Son zamanlarda dünya çapında yaygınlaşan bir oltalama (phishing) saldırısı, özellikle iş arayan kişileri hedef alıyor. Saldırganlar, enerji içeceği devi Red Bull markasının adını kullanarak “Sosyal Medya Yöneticisi” pozisyonu için sahte iş teklifleri sunuyor. Bu e-postalar, hem bireysel kullanıcıların hem de kurumsal çalışanların posta kutularına gönderiliyor ve oldukça gerçekçi şekilde hazırlanmış. Hatta göndericiler, messaging-service@post.xero.com gibi güvenilir görünen adreslerden mail atıyorlar. Bu sayede, SPF, DKIM ve DMARC gibi e-posta doğrulama sistemlerinden geçerek spam filtrelerine takılmadan alıcıya ulaşıyorlar.
Gönderilen bu sahte iş teklifleri, özellikle pandemiyle birlikte artan uzaktan çalışma taleplerinden ve Red Bull’un marka bilinirliğinden faydalanıyor. İnsanların iş arama motivasyonu ve tanınan bir markadan iş teklifi alma arzusu, saldırının başarı şansını yükseltiyor. E-postadaki bağlantıya tıklayan kullanıcılar, öncelikle Google reCAPTCHA doğrulamasından geçiyor. Bu doğrulama, hem gerçek kullanıcı ile otomatik botları ayırmak için hem de saldırının tespit edilmesini zorlaştırmak için kullanılıyor.
Doğrulama sonrasında kullanıcılar, ünlü iş arama platformu Glassdoor’a çok benzeyen, profesyonelce hazırlanmış bir iş ilanı sayfasına yönlendiriliyor. Ancak bu sayfanın altında yatan gerçek, sayfanın yalnızca birkaç hafta önce açılmış olması ve kötü amaçlı faaliyetler için kullanılan, kötü bir üne sahip bir sanal özel sunucu (VPS) ağı üzerinde barındırılması. Bu da sahte iş ilanının tamamen aldatıcı ve geçici bir düzenek olduğunu gösteriyor.
Kullanıcı, sahte iş ilanından sonra gerçek Facebook giriş sayfasına çok benzer bir ekrana yönlendiriliyor. Burada girdiği kullanıcı adı ve şifre bilgileri gerçek Facebook sunucularına gönderilmiyor. Aksine, bu bilgiler başka bir IP adresindeki kötü amaçlı sunucuya aktarılıyor. Sunucu çoğu zaman hata mesajı vererek, arka planda çalınan verilerin gizlenmesini sağlıyor. Bu durum, güvenlik sistemlerinin saldırıyı fark etmesini önlemeye yönelik bilinçli bir strateji.
Saldırının ilginç bir yanı, bu altyapının başka sahte kampanyalarda da kullanılması. Araştırmacılar, aynı saldırı yöntemi ve altyapısının MrBeast ve Meta gibi farklı popüler markaların taklit edildiği alan adlarında da görüldüğünü rapor etti. Bu da, saldırının tek seferlik değil, kiralanabilir, modüler ve tekrarlanabilir bir siber suç aracı olduğunu ortaya koyuyor.
Saldırganlar, mail göndermek için yüksek itibara sahip Mailgun IP havuzlarını kullanıyor. Bu sayede, e-postalarının spam filtrelerine takılma ihtimali azalıyor. Aynı zamanda gerçek “yanıtla” adreslerini gizleyerek kimliklerini gizliyorlar. Ayrıca Let’s Encrypt sertifikalarını otomatik ve sürekli olarak yenileyerek, kullandıkları web sitelerinin güvenli ve sertifikalı görünmesini sağlıyorlar. Bu da kullanıcıların bağlantılara daha kolay güvenmesine yol açıyor.
Tespit edilmekten kaçınmak için kullanılan diğer bir yöntem ise, reCAPTCHA’nın esas amacının kullanıcı doğrulama değil, URL tarama botlarını yavaşlatmak ve engellemek olması. Böylece otomatik sistemler saldırıyı erken aşamalarda tespit edemiyor.
Güvenlik analistleri, bu saldırıları tespit etmek için özel kurallar geliştirdi. Örneğin, gönderici adresi post.xero.com olan ve yanıt adresi user0212-stripe.com ile biten, aynı zamanda belirli bir zararlı alan adına sahip e-postalar hızlıca tespit ediliyor. Böylece güvenlik ekipleri gereksiz alarm seline maruz kalmadan gerçek tehditleri filtreleyebiliyor.
Sonuç olarak, iş arayanlar bu tür sahte iş tekliflerine karşı çok dikkatli olmalı. Kurumlar ise bu tehditlere karşı gerekli önlemleri almalı, ağ trafiğini izlemeli ve kullanıcılarını bilinçlendirmeli. Çünkü saldırganlar teknik altyapıyı aşmak için sürekli yeni yöntemler geliştiriyor, dolayısıyla hem teknolojik hem de insan kaynaklı güvenlik önlemleri hayati önem taşıyor.
Kaynakça:https://cybersecuritynews.com/red-bull-themed-phishing-attacks/
