bağlantıları engellemek için oluşturulmuş güvenlik filtreleri tarafından kaymasına izin verdi.

Salı günü Armorblox’tan araştırmacılar, “E-posta başlıkları, gönderen adları ve içeriği, gerçek niyetlerini gizlemek ve kurbanların e-postaların gerçekten sırasıyla FedEx ve DHL Express’ten geldiğini düşünmelerini sağlamak için yeterli oldu” dedi. “FedEx tarafından taranan belgeler veya kaçırılan DHL teslimatları konusunda bizi bilgilendiren e-postalar olağandışı değildir; Çoğu kullanıcı, herhangi bir tutarsızlık için ayrıntılı olarak incelemek yerine bu e-postalar üzerinde hızlı işlem yapma eğiliminde olacaktır. “

FedEx Kimlik Avı E-postaları: Quip Kullanımı, Google Firebase

Amerikan çok uluslu dağıtım hizmetleri şirketi FedEx’in sahte kimlik avı e-postası, e-postanın gönderildiği tarihi içeren “Size yeni bir FedEx gönderdiniz” başlığını taşıyordu.


Bu e-posta, belgenin kimliği, sayfa sayısı ve türü gibi yasal görünmesini sağlamak için belge hakkında bazı bilgilerin yanı sıra sözde belgeyi görüntülemek için bir bağlantı içeriyordu. Alıcılar e-postayı tıklarsa, Quip’te barındırılan bir dosyaya götürülürler. Ücretsiz bir sürümle gelen Quip, Salesforce için belgeler, elektronik tablolar, slaytlar ve sohbet hizmetleri sunan bir araçtır.

Araştırmacılar, “Google Sites, Box ve Quip (bu durumda) gibi meşru hizmetlerde kimlik avı sayfaları barındıran kötü niyetli kişilerin devam eden bir eğilimini gözlemledik” dedi. “Bu hizmetlerin çoğunun ücretsiz sürümleri var ve kullanımı kolay, bu da onları dünya çapında milyonlarca insan için faydalı kılıyor, ancak maalesef siber suçluların başarılı kimlik avı saldırıları başlatma çıtasını da düşürüyor.”

Bu sayfa FedEx logosunu içeriyordu ve “Gelen bazı FedEx dosyaları aldınız” başlığını taşıyordu. Daha sonra kurbanların sözde belgeyi gözden geçirmeleri için bir bağlantı içeriyordu. Kurbanlar bu sayfayı tıkladıktan sonra, sonunda Google tarafından mobil ve web uygulamaları oluşturmak için geliştirilen bir platform olan Google Firebase’de barındırılan Microsoft oturum açma portalına benzeyen bir kimlik avı sayfasına yönlendirileceklerdi. Google Firebase, tespit edilmekten kaçınmak için geçen yıl kimlik avı saldırıları tarafından giderek daha fazla kullanılmaktadır.

Bir kurban sayfaya kimlik bilgilerini girerse, giriş portalını kurbandan doğru ayrıntıları girmesini isteyen bir hata mesajıyla yeniden yükledi.

Araştırmacılar, “Bu, girilen ayrıntıların doğruluğunu kontrol eden bir arka uç doğrulama mekanizmasına işaret edebilir” dedi. “Alternatif olarak, saldırganlar olabildiğince çok e-posta adresi ve şifre toplamak istiyor olabilir ve girilen ayrıntılardan bağımsız olarak hata mesajı görünmeye devam edecek.”

DHL Express Kimlik Avı Saldırısı: Meraklı Adobe Oturum Açma İstemi
Ayrı bir kampanya, Alman uluslararası kurye DHL Express’in kimliğine büründü ve alıcılara, başlığın sonunda e-posta adresleri ile “Kargonuzun geldiğini” bildiren e-postalar.

E-posta alıcılara, yanlış teslimat bilgileri nedeniyle bir paketin kendilerine teslim edilemediğini ve bunun yerine paketin postaneden teslim alınmaya hazır olduğunu söyledi.

E-posta, alıcılardan teslimatlarını almak istiyorlarsa ekli “nakliye belgelerini” kontrol etmelerini istedi. Ekteki belge, açıldığında nakliye belgelerine benzeyen bir elektronik tablonun önizlemesini görüntüleyen bir HTML dosyasıydı (“DENİZCİLİK BELGESİ” başlıklı).

Önizleme, Adobe’nin PDF okuyucusunu taklit eden bir oturum açma isteği kutusuyla katmanlı hale getirildi. Araştırmacılar, saldırganların Adobe kimlik bilgileri için kimlik avı yapmaya çalıştıklarını, ancak daha çok kurbanların iş e-posta kimlik bilgilerini almaya çalıştıklarını belirtti.


Araştırmacılar, “Giriş kutusundaki e-posta alanı, kurbanın iş e-postası ile önceden doldurulmuş” dedi. “Saldırganlar, kurbanların harekete geçmeden önce düşünmelerini ve Adobe markasına çok fazla dikkat etmeden iş e-posta şifrelerini bu kutuya girmelerini istiyor.”

FedEx kimlik avı saldırısına benzer şekilde, kurbanlar ayrıntılarını bu sayfaya girdiklerinde bir hata mesajı döndürdü.

COVID-19 Trendlerinden Yararlanma
COVID-19 ile daha fazla insanın kişisel mağazalardan ziyade mallar, bakkaliye ürünleri ve çeşitli ev aksesuarları satın almak için çevrimiçi platformlara yönelmesini sağlamak, çevrimiçi nakliye tüm zamanların en yüksek seviyesinde.

Siber suçlular, bu son kimlik avı e-postalarında görüldüğü gibi, bundan yararlanıyorlar – ancak Covid-19 yardım fonlarından, aşı dağıtımlarından ve kişisel koruyucu ekipman (PPE) ihtiyaçlarından birçok başka cezbedici cezalardan da yararlandılar.

Armorblox Müşteri Başarısı direktörü Preet Kumar, Threatpost’a verdiği demeçte, “Pandemi sırasında hepimiz çevrimiçi teslimatlar alıyoruz, genellikle temassız teslimatlar yapıyoruz ve FedEx / DHL ile posta yazışmalarında bulunmak artık hayatımızın ortak bir parçası” dedi. “Saldırganlar, bu e-postanın meşruiyetini satın alan mağdurlara güveniyor ve çok fazla düşünmeden hızlı işlem yapıyor.”

Kaynak: https://threatpost.com/
Yazan: Lindsey O’Donnell 23.02.2021