Hacker’lar, büyük takipçi kitlesine sahip işletmelerin ve etkileyicilerin Instagram hesaplarını ele geçirdi. Secureworks tarafından tanımlanan yeni kimlik avı kampanyası.
Siber güvenlik firması, kampanyayı, bilgisayar korsanlarının önemli hesapların kontrolünü ele geçirdiğini ve fidye talep ettiğini keşfettiği Ekim ayında tespit ettiğini söyledi.
Saldırının arkasındaki kişiler, Instagram gibi davranarak, kullanıcılarına iddia edilen bir telif hakkı ihlalini bildiren bir mesaj göndererek başlıyor. Mesaj, kurbanları bilgisayar korsanı tarafından kontrol edilen bir web sitesine yönlendiren bir bağlantı içerir. Oradan, saldırganlara hesaplarına tam erişim vererek, kullanıcıdan Instagram giriş bilgilerini girmesi istenir.
Şifre değiştir
“Instagram hesabının kontrolünü ele geçirdikten sonra saldırganlar şifre ve kullanıcı adını değiştiriyor. Secureworks, değiştirilen kullanıcı adının “pharabenfarway” ifadesinin bir varyasyonu olduğunu ve ardından ele geçirilen hesabın takipçi sayısı gibi görünen bir sayı olduğunu açıklıyor.
“Bilgisayar korsanları profile ‘bu Instagram hesabı sahibine satış için tutuluyor’ şeklinde bir yorum ekliyor. Yorum, kısaltılmış bir WhatsApp etki alanından (wa.me) ve bir iletişim numarasından oluşan bir bağlantı içerir. Bağlantıya tıklamak, saldırganlarla bir WhatsApp sohbet istemi açar. İkincisi ayrıca hesapta belirtilen telefon numarasına SMS ile mağdurla iletişime geçer ve hesaba erişim karşılığında bir fidye için pazarlık etmeye başlar. »
Secureworks, alan adı oluşturma tarihlerine dayanarak, bilgisayar korsanlarının bir dizi hesabı ele geçirdiğini ve kampanyaya 2021’de başladığını söylüyor.
Yeraltı forumlarında arama yapan Secureworks, Eylül ayında bilgisayar korsanlarıyla bağlantılı birinin, ele geçirilen Instagram hesaplarına erişimi yaklaşık 40.000 dolara sattığı bir gönderi buldu.
Secureworks’e göre, bilgisayar korsanları Rusya ve Türkiye merkezli olduklarını belirten telefon numaraları sunuyor. Diğer kanıtlar, saldırganlardan en az birinin Türkiye merkezli olduğunu gösteriyor.
“Bir olayda, saldırganların iletişimleri Instagram’ın Türkçe versiyonundan geldi. Ayrıca, kimlik avı sitelerinden birinin kaynak sayfası, Türk dosya paylaşım hizmeti hizliresim.com’a atıfta bulunuyor. Bu kampanyayla ilgili altyapı Türkiye’de ve diğer ülkelerde bulunuyor” diye açıklıyor Secureworks.
Şirket, bu tür saldırıların, parolaların yeniden kullanılması durumunda bilgisayar korsanlarının e-posta hesaplarına veya diğer şirket kaynaklarına erişmesine de izin verebileceğini belirtiyor.
Kaynak: ZDNet.com