Büyük Ölçekli ClickFix Phishing Saldırıları: Otel Sistemlerini Hedef Alıyor
Son zamanlarda, konaklama sektörünü hedef alan büyük ölçekli bir phishing (oltalama) kampanyası gündeme geldi. Araştırmacılar, otel yöneticilerini ClickFix tarzı sahte sayfalara yönlendiren bu saldırının ardından, PureRAT gibi zararlı yazılımların yayıldığını tespit ettiler.
Saldırı Metodolojisi ve Hedefleri
Saldırganlar, ele geçirilmiş e-posta hesapları aracılığıyla otel tesislerine kötü amaçlı mesajlar göndermekte. Sekoia’nın belirttiğine göre, bu kampanya, Booking.com gibi tanınmış markaları taklit ederek, otel yöneticilerini sahte web sitelerine yönlendirmeyi hedefliyor. Temel amaç ise, rezervasyon platformlarına yetkisiz erişim sağlayacak kimlik bilgilerini çalmak.
Bu tür bilgiler, genellikle siber suç forumlarında satılmakta veya otel müşterilerine sahte e-posta gönderimi için kullanılmakta. Bu durum, sektördeki dolandırıcılığın arttığını göstermektedir.
Kampanyanın Çalışma Şekli
Fransız siber güvenlik firması tarafından analiz edilen son kampanya, birkaç ülke genelindeki otellere ait e-posta hesaplarının hedeflendiğini gözler önüne seriyor. Kullanıcılar, sahte bağlantılara tıklamaya ikna edilerek, ClickFix sayfasına yönlendiriliyor. Burada, bağlantının güvenli olduğunu iddia eden reCAPTCHA türü sahte bir testle karşılaşıyorlar.
Bu nokta, kullanıcıların kötü niyetli PowerShell komutlarını kopyalayıp çalıştırmalarına sebep oluyor. Bu da, sistem bilgilerini toplayarak PureRAT’i yüklemektedir. PureRAT, uzaktan erişim, anahtar kaydı, dosya yükleme/indirme gibi birçok özelliği destekler.
Müşterilere Yaklaşım ve Sosyal Mühendislik Teknikleri
Kampanya sadece otel yöneticilerini değil, aynı zamanda otel müşterilerini de hedef alıyor. Müşterilere WhatsApp veya e-posta aracılığıyla gerçek rezervasyon bilgileri ile ulaşılmakta. Kullanıcılara, rezervasyonlarının iptal edilmemesi için bankamatik kartı bilgilerini doğrulamaları gerektiği bilgisi veriliyor.
Söz konusu dolandırıcılık yöntemleri, Booking.com gibi platformların yönetici hesap verilerini elde etme üzerine kurulmuş durumda. Bu veriler, siber suç forumlarından elde edilmekte ve dolandırıcılar, sistemleri enfekte etmek için sosyal mühendislik yöntemlerini kullanmaktadır.
Gelişen Dolandırıcılık Modelleri
Saha araştırmalarına göre, otel yöneticilerinin ilettiği oturum açma bilgileri, siber suçlular tarafından oldukça talep görmekte. Cryto verilerinin elde edilmesi, dolandırıcılığın devamlılığı açısından önemli bir rol oynuyor.
Son zamanlarda, dolandırıcılara ait Telegram botları ile Booking.com gibi platformların oturum verilerini satın alma yöntemlerine rastlanmakta. Bu süreç, saldırganların etkili bir şekilde hedeflerine ulaşmalarını sağlıyor ve dolandırıcılık modelini profesyonelleştiriyor.
Sonuç
ClickFix saldırganları artık daha karmaşık ve inandırıcı tekniklere başvurarak, kullanıcıları kandırma olasılıklarını artırıyor. Kapsayıcı bir siber güvenlik stratejisi benimsemek, bu tür saldırılara karşı mücadelede önemli bir adım olacaktır. Otel yöneticileri ve müşteri bilgilerini korumak ve güvenliği artırmak için dikkatli olunması gerektiği unutulmamalıdır.
