İçeriğe geçmek için "Enter"a basın

Bankacılık Zararlı Yazılımı Dağıtımında Google Captcha Paravanı

Bugüne kadar yaşanan oltama saldırıları ve zararlı yazılım saldırılarına bakıldığında, saldırganların sosyal mühendislik tekniklerinden en çok aşağıdaki ikisini kullandığı görülmekte;

Taklit Etme: Bu tür saldırılar genelde popüler bir marka veya ürünü taklit eden e-postalar, kısa mesajlar ve sosyal medya profilleri aracılığıyla  gerçekleştirilir. Kullanıcıları gelen mesajın meşru bir kaynaktan geldiğine inandırmaya çalışmak için kullanılan bu teknikte, saldırganın genelde gerçek çalışanların kimliğine büründüğü gözlemlenmiştir.

Korkutma/Yemleme: Bu teknik ile saldırganların amacı kurbanın içine korku ve panik duygusu yerleştirerek iyi tasarlanmış sahte bir acil durum içerisine sürüklemektir. Genellikle acil durumlar insanların normalde takip ettiği güvenlik politikalarını terk etmelerine neden olduğu için bu taktik çok etkili olmaktadır.

Google Captcha’yı Kullanan Bankacılık Zararlı Yazılımı

Sucuri ekibi tarafından gerçekleştirilmiş araştırma sırasında, Polonya’da bir bankayı hedef alan oltama saldırısında zararlı bir dosya keşfedildi. Kurbanlarının, servis ettikleri zararlı yazılımı indirdiklerinden emin olmak isteyen saldırganlar yine oldukça etkili olan taklit etme ve korkutma tekniklerini kullandı.

Son zamanlarda yapılan şüpheli bankacılık işlemleriyle ilgili kullanıcının onayının istendiği sahte e-postalar, bir PHP dosyasıyla beraber geldi.

Şüpheli işlem bildirimi alan kullanıcıları korkutarak istediklerini yaptırmak isteyen saldırganların bu sefer kurbanlarının User-Agent bilgisini kontrol ederek yalnızca Google’ın tarayıcılarını kullanmayan kişileri hedef aldığı görüldü.

Eğer Google’ın tarayıcılarından biri kullanılmıyorsa, kurban sahte bir Google reCAPTCHA doğrulamasından geçiriliyordu. Sahte reCAPTCHA doğrulamasını gerçeğinden ayıran farklar sesli sınamayı desteklememesi ve hep aynı görselleri göstermesi oldu.

Doğrulama gösterildikten sonra yine kurbanın User-Agent bilgisini kontrol eden zararlı PHP kodları, eğer kurbanın cihazının Android olduğunu anlarsa cihaza zararlı başka bir .apk uzantılı dosya yüklüyor, cihazın Android olduğu tespit edilemez ise bu defa .zip uzantılı başka zararlı bir dosya kurbanın cihazına indiriliyor.

Doğrulama sayfası atlatıldıktan sonra kurban bankacılık bilgilerini sahte forma girdiğinde bir önceki aşamalarda kurbanın cihazına yüklenen Android uygulamasının iki aşamalı doğrulamayla ilgili cihaza gelen SMS’leri görüntülemek için kullanıldığı tahmin ediliyor.

Bu tür bir saldırıya maruz kaldığınızda yapılabilecek en iyi şey bankacılık parolanızı hemen değiştirmek ve bankanızdan bu konuda destek almanız olacaktır. Maruz kalmamanız için ise size şunlara önerebiliriz;

  • Güvenilir olmayan kaynaklardan gelen e-postalardaki ve kısa mesajlardaki bağlantılara tıklamayın ve ekte gönderilen dosyaları açmayın.
  • Android cihazınızda Google Play Store haricindeki bilinmeyen kaynaklardan yüklemeyi devre dışı bırakın.
  • Eğer cihazınız ve bankanız biyometrik yöntemlerle kimlik doğrulama özelliğini destekliyor ise kısa mesaj (SMS) ile iki aşamalı doğrulama yerine onu kullanın.
  • Cihazınızda güncel bir antivirüs yazılımı bulundurun ve varsa gerçek zamanlı koruma özelliğini etkinleştirin.

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir