Araştırmacılar, tehdit aktörlerinin, kurbanları ödeme kartı ve bankacılık kimlik bilgilerini çalmak için bir kimlik avı sitesine yönlendiren meşru bir kötü amaçlı reklam kampanyasında Amerika Birleşik Devletleri Posta Ofisi’nin (USPS) kimliğine büründüğünü buldu.
Malwarebytes Labs tehdit istihbaratı direktörü Jérôme Segura, USPS web sitesi aracılığıyla paketleri izlemek isteyen hem mobil hem de masaüstü kullanıcıları için Google aramalarında kötü amaçlı bir reklam göründüğünü açıkladı. bir blog yazısı 5 Temmuz yayınlandı.
“Tamamen güvenilir” görünse de, öyle değil, dedi. Bunun yerine, kurbanları önce adreslerini ve kredi kartı bilgilerini toplayan ve ardından doğrulama için banka hesaplarına giriş yapmalarını gerektiren ve sonunda bu bilgileri de çalan kötü amaçlı bir siteye yönlendirir.
Segura, kampanyayı ilk keşfeden kişi olarak Overt Operator’un pazarlama direktörü Jesse Baumgartner’dan alıntı yapıyor. Baumgartner, kendisini bir dolandırıcılık web sitesine yönlendiren bir paketi takip etmeye çalışırken yaşadığı deneyimin ekran görüntülerini paylaştı. LinkedIn gönderisi.
Malwarebytes Labs araştırmacıları, dolandırıcılığı kendileri bulmak için yola çıktılar ve “usp izleme” için basit bir Google araması yaparak orijinal görünen reklamı hemen bulabildiler.
“İnanılmaz bir şekilde, reklam snippet’i resmi web sitesini içeriyor Ve Amerika Birleşik Devletleri Posta Servisi’nin logosu ve yine de doğrulanmış yasal adı Анастасія Іващенко (Ukrayna) olan ‘reklamverenin’ bununla hiçbir ilgisi yok,” diye yazdı Segura.
Malwarebytes Labs, kampanyayı Google’a bildirdi ve Cloudflare, alanları zaten kimlik avı siteleri olarak işaretledi.
Kampanya, İnternette gizlenen kötü amaçlı reklamlar, bağlantılar ve web siteleri hakkında ne kadar farkındalık olsa da, tehdit aktörlerinin İnternet kullanıcılarını kandırmak ve dolandırmak için güvenilir varlıkları kötüye kullanan ve onların kimliğine bürünen taktikleri başarıyla kullandıklarını bir kez daha hatırlatıyor. söz konusu.
Segura gönderisinde, “Arama sonuçları yoluyla kötü amaçlı reklamcılık, hem tüketicileri hem de tanınmış markalara güvenen işletmeleri etkileyen bir sorun olmaya devam ediyor.”
Ocak ayında yakın zamanda gerçekleştirilen bir kötü amaçlı reklam kampanyası, Google’da Bitwarden ve 1Password’ün Web kasalarını arayan kullanıcıları hedefleyerek güvenilir markalardan da yararlandı. Tehdit aktörleri, şüphelenmeyen kullanıcıların şifre kasalarına ait kimlik bilgilerini çalmak için akıllıca sahte sitelere bağlantılar içeren ücretli reklamlar kullandı.
İkna Edici Bir Kimlik Avı Kampanyası Oluşturma
Segura, USPS kampanyasının arkasındaki aktör veya aktörlerin kampanyayı bir son kullanıcıya bu kadar inandırıcı göstermeyi nasıl başardıklarını açıkladı. Esasen, çeşitli kötü amaçlı reklam türlerine uygulanabilecek taktikler kullandıklarını söyledi.
Biri mobil kullanıcıları, diğeri ise masaüstü kullanıcılarını hedefleyen iki reklam kampanyası vardır. Reklamlar, kurbanları saldırganın kontrolündeki bir alana yönlendirirken resmi USPS URL’sini kullanıyor gibi görünse de, reklamda gösterilen URL’ler “gerçekte tıkladığınız şeyle hiçbir ilgisi olmayan saf görsel eserlerdir” diye açıkladı Segura.
