Giriş
Son dönemde siber saldırganlar, tanınmış markaları taklit ederek iş görüşmesi vadeden bir phishing kampanyası başlatmış durumda. Bu durum, kullanıcıların Google hesap bilgilerini ele geçirmeyi amaçlamakta ve özellikle pazarlama profesyonellerini hedef alıyor.
Saldırı Nasıl Çalışıyor?
Bu kampanya, PeopleForce isimli meşru bir bulut tabanlı insan kaynakları platformunu ve Salesforce Marketing Cloud ile ilişkili bir alan adını kötüye kullanarak, alıcıları kötü niyetli bir açılış sayfasına yönlendirmekte. Tehdit aktörleri, güven oluşturarak saldırının başarısını artırmak amacıyla, taklit ettikleri şirketlerdeki gerçek işe alım uzmanlarının isimlerini ve fotoğraflarını kullanıyorlar.
- Hava yolları ve seyahat: American Airlines, Booking.com, Delta Air Lines, United Airlines
- Gıda ve içecek: Coca-Cola, PepsiCo, Red Bull
- Giyim ve lüks ürünler: Adidas, Louis Vuitton, Sephora, Levis
- İşgücü sağlama, danışmanlık ve teknoloji: Adobe, Aquent, ManpowerGroup, McKinsey & Company, OpenAI
- Konaklama ve pazarlama: Marriott, Omnicom Group
- Eğlence ve spor: FIFA, Netflix
Analizler, kampanyanın gizli yönlendirmeler tekniğini kullandığını ortaya koyan verileri içermektedir. Bu teknik, ziyaretçileri kötü niyetli açılış sayfasına ulaşmadan önce birden fazla meşru hizmet aracılığıyla yönlendirmektedir.
Etkilenen Sistemler
Phishing e-postaları, PeopleForce‘dan geliyormuş gibi görünmesine rağmen, arka plandaki bağlantılar exct[.]net alan adına yönlenmektedir. Bu alan adı, Salesforce’un satın aldığı ExactTarget pazarlama otomasyon platformunu devraldıktan sonra kullanılmaktadır. ExactTarget, kiralık mülk CRM yazılımı olan wiseagent[.]com adresine yönlendirme yapmakta ve bu sayfa dolandırıcılık açılış sayfasına ulaşmaktadır.
BleepingComputer’ın keşfettiğine göre, bu operasyon en az beş aydır devam etmekte ve ilk başta taklit edilen şirket adlarıyla Outlook e-posta adresleri kullanmıştır. Örneğin, Adidas işe alım uzmanı Paulina Manzo, alıcıdan şirketle olası bir iş pozisyonu hakkında bir görüşme ayarlamasını istemektedir.
Çözüm ve Korunma
Görüşme takvimine tıkladığında, kullanıcı dolandırıcının açılış sayfasına yönlendirilmektedir. Burada, kurbanın Google hesabıyla oturum açması istenmektedir. “Google ile devam et” butonuna tıklandığında, dolandırıcılık sayfasında sahte bir Google oturum açma açılır penceresi görüntülenmektedir. Bu açılır pencere, aslında dolandırıcılık sayfası içinde yalnızca HTML ve CSS kodu ile oluşturulmuştur ve bu teknik “browser-in-the-browser” (BitB) olarak adlandırılmaktadır.
Kullanıcılar, dolandırıcıların saldırılarından korunmak için aşağıdaki adımları almalıdır:
- Google hesap bilgilerinizi asla tanımadığınız veya güvenmediğiniz kaynaklarla paylaşmayın.
- Şüpheli bağlantılara tıklamayın ve bilinmeyen e-postaları açmayın.
- Veri güvenliği için yazılımlarınızı ve işletim sistemlerinizi düzenli olarak güncelleyin.
- İki aşamalı doğrulama gibi ek güvenlik önlemleri kullanarak hesaplarınızı koruyun.
Ayrıca, dikkatli olmalı ve bu tür dolandırıcılık girişimlerine karşı uyanık kalmalısınız.
Sonuç
Kullanıcıların yaptıkları işlemleri dikkatle değerlendirmeleri ve şüpheli görünen e-postalara karşı temkinli olmaları hayati önem taşımaktadır. Hesap güvenliğinizi sağlamak için yazılımlarınızı güncelleyin ve gerekirse havalandırma portlarını kapatın. Unutmayın, dikkatli olmak siber saldırılara karşı en etkili savunmadır.


