E-posta odaklı bir güvenlik firması, inançlı olmayan Amerikan Express ve Snapchat sitelerini amaç alan bir kimlik avı saldırısı olduğunu açıkladı. Tespit edilen dolandırıcılık metodu korsanların kurbana bir yönlendirme URL’sine müsaade veren, trafiği kullanıcı bilgilerini çalmak için kullanan ve geçersiz sitelere yönlendiren usullerle yapıyorlar.
Maryland merkezli güvenlik şirketi Inky Security, mayıs ortasından temmuz ortasına kadar güvenlik açığıyla ilgili hücum aktifliğini izledi. Kimlik avı saldırısı, şüphelenilmeyen Google Workspace ve Microsoft 365 kullanıcılarının kimlik bilgilerini öğrenmek ve toplamak için güvenlik açığına ( CWE-601) ve tanınan marka tanınırlığına dayanıyor.
Bu hücumlar ayrıyeten Snapchat ve Amerikan Express üzere siteleri de gaye aldı. Snapchat tabanlı ataklar, iki buçuk aylık bir müddet içinde 6.800’den fazla taarruzla sonuçlandı. Amerikan Express tabanlı taarruzlar ise çok daha tesirliydi ve yalnızca iki günde 2.000’den fazla kullanıcıyı etkiledi.
Dolandırıcıların kullandığı uydurma Microsoft Office maili ve yönlendirdikleri site
Snapchat tabanlı uydurma e-postalar kullanıcıları, kullanıcı kimlik bilgilerini toplamak için uydurma DocuSign, FedEx ve Microsoft sitelerine yönlendirdi. Snapchat’in yönlendirme güvenlik açığı, bir yıldan daha uzun bir müddet evvel openbugbounty tarafından tespit edilmişti. Ne yazık ki bu güvenlik açığı hala giderilmemiş üzere görünüyor.
American Express, kullanıcıları Snapchat tabanlı ataklarda kullanılana emsal bir Office 365 giriş sayfasına yönlendiren bu güvenlik açığını gidermiş görünüyor.
Bu özel kimlik avı saldırısı üç temel tekniği kullanıyor: Marka kimliğine bürünme, kimlik bilgisi toplama ve ele geçirilen hesaplar.
Marka tanıma, kullanıcının kimlik bilgilerinin dolandırıcı siteye girilmesine ve bu siteden toplanmasına yol açan, potansiyel kurbana itimat duygusu yaratmak için tanınabilir logolara ve ticari markalara dayanıyor. Bilgisayar korsanları, bu bilgileri bir sefer topladığında çalınan bilgileri kâr emeliyle başka hatalılara satabilir yahut bilgileri kurbanın şahsî ve finansal bilgilerine erişmek ve elde etmek için de kullanabilirler.
