Dijital Dünyada Tehditler: TikTok Shop Kullanıcılarına Yönelik Kötü Amaçlı Saldırılar
Son zamanlarda, siber güvenlik araştırmacıları, TikTok Shop kullanıcılarını hedef alan geniş çaplı bir kötü niyetli kampanyayı gün yüzüne çıkardı. Bu kampanya, kullanıcıların kimlik bilgilerini çalma ve trojan uygulamalar dağıtma amacı gütmektedir. CTM360 araştırma şirketinin belirttiğine göre, bu tehdit aktörleri, TikTok’un resmi in-app e-ticaret platformunu iki aşamalı bir saldırı stratejisi ile istismar ediyor. Bu strateji, oltalama ve kötü amaçlı yazılım kullanarak kullanıcıları hedef almayı içeriyor.
Olayın Detayları: ClickTok Kampanyası
Kampanyaya verilen kod adı ClickTok, BAE merkezli siber güvenlik şirketi tarafından, tehdidin çok aşamalı dağıtım stratejisine dikkat çekmek için kullanılıyor. Bu strateji, Meta (Facebook) reklamlarını ve yapay zeka (AI) ile oluşturulmuş TikTok videolarını içermektedir. Bu videolar, influencer gibi görünen sahte karakterler veya resmi marka elçileri tarafından sunulmaktadır.
Çalışmanın merkezi, gerçek TikTok URL’lerine benzeyen benzer alan adları kullanılmasıdır. Şu ana kadar, 15.000’den fazla bu tür taklit web sitesi tespit edilmiştir. Bu alan adlarının büyük çoğunluğu, .top, .shop ve .icu gibi üst düzey alan adları üzerinde barındırılmaktadır. Bu alanlar, kullanıcı kimlik bilgilerini çalmaya yönelik oltalama sayfalarını veya Android ve iOS cihazlarından veri toplayabilen SparkKitty adlı bir kötü amaçlı yazılımı dağıtmak üzere tasarlanmıştır.
Phishing ve Kötü Amaçlı Uygulama Dağıtımı
Bu oltalama sayfaları, kullanıcılara sahte ürünlisteleri ve yüksek indirimler sunarak kripto para birimi yatırmaya teşvik ediyor. CTM360, kullanıcıları TikTok Shop olarak sunulan kötü amaçlı uygulamayı indirmeye yönlendiren 5.000’den fazla URL tespit ettiğini bildirmektedir.
Bu dolandırıcılık kampanyası, sahte ads, profiller ve AI destekli içerik ile gerçek TikTok Shop etkinliklerini taklit ederek kullanıcılara ulaşmaktadır. Sahte reklamlar, Facebook ve TikTok gibi platformlarda yayılmakta; bu da kullanıcıları düşük fiyat satışlarına ilgi duymaya iterken, dolandırıcılık sayfalarına yönlendirmektedir.
Üç Aşamalı Hedef Stratejisi
Kötü niyetli kampanyanın üç ana hedefi bulunmaktadır:
- Aldatıcı ürünler sunarak kullanıcıları yanıltmak ve ürünlerin kripto para birimi ile ödenmesini istemek.
- Kripto para birimi yatırımlarını artırmayı vaat ederek sahte cüzdanlar oluşturmak; bunun sonucunda kullanıcıların yatırımlarının kaybolmasını sağlamak.
- Sahte giriş sayfaları kullanarak kullanıcı kimlik bilgilerini çalmak veya tehdit aktörlerinin kullanıcıyı trojanize edilmiş TikTok uygulamasını indirmesi için yönlendirmek.
Kötü Amaçlı Uygulama ve İçerdiği Riskler
Bir kez kurulduğunda, kötü amaçlı uygulama kullanıcıyı e-posta hesabı ile giriş yapmaya yönlendiriyor. Ancak, bu girişler sürekli olarak başarısız oluyor; böylece kullanıcı, alternatif bir giriş yöntemi olarak Google hesabını girmeye teşvik ediliyor. Bu yöntem, geleneksel doğrulama akışlarını atlatmayı ve yetkisiz erişim için OAuth tabanlı bir oturum belirteci kullanmayı hedefleyerek tasarlanmıştır.
Eğer kullanıcı, TikTok Shop bölümüne erişmeye çalışırsa, onları yeniden sahte bir giriş sayfasına yönlendirerek kimlik bilgilerini çalmaya çalışmaktadır. Bu uygulamada ayrıca, SparkKitty adı verilen bir kötü amaçlı yazılım mevcuttur. Bu yazılım, cihaz parmak izleri alabilmekte ve fotoğraf galerilerindeki ekran görüntülerini analiz ederek kripto para cüzdanı şifrelerini sızdırabilmektedir.
Genişleyen Oltalama Kampanyaları
Bu açıklama, oldukça karmaşık bir oltalama kampanyası olarak adlandırılan CyberHeist Phish‘in detaylarıyla da bir arada sunulmuştur. Google Ads ve çok çeşitli oltalama bağlantıları kullanarak, kurumsal çevrimiçi bankacılık sitelerini arayan kurbanları kandırarak sahte sayfalara yönlendirmektedir. Bu operasyonda, iki faktörlü kimlik doğrulamanızın her aşamasında gerçek zamanlı etkileşim ile bilgi toplama gibi sofistike yaklaşımlar kullanılmaktadır.
Sonuç olarak, siber dolandırıcılık faaliyetleri gün geçtikçe daha karmaşık hale gelmekte ve kurbanlarını daha etkili bir şekilde hedef almaktadır. Uygulama kullanıcıları ve dijital platform kullanıcıları, bu tür saldırılara karşı daha fazla dikkat göstermeli ve güvenliklerini artıracak önlemler almalıdır.