“Reklamı tıkladığınızda, döndürülen ilk URL, reklamla ilgili çeşitli metrikleri içeren Google’ın kendi URL’sidir, ardından reklamverenin kendi URL’sidir” dedi. “Kullanıcılar bunu asla göremez ve marka kimliğine bürünme yoluyla kötü amaçlı reklamcılığı bu kadar tehlikeli yapan da budur.”
Reklamı tıklayan kurbanlar, bu tür bir istek için herhangi bir sayfada olacağı gibi, kendilerinden paket takip numaralarını girmelerini isteyen bir web sitesine yönlendirilir. Ancak, bu bilgileri gönderdikten sonra, “teslimat adresindeki eksik bilgi nedeniyle” paketlerinin teslim edilemediğini bildiren bir hata alırlar.
Segura, bu şüphe uyandırabilir, ancak bir paketi izleyen birinin bu tür bir bildirim alması oldukça normal olduğundan, büyük olasılıkla değil. Bununla birlikte, saldırının bir sonraki adımı – kullanıcılardan daha sonra tam adreslerini tekrar girmelerinin yanı sıra 35 sentlik küçük bir ücret ödemek için kredi kartı bilgilerini göndermelerinin istendiği – kırmızı bayrak kaldırması gerektiğini söyledi.
İşte bu noktada kurbanlar kimlik avı sitesine girer ve saldırganlar verilerini çalabilir, bu da küçük ücreti “tamamen alakasız” hale getirir, çünkü tehdit aktörü tarafından kullanılabilen veya suç pazarlarında yeniden satılabilen ödeme kartı verilerinden vazgeçmek sonuçlanabilir. birine çok daha fazla zarar vermek, diye gözlemledi Segura.
Saldırının son adımı, sağlanan kredi kartı bilgilerine dayalı olarak bir şablon oluşturan dinamik bir sayfa aracılığıyla kurbanlardan finans kuruluşlarının kimlik bilgilerini girmelerinin istenmesidir. Örneğin, bir kişi JP Morgan Bank ile ilişkili bir Visa kartı için veri gönderirse, sayfa hedeften JP Morgan sayfasına giriş yapmasını isteyecektir. Segura, diğer bankaların ve kartların, sağlanan verilere özgü farklı şablonlarla sonuçlanacağını söyledi, bankacılık Truva Atı kaplamalarının çalışma şekline benzer şekilde.
Kötü Amaçlı Reklamcılığı Önlemeye Yönelik Öneriler
Belirtildiği gibi, kötü amaçlı reklamcılık, siber suçlular tarafından kullanıcı kimlik bilgilerini çalmak için kullanılan iyi bilinen bir yöntemdir. Bununla birlikte, Segura, bir kampanyanın kurbanı olmaktan kaçınmanın anahtarı olsa da, saldırganlar tarafından oluşturulan modern kötü amaçlı dolandırıcılıkların ne kadar meşru göründüğü nedeniyle “eğitim yalnızca bir yere kadar gidebilir” diye yazdı.
Bu kampanyaları son kullanıcılara ulaşmadan durdurmanın bir yolunun, arama motorlarının tehdit aktörlerinin çok başarılı bir şekilde benimsediği marka kimliğine bürünmeyle mücadele etmek için daha sıkı kontroller uygulaması olduğunu söyledi.
Segura, “Yazılım indirme söz konusu olduğunda, akla gelen çözümlerden biri, resmi indirme sayfası için bir yer tutucu ayırmak ve bir reklamın bu noktayı almasına asla izin vermemektir,” diye yazdı ve Microsoft’un Bing’inin politikayı zaten başarıyla uyguladığına dikkat çekti.
İster kötü amaçlı yazılım, kimlik avı veya başka bir dolandırıcılık türü olsun, kötü amaçlı reklam öldürme zincirini ilk reklamdan yüke kadar kesintiye uğratabilecek gerçek zamanlı tarayıcı koruması uygulamak da bu tür saldırıları önleyebilir ve hafifletebilir.