- Bordro Korsanları, kimlik bilgilerini ve MFA kodlarını çalmak için reklamlar aracılığıyla İK platformlarını aldattı
- Yaklaşık yarım milyon kullanıcıyı etkileyen 200’den fazla platform hedeflendi
- Telegram botları gerçek zamanlı kimlik avını, Kazakistan, Vietnam ve gizlenmiş alan adlarını kapsayan altyapıyı etkinleştirdi
Dolandırıcılar sahtekarlık yapıyor bordro sistemleriUzmanlar, oturum açma kimlik bilgilerini ve çok faktörlü kimlik doğrulama (MFA) kodlarını çalmak amacıyla ABD çapındaki kredi birlikleri ve ticaret platformlarını uyardı.
Check Point’teki siber güvenlik araştırmacıları faillerin adını verdiMaaş Bordrosu Korsanlarıgibi popüler ağlarda ücretli reklamlar kullananlar Google veya Bing sahte maaş bordrosu ve İK portallarının reklamını yapmak.
Mağdur bir çalışan, tercih ettiği platformu aradığında (adres çubuğuna yalnızca adresi yazmak yerine), sahte sitenin en üstte tanıtıldığını görüyordu. Farkında olmadan bağlantıya tıklayıp oturum açmaya çalışanlar kimlik bilgilerini saldırganlara etkili bir şekilde aktardı.
Daha güçlü dönüyoruz
Araştırmacılar, zamanla operasyonun 200’den fazla platformu hedef aldığını ve tahminen yarım milyon kullanıcıya ulaştığını iddia ediyor.
Kampanya, 2023’ün sonlarında hareketsiz görünüyordu, ancak 2024’ün ortasında, kampanyanın saldırıları atlatabilen yükseltilmiş kimlik avı kitleriyle geri döndü. iki faktörlü kimlik doğrulama.
Operatörler, mağdurlarla gerçek zamanlı etkileşim kurmak için Telegram botlarını kullandı ve tek seferlik kodlar ve diğer güvenlik yanıtlarını talep etti. Kitlerin arka ucu da veri sızma yollarını gizleyecek şekilde yeniden tasarlandı; bu da altyapının tespit edilmesini veya ortadan kaldırılmasını çok daha zorlaştırdı.
Grup iki büyük altyapı kümesini işlettiği için Check Point bunun birden fazla farklı kampanya olduğuna inanıyordu.
Biri Google Ads’ü ve Kazakistan ve Vietnam’da barındırılan “beyaz sayfa” yönlendirmelerini kullanırken, diğeri Bing Ads’e ve gizleme hizmetleri aracılığıyla filtrelenen eski alanlara güveniyor. Ancak daha sonra yapılan araştırmalar, bunların hepsinin tek ve birleşik bir ağın parçası olduğunu belirledi. Kayıtlar, maaş bordrosu platformları, kredi birlikleri ve sağlık yardım portalları gibi farklı hedeflere bağlı Telegram kanallarını yöneten en az dört yöneticiyi gösteriyor.
Hatta yöneticilerden birinin Odessa’dan bir video yayınladığını ve operatörlerden en az birinin Ukrayna’da olduğu sonucuna vardıklarını bile buldular. Check Point, maaş bordrosu korsanlarının aktif olmaya devam ettiğini, sürekli olarak taktiklerini geliştirdiklerini ve maaşları çevrimiçi ortamda hareket eden herkesi hedef aldıklarını belirtti.
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.