Siber güvenlik araştırmacıları, Telegram’ın siber suçların merkez üssü haline gelmesi ve tehdit aktörlerinin 230 dolar gibi düşük bir ücret karşılığında toplu saldırı düzenlemesine olanak sağlaması nedeniyle kimlik avı ekosisteminin “demokratikleşmesine” dikkat çekiyor.
Guardio Labs araştırmacıları Oleg Zaytsev ve Nati Tal, “Bu mesajlaşma uygulaması, deneyimli siber suçluların ve yeni gelenlerin yasa dışı araç ve içgörü alışverişinde bulunduğu hareketli bir merkeze dönüştü ve araçlar ile kurban verilerinin karanlık ve iyi yağlanmış bir tedarik zinciri oluşturdu.” söz konusu yeni bir raporda.
“Ücretsiz örnekler, eğitimler, kitler, hatta kiralık bilgisayar korsanları; eksiksiz bir uçtan uca kötü amaçlı kampanya oluşturmak için gereken her şey.”
Bu, popüler mesajlaşma platformunun, kısmen hoşgörülü denetleme çabalarından kaynaklanan kötü niyetli faaliyetleri kolaylaştırdığı için radar altına girmesi ilk kez değil.
Sonuç olarak, eskiden karanlık ağdaki yalnızca davetle girilebilen forumlarda mevcut olan şeylere artık kamu kanalları ve gruplar aracılığıyla kolayca erişilebiliyor ve böylece siber suçların kapıları hevesli ve deneyimsiz siber suçlulara açılıyor.
Nisan 2023’te Kaspersky, kimlik avı yapanların yeni başlayanları kimlik avı konusunda eğitmek için Telegram kanallarını nasıl oluşturduklarını ve oturum açma kimlik bilgileri gibi hassas bilgileri toplamak için kimlik avı sayfaları oluşturma sürecini otomatikleştirebilecek botların reklamını nasıl yaptıklarını açıkladı.
Bu tür kötü niyetli Telegram botlarından biri, tehdit aktörlerinin büyük ölçekli kimlik avı dolandırıcılıklarını gerçekleştirmesine yardımcı olmak için sahte web sayfaları, e-postalar ve SMS mesajları oluşturabilen Telekopye’dir (aka Classiscam).
Guardio, kimlik avı kampanyası oluşturmak için gereken yapı taşlarının Telegram’dan kolaylıkla satın alınabileceğini, “bazıları çok düşük fiyatlarla, hatta bazıları ücretsiz olarak sunuluyor” ve böylece bir kimlik avı kiti aracılığıyla dolandırıcılık sayfaları oluşturmanın mümkün olabileceğini söyledi. Bir web kabuğu aracılığıyla güvenliği ihlal edilmiş bir WordPress web sitesi ve e-posta mesajlarını göndermek için bir arka kapı posta göndericisinden yararlanın.
Çeşitli Telegram gruplarında pazarlanan arka kapı postaları, spam filtrelerini atlatmak için istismar edilen web sitesinin meşru etki alanını kullanarak ikna edici e-postalar göndermek üzere zaten virüs bulaşmış ancak meşru web sitelerine enjekte edilen PHP komut dosyalarıdır.
Araştırmacılar, “Bu durum site sahipleri için ikili bir sorumluluğun altını çiziyor” dedi. “Yalnızca ticari çıkarlarını değil, aynı zamanda platformlarının dolandırıcılar tarafından kimlik avı operasyonlarına ev sahipliği yapmak, yanıltıcı e-postalar göndermek ve diğer yasa dışı faaliyetleri yürütmek için kendilerinden habersiz kullanılmasına karşı da koruma sağlamaları gerekiyor.”
Bu tür kampanyaların başarı olasılığını daha da artırmak için Telegram’daki dijital pazar yerleri, kurbanları tıklamaları için kandırmak amacıyla e-posta mesajlarının mümkün olduğunca orijinal görünmesini sağlayan “ustalıkla tasarlanmış, markalı şablonlar” olan “mektuplar” olarak bilinenleri de sağlar. Dolandırıcılık sayfasına işaret eden sahte bağlantı.
Telegram ayrıca hedeflenecek geçerli ve alakalı e-posta adresleri ve telefon numaralarını içeren toplu veri kümelerine de ev sahipliği yapar. “Potansiyel müşteriler” olarak anılan bu kişiler, etkiyi en üst düzeye çıkarmak için bazen adlar ve fiziksel adresler gibi kişisel bilgilerle “zenginleştirilirler”.
Araştırmacılar, “Bu potansiyel müşteriler inanılmaz derecede spesifik olabilir, herhangi bir bölgeye, niş, demografik, belirli şirket müşterilerine ve daha fazlasına göre uyarlanabilir” dedi. “Her kişisel bilgi bu saldırıların etkililiğine ve güvenilirliğine katkıda bulunuyor.”
Bu potansiyel müşteri listelerinin hazırlanma şekli satıcıdan satıcıya farklılık gösterebilir. Bunlar, ihlal edilen şirketlerden çalınan verileri satan siber suç forumlarından veya ziyaretçileri ödül kazanmak için sahte bir anket doldurmaya teşvik eden yarım yamalak web siteleri aracılığıyla temin edilebilir.
Bu kimlik avı kampanyalarının bir diğer önemli bileşeni, toplanan çalıntı kimlik bilgilerini “günlükler” biçiminde diğer suç gruplarına satarak para kazanma aracıdır; böylece tehdit aktörlerine, kurban sayısına bağlı olarak yatırımlarından 10 kat getiri elde edilir. sonunda dolandırıcılık sayfasında geçerli ayrıntılar sağlayın.
Araştırmacılar, “Sosyal medya hesabı kimlik bilgileri bir dolar kadar düşük bir fiyata satılırken, banka hesapları ve kredi kartları, geçerliliklerine ve fonlarına bağlı olarak yüzlerce dolara satılabilir” dedi.
“Ne yazık ki, yalnızca küçük bir yatırımla, önceden bilgisi veya yeraltı suç dünyasındaki bağlantıları ne olursa olsun, herkes önemli bir kimlik avı operasyonu başlatabilir.”