Milyonlarca Monzo kullanıcısı, kurban parolalarını ve diğer oturum açma bilgilerini elde etmek ve dijital kimliklerini ele geçirmek isteyen bir kimlik avı saldırısının hedefi oluyor.
Monzo, diğerlerinin yanı sıra tamamen çevrimiçi bankacılık platformu ve Mastercard banka kartları sunan İngiltere’nin en büyük bulut bankalarından biridir.
Şirket, kullanıcıları kimlik avı kampanyası hakkında bilgilendirmek ve güvende kalmalarına yardımcı olmak için Twitter’a gitti. İçinde Twitter dizisibilinmeyen bir tehdit aktörünün Monzo kullanıcılarına, mesajda sağlanan bağlantıya dokunarak oturumlarını yeniden etkinleştirmeleri veya hesaplarını doğrulamaları istenen SMS mesajları gönderdiğini açıkladı.
Uç nokta akıllı telefonda, gönderenin adı MONZO olarak gösterilir, ancak kimlik avı saldırılarında standart bir uygulama olduğu için bağlantılar, Monzo’nun resmi web sitesine değil, kullanıcı kimlik bilgilerini çalmak için oluşturulmuş sahte bir açılış sayfasına yönlendirir.
Şimdiye kadar, aşağıdaki alanlar ortaya çıkarıldı:
- monzo-bildirim[.]com
- monzo-çevrimiçi-destek[.]com
- monzo-kontrol[.]com
- monzo-kart desteği[.]com
- monzo değiştirme[.]com
- uyarı-monzo[.]com
kimlik çalmak
Saf bir kullanıcı bu bağlantılardan herhangi birini tıklarsa, Monzo’nun resmi web sitesinin aksine bir açılış sayfası ve tam adını, telefon numarasını ve Monzo PIN’ini ekleme seçeneği ile karşılaşacaktır – temelde bir saldırganın çalması gereken her şey. kimliklerini ve hesaplarına tam erişim elde edin.
Konuyu araştıran tek kişi Monzo değildi. tarafından bildirildiği gibi BleeBilgisayargüvenlik araştırmacısı William Thomas da konuyu araştırıyordu ve aynı ASN’de bu sefer Revolut kullanıcılarını hedefleyen dört alan daha buldu:
- isyan-iptal-destek[.]com
- devrim iptali[.]com
- isyan-iptal-çevrimiçi[.]com
- Giriş-devir-çöz[.]com
Thomas, “URLscan.io aracılığıyla alan adının kendisinde yapılan araştırma, 11 Kasım 2021’e kadar uzanan 33 benzer siteyi daha ortaya çıkardı” dedi.
“34 alanın tümü, NForce Entertainment (AS43350) ile Rus IP alanında aynı üç CIDR’de barındırıldı. İlginç bir şekilde, Monzo temalı alan adları ayrıca iki Guangdong tabanlı Kayıt Şirketi (Eranet ve NiceNic) kullandı.”
BleepingComputer, Çinli kayıt operatörlerini ve Rus IP adreslerini karıştırmanın, saldırıyı belirli bir gruba atfetmeyi zorlaştırdığı ve kampanyayı durdurmayı daha da zorlaştırdığı sonucuna varıyor. Her zamanki gibi, kullanıcılara gönderenin kimliğini doğrulamadan önce herhangi bir bağlantıya tıklamamaları veya herhangi bir ek indirmemeleri tavsiye edilir.
Üzerinden: BleeBilgisayar
