Tehdit aktörlerinin, smishing ve phishing taktiklerini kullanarak ABD Posta Hizmetini (USPS) hedef alan bir siber kampanyası, saldırılar için altyapı olarak kullanılan 200’e yakın farklı alan adı ile zirveye ulaşıyor.
Siber dünyada bu gibi taktiklerin kullanılması yaygın olsa da son haftalarda bu kampanyaların hacmi ciddi oranda arttı. Bunun üzerine DomainTools, smishing mesajlarından birinin sonunda yer alan alan adını inceleyen ve bunun benzersiz bir e-posta adresi olduğunu tespit eden DomainTools tarafından bir araştırma başlattı: mehdi\.kh021@yahoo[.]com – diğer 71 alan adına bağlı bir özellik olan ters eğik çizgiyi içeriyordu.
Benzer adlandırma kuralına sahip başka bir e-posta — mehdi.k1989@yahoo[.]com, yalnızca noktadan sonraki beş karakter açısından ilk alan adından farklı olarak ek 63 alan adına bağlandı. Bu sayı, ters eğik çizginin eksik olduğu bir e-posta aracılığıyla bulunan 30 alan adı ile birleştirildiğinde, DomainTools’taki araştırmacılar şu anda kampanyada kullanılan 164 alan adı buldu.
Araştırmaya şüpheli ifadeler kullanan bir smishing mesajı örneği de dahil edilmiştir; bu, muhtemelen yeniden kullanılmış bir senaryonun ve anadili İngilizce olmayan bir kişinin ürünüdür. Araştırmacılar ayrıca, tehdit aktörünün ChatGP ve benzeri yapay zekadan yararlanması durumunda, smishing mesajının çok daha ikna edici olabileceğini ve daha fazla zarara yol açabileceğini belirtti.
“Ben ve eşim de dahil olmak üzere tanıdığım herkes, son birkaç hafta içinde tonlarca yeni USPS SMS dolandırıcılığı mesajı gördü. Bunların hepsi çok ‘normal’ smishing dolandırıcılıklarıdır ve duyulmamış yeni bir teknik kullanmazlar. KnowBe4’teki veriye dayalı savunma misyoneri Roger Grimes, e-postayla gönderilen bir açıklamada şunları söyledi. “Sadece paketinizin geciktiğini iddia ediyorlar ve potansiyel kurbandan sorunu çözmek için verilen bağlantıya tıklamasını talep ediyorlar.” Bu da bu kötü niyetli planların ne kadar sıradan ve gerçekçi olabileceğini doğruluyor.
Tehdit aktörleri, sosyal medya hesaplarını kampanyalar için kullanılan e-postalara da bağlayabilir ve bu da OpSec’in eksikliğine işaret edebilir; bu durum bu vakada açıkça görülmektedir. Araştırmacılar tarafından bulunan alan adlarıyla bağlantılı bir Facebook hesabı, tehdit aktörünün “Tahran’da yaşayan ve çalışan, İslami Azad Üniversitesi’ne gitmiş olabilecek bir İran vatandaşı” olduğunu belirtti.
“Kimlik avı ve smishing kampanyaları hayatın talihsiz bir günlük gerçeği haline gelmiş olsa da, yalnızca bireyler için değil aynı zamanda hizmetlerini kullandıkları şirketler ve kuruluşlar için de önemli bir potansiyel zarar kaynağı olmayı sürdürüyorlar.” DomainTools’taki araştırmacılar şunu yazdı:. Ayrıca, bu tür kampanyalarda kullanılan altyapı türünün ve bunun arkasında kimin olabileceğinin belirlenebilmesinin kolluk kuvvetlerinin ve diğer kuruluşların sorunu daha hızlı bir şekilde hafifletmesine olanak tanıdığını da belirttiler.