Docusign kimlik avı saldırısı, hizmet sağlayıcıdan gelen ve gerçekmiş gibi görünen mesajları andıran bir e-posta ile başlıyor. Diğer kimlik avı saldırılarının aksine, olayın arkasındaki saldırganlar Docusign müşterilerine sunulan özelleştirme seçenekleri nedeniyle gerçek Docusign e-postalarının herhangi bir adresten gelebileceği göz önüne alındığında, genellikle gönderen adresini taklit etme veya maskeleme zahmetine girmiyorlar.

Saldırıda genellikle hedeflenen kişiye finansla ilgili bir belgeyi elektronik olarak imzalaması gerektiği bildiriliyor ve tıklama bağlantısı da e-postada yer alıyor. Bazı durumlarda kimlik avcıları, içinde QR kodu bulunan bir PDF ekini de mesaja iliştiriyor. Hedef kişiden eki açması ve sözde imzalanacak belgeye erişim için bir QR kodunu taraması isteniyor. Ancak gerçekte kod, kullanıcıların kimlik bilgilerini toplamayı amaçlayan bir kimlik avı web sitesine yönlendiriyor.

Taktikler ve uygulama e-postadan e-postaya değişebiliyor. Bununla birlikte temel ilke aynı kalıyor: Kimlik avcıları, alıcının Docusign ile e-imzanın gerçekte nasıl çalıştığını anlamamasına bel bağlıyor. Dikkatsiz kurban, kimlik avı sayfasına giden bağlantıyı (veya QR kodunu) takip ediyor ve doğrudan saldırganlara giden iş odaklı giriş kimlik bilgilerini forma yazıyor. Başarılı kimlik avı saldırıları yoluyla elde edilen kullanıcı adları ve şifreler genellikle yasadışı dark web pazarlarında satılan veri tabanlarında derleniyor ve daha sonra ilgili kuruluşlara saldırmak için kullanılıyor. 

Docusign’ın amacı, aslında şirketler ve bireyler için elektronik olarak imzalanmış belgelerin alışverişini mümkün olduğunca kolaylaştırmak. Bir hesap oluşturmak, kimlik bilgilerini girmek, ekleri açmak veya imzalamak için yalnızca akıllı telefon kullanmak gibi herhangi bir ek adım veya kısıtlama normalde bu ilkeye aykırı bir davranış. Bu nedenle Docusign bunların hiçbirini istemeden, imzalama sürecini olabildiğince hızlı ve basit hale getirmeye çalışıyor.

Kaspersky, Docusign kimlik avı dolandırıcılığı taktiğine veya popüler hizmetleri taklit eden diğer dolandırıcılıklara karşı korunmak için aşağıdakileri öneriyor:

• Gerçek hizmetin nasıl çalıştığını iyi anlayın. Örneğin Docusign asla,
  1. İmzalanacak belgeye bağlantı içeren bir PDF eki göndermez.
  2. Size QR kodu tarama harici bir seçenek vermeme yoluna gitmez. Docusign hem mobil cihazlarda hem bilgisayarlarda çalışır. Bu nedenle belgeye erişmek için her zaman bir bağlantı sağlanır – bir QR kodu değil.
  3. İş oturum açma kimlik bilgilerini girmenizi gerektirmez.
  4. Sizi Docusign’a kaydolmaya veya giriş yapmaya zorlamaz. Belgeyi imzaladıktan sonra Docusign sizden bir hesap oluşturmanızı önerebilir, ancak bu tamamen isteğe bağlıdır.
• Bağlantılara ve eklere karşı dikkatli olun. İstenmeyen e-postalardaki beklenmedik bağlantılara tıklamaktan veya ekleri indirmekten kaçının.
• Çalışanlarınızı eğitin. Şirketler, kimlik avı girişimlerini nasıl fark edecekleri konusunda çalışanlarını eğitmelidir. Kaspersky Automated Security Awareness Platform gibi özel eğitim sistemleri bu konuda size yardımcı olabilir.
• Güvenilir güvenlik çözümleri kullanın. Kaspersky Security for Mail Server gibi ürünlerle ağ geçidi düzeyinde şüpheli ve istenmeyen e-postaların filtrelenmesi, çalışanların sosyal mühendislik girişimleri tarafından dolandırılmasını önler. Kaspersky Small Office Security veya Kaspersky Next gibi kuruluşun büyüklüğüne uygun uç noktalara yönelik güvenlik çözümleri de kimlik avı yönlendirmelerine karşı koruma sağlayacaktır.
• Çok faktörlü kimlik doğrulama kullanın. Bu önlem, hassas hesaplara ve hizmetlere ekstra bir koruma katmanı ekler.

