Yalancı Booking.com Bağlantıları ve Unicode Karakterlerinin Kullanımı
Son dönemde siber güvenlik alanında phishing saldırıları, kötü niyetli aktörlerin kullanıcıları tuzağa düşürmek için kullandığı çeşitli tekniklerle daha da karmaşık hale geliyor. Özellikle Unicode karakterlerinin kullanımı, sahte bağlantıların gerçekçi görünmesini sağlamakta büyük rol oynuyor. Bu yazıda, Booking.com’u taklit eden phishing saldırılarında kullanılan karakterlerin yanı sıra, diğer benzer tekniklerle kullanıcıların nasıl hedef alındığını inceleyeceğiz.
Phishing Saldırısının Temel Unsurları
Son zamanlarda, güvenlik araştırmacısı JAMESWT tarafından keşfedilen bir saldırı, Japonca hiragana karakteri olan ん‘yi (Unicode U+3093) kullanıyor. Bu karakter, bazı sistemlerde ‘/’ ya da ‘~’ gibi görünebiliyor ve bu durum dolandırıcıların URL’lerin gerçek Booking.com alan adına benzer bir görüntüde olmasını sağlamaya yardımcı oluyor. Kullanıcı, bu tuzakla karşılaştığında, bağlantının güvenilir olduğunu düşünüyor.
Phishing e-postası, aşağıdaki gibi bir URL içeriyor:
https://admin.booking.com/hotel/hoteladmin/…
Ancak kullanıcı bu bağlantıya tıkladığında, gerçekte aşağıdaki kötü niyetli siteye yönlendiriliyor:
https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/
Gizli Tuzağın Mantığı
Kullanıcılar, yukarıdaki URL’yi gördüklerinde, adres çubuğunda görünen ‘ん’ karakterlerinin yanıltıcı etkisi sonucu büyük bir yanılgıya kapılabiliyor. Aslında, bu bağlantı, www-account-booking[.]com gibi kötü niyetli bir alana yönlendirmektedir. Bu durumda kötücül yazılım, MSI formatında bir yükleyici ile sisteme sızıyor. Bu yükleyici, kullanıcı bilgilerini çalabilecek veya uzaktan erişim sağlayacak başka kötü yazılımları yüklemektedir.
Bu tür saldırılar, homoglyphs adı verilen ve görsel benzerlik taşıyan karakterlerin kullanımıyla daha da etkili hale geliyor. Bir karakter, başka bir karakterle görsel olarak benzerlik taşıyabilir ama aslında farklı bir karakter kümesine ait olabilir. Örneğin, Kiril alfabesindeki “О”, Latin alfabesindeki “O” ile birbirine benzer; ancak bu iki karakter tamamen farklıdır.
Booking.com’a Yönelik Geçmiş Saldırılar
Bu tür saldırılar, sadece yeni bir gelişme değil. Microsoft, Mart ayında Booking.com’u taklit eden phishing kampanyaları hakkında uyarılarda bulunmuştu. Ayrıca 2023’te Akamai, siber saldırganların otel misafirlerini sahte Booking.com sitelerine yönlendirdiğini ve kredi kartı bilgilerini çalmaya çalıştığını açıklamıştı. Bu durum, kullanıcıların her zaman dikkatli ve tetikte olmaları gerektiğini gösteriyor.
Diğer Phishing Kampanyaları: ‘Lntuit’ Örneği
BleepingComputer’dan Sergiu Gatlan, Intuit markasını hedef alan ayrı bir phishing kampanyası keşfetti. Bu e-postalarda intuit.com adreslerine benzer alanlar kullanılmakta. Ancak bu e-postalarda kullanılan alanlar Lntuit ile başlamaktadır. Küçük harfle yazıldığında, bazı fontlarda bu görünüm “intuit”e çok benzemektedir. Bu basit ama etkili teknik, siber saldırganların bu kampanyaları düzenlemesine fırsat veriyor.
E-postal, aşağıdaki gibi bir bağlanma içermektedir:
Mobil kullanıcıların bu tür bağlanma tuzaklarına daha kolay düşme ihtimali bulunmaktadır. Kullanıcılar, “E-postamı doğrula” butonuna tıkladıklarında, aslında sahte bir bağlantıya yönlendirilmektedirler.
Güvenlik Önlemleri ve Bilinçli Kullanım
Bu tür tehlikelerden korunmanın en etkili yolu, her zaman linklerin üzerine gelerek gerçek hedefi kontrol etmektir. Kullanıcılar, bağlantının en sağdaki kısmında yer alan alan adını dikkatlice incelemelidirler. Ayrıca, güncel bir son nokta güvenlik yazılımı kullanmak, saldırılardan korunmak için ek bir savunma katmanı sağlar. Modern phishing kitleri, genellikle bir phishing linkine tıklandığında doğrudan kötü amaçlı yazılımı indirerek kullanıcıları tehlikeye atmaktadır.
Son olarak, kullanıcılara, bağlantılara tıklamadan önce her zaman sağdaki alan adını kontrol etmeleri, gerçek alan adına ulaştıklarından emin olmaları önerilir. Bu tür görsel tuzaklara karşı dikkatli olmak, siber güvenliğinizi sağlamanın anahtarıdır.
