Siber suçlular, her geçen gün kimlik avcılığında kullanabilecekleri yeni yöntemler keşfediyorlar. The Hackernews’den derlediğimiz habere göre ise; son geliştirdikleri yöntem de, Telegram Messenger adlı çevrimiçi mesajlaşma uygulamasını bilgi hırsızlığı için kullandıkları ortaya çıktı
Magecart grupları ( çevrimiçi mağazalardaki kredi kartı bilgilerinin ele geçirilmesi için yürütülen siber saldırı grupları) tarafından kullanılan bu yöntemde Telegram, güvenliği ihlal edilmiş internet sitelerinden çalınan ödeme detaylarını saldırganlara göndermek için kullanıyor.
Bir Malwarebytes çalışanı Jérôme Segura “Tehdit aktörleri için bu bilgi çalma mekanizması, kapatılabilecek ya da savunucular tarafından engellenebilecek bir altyapı oluşturmalarını gerektirmediğinden oldukça elverişlidir.” dedi. “Üstelik her yeni kurban için eş zamanlı bildirim almaları hızlıca karaborsada çalınan kartlar üzerinden para kazanmalarına yardımcı oluyor.”
Siber suçluların izlediği bu strateji, ilk olarak Twitter da, @AffableKraut adlı kullanıcı tarafından, Hollandalı Siber Güvenlik Firması Sansec’ten alınan veriler kullanılarak belgelendi.
Yukarıdaki şemada anlatılan, online alışveriş sistemlerini hedef alan çeşitli hackerların oluşturmuş olduğu bir birlik olan Magecraftın test edilip onaylanmış yöntemidir.
Bu yöntem, online alışveriş sitelerin de bilinen bir açığı kötüye kullanarak, e-skimmerlar eklemek suretiyle ya da çalınan kimlik bilgilerini, kredi kartı hırsızlığı için kullanmakta işe yarıyor.
Bu birkaç ay içinde yöntemlerini oldukça profesyonelleştiren grup, kart çalma kodlarını resim metadataları’nın içine saklamaya başlamış ve internet sayfasının favicon dosyasının içine internet skimmerlarını saklayabilmek için, IDN eşyazımlı saldırıları düzenlemeye başlayarak saldırılarını bir üst safhaya çıkartmışlardı.
Veri Paylaşımı Telegram Üzerinden Yapılıyor
Bu sefer farklı olarak kullanılan yöntem ise; bilgileri (isim, adres, kredi kartı numarası, son kullanma tarihi ve CVV gibi) çalmak için skimmer kodunda şifrelenmiş bir bot ID’si kullanarak, veri paylaşımının özel Telegram kanalları üzerinden anında yollanan mesajlar şeklinde yapılması.
Segura “Veri alışverişi, ödeme ayrıntılarını bir sohbet kanalına gönderen Telegram’ın API’si aracılığıyla gerçekleştiriliyor.” dedi. “Bu veriler önceden tanımlamayı daha zor hale getirmek için şifrelenirdi.”
Telegram kullanmanın avantajı, tehdit aktörlerinin artık toplanan bilgileri iletmek için ayrı bir komuta ve kontrol altyapısı kurmakla uğraşmak zorunda olmamasıdır. Bu etki alanlarının kötü amaçlı yazılımdan koruma hizmetleri tarafından kapatılması veya engellenmesi olasılığıyla karşı karşıya kalmamasıdır.
Segura, “Bir skimming saldırısının bu çeşidine karşı savunma yapmak, meşru bir iletişim hizmetine dayandığı için biraz daha zordur” dedi. “Herhangi biri Telegram’a yapılan tüm bağlantıları ağ seviyesinde açıkça engelleyebilir, ancak saldırganlar başka bir sağlayıcıya veya platforma kolayca geçebilir (daha önce yaptıkları gibi) ve yine de bundan kurtulabilirler.” diyor.
Kaynak: TheHackerNews
İlk yorum yapan olun