Check Point Harmony Email Security araştırmacılarının yaptığı son inceleme, dünya genelindeki işletmeleri hedef alan yeni bir phishing dolandırıcılığı ortaya çıkardı. Son 14 gün içinde, siber suçluların Google’ın kendi otomatik sistemlerini kötüye kullanarak, %100 resmi görünen binlerce kötü niyetli e-posta gönderdiği tespit edildi.
İşlem Nasıl Çalışıyor?
Check Point’ın raporuna göre, bu yeni keşfedilen kampanya, Google Cloud Uygulama Entegrasyonu adı verilen bir aracı kullanıyor. Bu hizmet genellikle şirketler tarafından otomatik bildirimler göndermek gibi iş akışı otomasyonu kurmak için kullanılır. Ancak dolandırıcılar, bu özelliği, gerçek bir Google adresinden e-posta göndermek için kullanmanın bir yolunu buldular: noreply-application-integration@google.com.
E-postalar gerçek bir Google alan adından geldiği için, geleneksel güvenlik filtrelerini kolayca aşabiliyor. Araştırmacılar, mesajların genellikle yeni bir sesli mesajınız olduğu veya bir Q4 dosyasını görüntülemeniz gerektiği gibi standart ofis bildirimleri gibi göründüğünü buldular. Bildiğimiz gibi, bu tür içerikler e-postaların rutin kurumsal bildirimler gibi görünmesini sağlıyor ve bu nedenle birçok insan bunlara güveniyor.
Üç Aşamalı Tuzak
Dolandırıcılar, bilgileri çalmak için çok aşamalı bir süreç kullanıyor. Bu, bir kullanıcının gerçek bir Google Cloud sayfasına (storage.cloud.google.com) işaret eden bir bağlantıya veya düğmeye tıkladığında başlıyor. Oradan, sahte bir CAPTCHA testi gösteren ikinci bir sayfaya (googleusercontent.com) yönlendiriliyorlar.
Araştırmacılar, bunun güvenlik araçlarını engellemek ve gerçek kişilerin geçmesine izin vermek için yapıldığını belirtti. Son olarak, kullanıcı, kimlik bilgilerini toplamak için sahte bir Microsoft giriş sayfasına yönlendiriliyor; bu, dolandırıcıların parolanızı yazdığınız anda kaydettiği basit bir yöntemdir.
Kimin Hedef Alındığı?
Araştırmacılar, kampanyanın gerçekten küresel olduğunu gözlemlediler. Hedeflerin %48.6'sının Amerika Birleşik Devletleri'nde olduğu, Asya-Pasifik'te (%20.7) ve Avrupa'da (%19.8) önemli bir etkinlik olduğu görüldü. Latin Amerika'da, Brezilya (%41) ve Meksika (%26) bu bölgedeki en fazla saldırıya uğrayan ülkeler oldu. Üretim ve teknoloji sektörlerinin en büyük hedefler olduğu, sırasıyla %19.6 ve %18.9 ile, ardından finans ve bankacılık sektörünün %14.8 ile geldiği dikkat çekicidir.
Toplamda, yalnızca iki haftada yaklaşık 3,200 müşteriye 9,394 phishing e-postası gönderildi. Google, bu etkinliğin bir iş akışı otomasyon aracının kötüye kullanımından kaynaklandığını, Google’ın altyapısının bir ihlali olmadığını belirtti.
Şirket, bu spesifik kampanyaların artık engellendiğini doğrulasa da, bu olay, güvenilir bir kaynaktan geldiği izlenimi veren beklenmedik bağlantılara karşı dikkatli olmamız gerektiğini hatırlatıyor.
