Tüketicileri bu sitelere çekmek için, meşru web sitelerinin kullandığı izleyiciler gibi sahte “%80 indirim” satış etiketleri kullanıldı. Amaç, mağdurun kendisini bir perakendecinin gerçek web sitesindeymiş gibi hissetmesini sağlamaktı. Sahte siteler tarafından toplanan veriler, vishing saldırıları (sesli kimlik avı) veya smishing saldırıları (SMS kimlik avı saldırıları) için kullanılabilecek telefon numaralarını toplar. Bu saldırılar, kurbanların e-ticaret platformları veya finansal kurumlar gibi güvenilir şirketlermiş gibi davranarak 2FA kodları gibi daha fazla kişisel bilgiyi açığa çıkarmasına yol açabilir.
” (Tehdit kampanyası) “Kara Cuma indirimlerinin en yoğun olduğu Kasım ayında artan çevrimiçi alışveriş aktivitesinden yararlanıyor. (Saldırganlar kart sahibi verilerini, hassas kimlik doğrulama verilerini ve kişisel olarak tanımlanabilir bilgileri (PII) çalar).”-EclecticIQ Research
Tehdit aktörü SilkSpecter olarak biliniyor ve kurbanların hesaplarına izinsiz olarak erişebiliyor, büyük, sahte işlemler başlatabiliyor ve kullanıcıları korumak için uygulamaya konulan güvenlik engellerini aşabiliyor. Ancak gerçekte olan şu ki, bir perakendecinin yasal olduğuna inandığınız web sitesine yazdığınız bilgiler aslında harici bir sunucuya gönderiliyor. Gerçek olduğunu düşündüğünüz web sitesi sahte olabilir. Kişisel verilerinizi yazdığınızda bilgiler saldırganların kullanımına sunulur.
Sahte bir web sitesinden ürün satın almak, kişisel verileri saldırgana vermenin iyi bir yoludur. | Resim kredisi-EclecticIQ
Etkilenen tarayıcılar arasında Chrome, Safari, Firefox ve Edge yer alıyor. Sizi önceden uyarabilecek bazı kırmızı bayraklar vardır. Kimlik avı alan adları genellikle .top, .shop, .store ve .vip’i kullanır. Saldırganlar bazen sizi kandırmaya çalışmak için yasal alan adlarına benzer alan adlarını kaydederler. Bu, yazım hatası olarak bilinen bir tekniktir. Hedefler ABD’li ve Avrupalı çevrimiçi alışveriş yapan kişilerdir ancak sahte web sitelerinin sahte görüntüleri Çin’de saklanmaktadır.
4.000 kötü amaçlı alan adı olmasına rağmen, ElectricIQ tarafından ortaya çıkarılanların bazıları aşina olduğunuz ve muhtemelen güvendiğiniz perakende adlarını içeriyor. Ancak bunlar sizi dolandırmaya çalışan sahte siteler:
- KuzeyyüzBlackfriday[.]mağaza
- lidl-blackfriday-eu[.]mağaza
- anal-blackfriday[.]mağaza
- llbeanblackfridays[.]mağaza
- uyuşturucu blackfriday[.]mağaza
- WayfareBlackfriday[.]iletişim
- MakitaBlackfriday[.]mağaza
- blackfriday-ayakkabı[.]tepe
- AB-blochdance[.]mağaza
- ikea-euonline[.]iletişim
- gardena-ab[.]iletişim
(Web Trafiği, “meşru web sitelerine kötü amaçlı bir yük bulaştırarak… sahte ürün listeleri oluşturarak ve bu sahte listeleri öğelere ilişkin arama motoru sıralamalarının en üst sıralarına yakınlaştıran meta veriler ekleyerek sahte web sitelerine yönlendiriliyor, bu da onları şüphelenmeyen bir teklif için cazip bir teklif haline getiriyor”) tüketici.” -Satori Tehdit İstihbaratı
Kara Cuma temalarına sahip olan veya sitenin her yerinde İndirim kelimesi bulunan sitelere dikkat edin. Ayrıca dikkat etmeniz gereken alan adlarını içeren listeyi de unutmayın. Satori Tehdit İstihbaratı’nın bu ayın başındaki benzer bir raporunda, tehdit aktörlerinin kişisel bilgileri çalmak amacıyla trafiği sahte web sitelerine yönlendirdiği tespit edildi. Tanıdık geliyor mu?