Araştırmacılar, siber saldırganların kötü niyetli faaliyetlerini gizlemek için QuickBooks markasının arkasına saklandığını söylüyor. Çaba, bir-iki yumruk içeren bir “çift mızrak” yaklaşımıdır: Telefon numaralarını çalmak ve sahte kredi kartı ödemeleriyle nakit para çekmek.
Popüler muhasebe yazılımı, müşterilerin, tümü quickbooks.intuit.com alanından gelen ödeme, fatura ve ekstre isteklerini gönderebilecekleri bulut hesaplarına kaydolmalarına olanak tanır. Avanan’dan yapılan bir analize göre, siber dolandırıcılar QuickBooks belgelerinin kötü amaçlı sürümlerini göndermek için bundan faydalanıyor ve e-posta güvenlik filtreleri, adresin ürkütücü olmadığını ve “izin verilen” bir alandan geldiğini belirledikten sonra mesajları doğrudan iletiyor. gelen kutularına.
Araştırmacılar, Perşembe günkü bir blog yazısında kampanyanın Mayıs ayında başladığını belirtti. E-posta gövdesi, Norton veya Microsoft 365 (eski adıyla Office 365) gibi markaları yanıltıyor ve genellikle hedeflerin parasal zararları olduğunu iddia ediyor. Firmaya göre saldırı, tüm endüstri segmentlerindeki şirketleri hedef alan geniş bir ağ oluşturuyor.
Avanan araştırmacıları, “Bir fatura sunuyor ve herhangi bir sorunuz olduğunu düşünüyorsanız sizi aramaya teşvik ediyor” Analizlerinde belirtilen. “Verilen numarayı ararken, işlemi iptal etmek için kredi kartı bilgilerini isteyecekler. Numaranın bu tür dolandırıcılıklarla ilişkili olduğunu ve adresin gerçek bir adresle ilişkili olmadığını unutmayın.”
Son kullanıcı neler olup bittiğini görmek için aradığında, bilgisayar korsanları telefon numarasını toplar ve kısa mesaj veya WhatsApp yoluyla takip eden saldırılar için kullanmalarına izin verir. Ayrıca kredi kartı ödemesini de alıyorlar, bu nedenle kampanya mağdurun acısı açısından iki yönlü.
Avanan’ın siber güvenlik araştırma analisti Jeremy Fuchs, “Bu konuda, bilgisayar korsanları bu saldırının işe yarayacağını bilmenin ve çifte mızrak yaparak para ve kimlik kazanmanın bir yolunu buldukları için oldukça karmaşık bir düzeyle uğraşıyoruz” diyor. Karanlık Okuma.
“Herhangi bir sosyal mühendislik dolandırıcılığı gibi, birinin buna düşme olasılığı kullanıcıya bağlıdır. E-postanın meşru bir QuickBooks alanından geldiği ve meşru bir şirket gibi görünen bir fatura olduğu düşünülürse, bazı kullanıcıları yakalayabilir. gafil.”
Kimlik Avı, Meşruiyet İçinde Gizlenmiş
Gelen kutusuna ulaşmak için bulut etki alanlarının meşruiyetini kullanmak elbette yeni bir yaklaşım değil. Ancak, özellikle birçok işletme, bulut hizmetleri ve hizmet olarak yazılım uygulamalarıyla uzaktan çalışanları desteklemeye devam ederken, bu kanallar geleneksel e-posta kumarlarından daha az korunduğundan, yaklaşım giderek artıyor.
Fuchs, “Bunun içine düştüğü daha geniş eğilimlerle ilgili olarak, bilgisayar korsanlarının meşru siteleri gayri meşru amaçlarla kullandığını gördük” diyor. “Meşru bir işletmenin itibarından yararlanmak, gelen kutusuna girmenin harika bir yoludur. Ek olarak, bilgisayar korsanlarının para kapma ve gelecekteki saldırılar için telefon numaralarını toplama sayısında bir artış gördük.”
Evernote, Dropbox, Microsoft, DHL ve diğerleri gibi diğer bulut hizmetleri kimlik avcıları tarafından bu şekilde kötüye kullanılırken, kötü niyetli türler özellikle son birkaç ayda Google’dan yararlandı.
Örneğin, Ocak ayında bir tehdit aktörü, hedefleri kötü amaçlı bağlantılara tıklamaya yönlendirmek için Google Dokümanlar’daki yorumlar işlevini kullandı. Bir belge oluşturduktan sonra, saldırgan kötü amaçlı bir bağlantı içeren bir yorum ekledi, ardından kurbanı “@” kullanarak yoruma ekledi. Bu eylem, hedefe otomatik olarak Google Dokümanlar dosyasına bağlantı içeren bir e-posta gönderir. E-posta, kötü bağlantılar ve saldırgan tarafından eklenen diğer metinler de dahil olmak üzere tam yorumu görüntüler.
Avanan’a göre, “Kuruluşlar Google’ı engelleyemez, bu nedenle Google ile ilgili alan adlarının gelen kutusuna girmesine izin verilir”. “Bu statik listeler bilgisayar korsanları tarafından sürekli olarak çalınıyor. Bu, Milanote gibi sitelerde kimlik avı içeriği barındıran bilgisayar korsanlarında kendini gösterdi.”
Bu gibi saldırılara karşı korunmak için Avanan aşağıdakileri önerir:
- Bilmediğiniz bir servisi aramadan önce, Google’ın numarayı arayın ve aslında herhangi bir ücret olup olmadığını görmek için hesaplarınızı kontrol edin.
- Bir e-postanın temiz olup olmadığını belirlemek için birden fazla göstergeye bakan gelişmiş güvenlik uygulayın.
- Kullanıcıları, bir e-postanın meşruluğundan emin olup olmadıklarını BT’ye sormaya teşvik edin.
