Lowe’s çalışanlarının kimlik bilgileri, sponsorlu Google reklamları aracılığıyla çalınıyor.
Geçtiğimiz ayın ortasında Malwarebytes’ın kıdemli araştırma direktörü Jérôme Segura, küçük bir grupla karşılaştı MyLowesLife’ı taklit eden kötü amaçlı web siteleriyüz milyar doların üzerinde bir değere sahip şirketin tüm planlama, maaş bordroları vb. konulardaki çalışan portalı. Tipo-çömelme alan adları gerçek MyLowesLife’ın tam yapısını taklit ediyordu ve Google aramalarında agresif bir şekilde sponsorluydu. Bir durumda, araştırmacılar “myloweslife” için arama yaptığında, ilk üç sonuç kötü amaçlı kampanyayla ilişkili sponsorlu reklamlardı.
Bu bağlantıları takip eden Lowe’s çalışanları buldukları şeyden şüphelenmek için pek az neden bulurlardı. Sonuçta ortaya çıkan açılış sayfası, kullanıcıların satış (hesap) numaralarını ve parolalarını girmeleri için alanlar içeren gerçek Lowe’s çalışan portalını birebir taklit ediyordu. ‘Giriş Yap’a basanlardan daha sonra “Size cevap[sic] güvenlik sorusu.” Tüm bu üç veri öğesi daha sonra saldırganın kontrolündeki bir kimlik avı kitine iletilir.
“Çalınan kimlik bilgileri, tehdit aktörlerine kimlik hırsızlığı için kullanılabilecek çok değerli bilgilere erişim sağlar,” diye uyarıyor Segura. “Etkilenen Lowe çalışanları dolandırılabilir ve parasal kayıplar yaşayabilir. Başarılı bir çalışmada, birkaç düzine çalışan hesabı, faydaları veya banka bilgileriyle ilgili hırsızlığa dönüşebilir.”
Özellikle bu taklit sitelerin ana sayfaları — myloveslife[.]net, mylifelowes[.]org, mylifelowes[.]net ve myliveloves[.]net — tamamen genel, görünüşe göre AI tarafından oluşturulmuş perakende web siteleri şablonlarıyla doluydu ve Lowe’s ile hiçbir ilgisi yoktu. Segura’nın açıkladığı gibi, bu tamamen stratejiktir. Tehdit aktörünün zaman ve emek tasarrufu sağlamasının yanı sıra, zararsız bir ana sayfaya sahip olmak araştırmacıları şaşırtabilir ve bu siteleri alan adı kayıt şirketleriyle birlikte devre dışı bırakma davasını daha da zorlaştırabilir.
Kötü Amaçlı Reklamlar Neden İşe Yarar?
Aradığınız web sitesine ulaşmak için tarayıcınıza tam alan adını yazmak yerine, hızlı bir arama yapmanız çoğu zaman daha kolay ve hızlıdır.
Ayrıca, algoritmaları herhangi bir aramanın en üstünde güvenli, güvenilir sonuçları desteklemek için oluşturulmuş ana akım arama motorlarına yerleşik bir güven faktörü de vardır. Sponsorlu sonuçlar, gerçek mülklerini liyakatle kazanmazlar, ancak sıradan İnternet kullanıcıları yine de düşünmeden onlara aynı düzeyde güven verebilirler.
Bu nedenler, diğerlerinin yanı sıra, kötü amaçlı reklamların kimlik bilgilerini çalmanın bir yolu olarak genel popülaritesini açıklamaya yardımcı olur ve hedeflenen demografik grupları kötü amaçlı yazılımlarla enfekte etmekve neden teknik açıdan bilgili İnternet kullanıcıları bile son kampanyaların kurbanı oluyorlar. Örneğin, Malwarebytes sadece son birkaç ayda BT personelini, Arc tarayıcısının teknolojiye yatkın erken benimseyenlerini ve daha fazlasını hedef alan farklı dolandırıcılıkları izledi.
Lowe’s çalışanlarını içeren dava benzersizdir çünkü BT araçları ve yeni tarayıcıların aksine, şirket içi bir portalı halka duyurmak mantıklı değildir. Teoride, bu sahte reklamların hem Web gezginleri hem de arama sağlayıcıları için fark edilmesini kolaylaştırmalıdır.
“Google ve diğer arama motorları, bir ‘reklamverenin’ reklam alanı satın aldığı fayda portallarını, Tek Oturum Açma (SSO) sayfalarını vb. izleyerek bu tür kimlik avı kampanyalarını önleyebilir. Aslında, bu kötü amaçlı reklamları avlamak ve bulmak için aynı tekniği kullanıyoruz, bu yüzden kurbanları cezbetme şansı yakalamadan önce hesapları proaktif olarak yasaklamak için kullanılabileceğine inanıyorum,” diye düşünüyor Segura.