Singapur’daki perakende bankacılık kuruluşlarının, kimlik avı saldırıları riskini azaltmak amacıyla çevrimiçi hesaplara giriş yaparken kimlik doğrulama amacıyla tek seferlik parola (OTP) kullanımını aşamalı olarak kaldırmaları için üç ay süreleri bulunuyor.
Karar, Singapur Para Otoritesi (MAS) ve Singapur Bankalar Birliği (ABS) tarafından 9 Temmuz 2024 tarihinde duyuruldu.
MAS, “Mobil cihazlarında dijital token’larını etkinleştiren müşterilerin, tarayıcı veya mobil bankacılık uygulaması üzerinden banka hesaplarına giriş yapmak için dijital token’larını kullanmaları gerekecek” dedi. söz konusu.
“Dijital token, dolandırıcıların çalabileceği veya müşterileri ifşa etmeye kandırabileceği bir OTP’ye ihtiyaç duyulmadan müşterilerin oturum açmasını doğrulayacak.”
MAS ayrıca müşterilerini, kimlik bilgilerini çalmak ve finansal dolandırıcılık yapmak amacıyla hesaplarını ele geçirmek için tasarlanmış saldırılara karşı korunmak amacıyla dijital token’larını etkinleştirmeye çağırıyor.
ABS yöneticisi Ong-Ang Ai Boon bir bildiride, “Bu önlem müşterilere banka hesaplarına yetkisiz erişime karşı daha fazla koruma sağlıyor,” dedi. “Bazı rahatsızlıklara yol açabilseler de, bu tür önlemler dolandırıcılıkları önlemeye ve müşterileri korumaya yardımcı olmak için gereklidir.”
OTP’ler başlangıçta hesap güvenliğini artırmak için ikinci faktörlü kimlik doğrulamanın (2FA) bir biçimi olarak tanıtılmış olsa da siber suçlular, benzer siteleri kullanarak bu tür kodları toplayabilen bankacılık truva atları, OTP botları ve kimlik avı kitleri tasarladılar.
Telegram üzerinden erişilebilen ve 100 ila 420 dolar arasında bir fiyata reklamı yapılan OTP botları, kullanıcıları arayarak hesap korumalarını aşmalarına yardımcı olmak için telefonlarındaki 2FA kodunu girmelerini sağlayarak sosyal mühendisliği bir üst seviyeye taşıyor.
Bu tür botların esas olarak kurbanın OTP kodunu yağmalamak için tasarlandığını ve dolandırıcıların geçerli kimlik bilgilerini veri ihlalleri, karanlık web’de satışa sunulan veri kümeleri ve kimlik bilgisi toplayan web sayfaları gibi diğer yollarla elde etmesini gerektirdiğini belirtmek önemlidir.
“OTP botunun temel görevi kurbanı aramaktır. Dolandırıcıların güvendiği aramalar bunlardır çünkü doğrulama kodları yalnızca sınırlı bir süre için geçerlidir,” Kaspersky tehdit araştırmacısı Olga Svistunova söz konusu yakın zamanda yayınlanan bir raporda.
“Bir mesaj bir süre cevapsız kalabilirken, kullanıcıyı aramak kodu alma şansını artırır. Telefon görüşmesi aynı zamanda ses tonuyla mağdurda istenilen etkiyi yaratmaya çalışmak için bir fırsattır.”
Geçtiğimiz hafta SlashNext, “uçtan uca” bir projenin ayrıntılarını açıkladı kimlik avı araç takımı FishXProxy olarak adlandırılan, görünüşte ” için tasarlanmış olsa dasadece eğitim amaçlı“”, savunmaları aşarak büyük ölçekte kimlik avı saldırıları düzenlemeyi hedefleyen tehdit aktörleri için teknik çıtayı düşürüyor.
Şirket, “FishXProxy, siber suçlulara çok katmanlı e-posta kimlik avı saldırıları için güçlü bir cephanelik sağlıyor” dedi. kayıt edilmiş“Kampanyalar, ilk incelemeyi atlatarak, benzersiz şekilde oluşturulmuş bağlantılar veya dinamik eklerle başlar.”
“Kurbanlar daha sonra Cloudflare’in CAPTCHA’sını kullanan ve güvenlik araçlarını filtreleyen gelişmiş antibot sistemleriyle karşı karşıya kalıyor. Akıllı bir yönlendirme sistemi gerçek hedefleri gizlerken, sayfa son kullanma tarihi ayarları analizi engelliyor ve kampanya yönetimine yardımcı oluyor.”
FishXProxy’ye yapılan bir diğer dikkat çekici ekleme, saldırganların farklı kimlik avı projeleri veya kampanyaları genelinde kullanıcıları tanımlamasına ve izlemesine olanak tanıyan çerez tabanlı bir izleme sisteminin kullanılmasıdır. Ayrıca, yan adım tespitinden kaçınmayı mümkün kılan HTML kaçakçılığı tekniklerini kullanarak kötü amaçlı dosya ekleri oluşturabilir.
“HTML kaçakçılığı, e-posta ağ geçitleri ve web proxy’leri gibi çevresel güvenlik kontrollerini aşmada iki ana nedenden dolayı oldukça etkilidir: HTML5 ve JavaScript’in meşru özelliklerini kötüye kullanır ve farklı kodlama ve şifreleme biçimlerini kullanır,” Cisco Talos söz konusu.
Mobil kötü amaçlı yazılımların yıllar içinde artış göstermesi, Google’ı, kullanıcıların Android uygulama izinlerini kötüye kullanarak OTP’leri okuyan ve hassas verileri toplayan belirli uygulamaları yan yüklemesini önlemeyi amaçlayan Singapur’da yeni bir pilot program duyurmaya yöneltti.