Roman Dedenok, konuyla ilgili olarak şunları söylüyor: “Kimlik avcıları Docusign gibi güvenilir hizmetlerin isimlerini yöntemlerinde giderek daha fazla kullanıyor. Hem işyerindeki hem de evdeki tüm BT kullanıcılarına her zaman gönderenin kimliğini doğrulamalarını ve şüpheli bağlantılara tıklamaktan kaçınmalarını tavsiye ediyoruz. Şirketler, ekiplerinin kimlik avı e-postalarını nasıl tespit edeceklerini bildiklerinden emin olmalı, çok faktörlü kimlik doğrulama ve e-posta filtreleme çözümleri ile ekstra bir savunma seviyesi oluşturmalıdır.”

Kaynak: (BYZHA) Beyaz Haber Ajansı

Söz konusu saldırılar hesap kimlik bilgilerini çalmayı ve cihazları tehlikeye atmayı amaçlıyor. Dolandırıcılar, Telegram Premium’un popülerliğinden ve hediye verme özelliğinden yararlanarak kullanıcıları ağına düşürmeyi hedefliyor. Bu duruma karşı dikkatli olmak gerekiyor.

Telegram Premium daha yüksek indirme hızları, sesten metne dönüştürme, premium çıkartmalar, reklamsız deneyim ve daha fazla özellikler sunan bir abonelik modeli. Kullanıcılar bu aboneliği hediye edebiliyor. Dolandırıcılar da bu hediye özelliğinden ve genel olarak Telegram Premium’a olan ilgiden yararlanıyor.

Kutlamaların başladığı, hediye beklentisinin arttığı yeni yıl tatil sezonunda, bu gibi tuzaklara düşmemek için dikkatli olmak büyük önem taşıyor.

Sıkça başvurulan hilelerden biri, kullanıcının kişi listesinde bulunan ve hesabı ele geçirilmiş olabilecek birinden gelmiş gibi görünen mesajlar almasıyla başlıyor. Mesajda yaklaşık şöyle bir şey yazıyor: “Size bir Telegram Premium aboneliği hediye olarak gönderildi”. Mesajın altında meşru görünen, ancak aslında kullanıcıyı kimlik avı sayfasına yönlendiren ve Telegram’da oturum açmalarını isteyen bir bağlantı yer alıyor. Mağdurlar kodu tararsa veya kimlik bilgilerini girerse, hesapları hemen ele geçiriliyor ve dolandırıcılar giriş bilgilerine, şifrelerine ve kaydettikleri kimlik doğrulama kodlarına erişim sağlıyor.

Telegram Premium temasına atıfta bulunan başka hileler de var. Üstelik bunların hepsinin Telegram mesajlarıyla başlaması da gerekmiyor. Saldırganlar kimlik avı bağlantıları göndermek için e-posta gibi başka yöntemlere de başvurabiliyor.

Örneğin saldırganlar Telegram Premium abonelikleri için sahte “eşantiyonlar” hazırlıyor. Mağdurlardan bu eşantiyonu almak için Telegram hesap kimlik bilgilerini girmeleri isteniyor ve kimlik avı sitesine yönlendiriliyor. Sonuçta kullanıcı kendinden istenenleri yaparsa, hesapları ele geçiriliyor.

Telegram Premium vaadini istismar eden bir kimlik avı örneği

Bir başka yöntem de siber suçluların hedefledikleri kişilere mesajlaşma hizmetinin “Premium” abonelik tanımlanmış bir sürümünü içerdiğini iddia eden bir ZIP arşivini indirmeleri için davet göndermeleriyle başlıyor. İndirme bağlantısı kullanıcıları bir kez daha Telegram’da oturum açmalarının istendiği bir kimlik avı sayfasına yönlendiriyor.

Telegram Premium teklifi olarak gizlenmiş kimlik avı örneği

Bir başka dolandırıcılık tekniği Telegram uygulamasının “yerleşik” Premium aboneliğe sahip alternatif bir sürümü olarak gizlenmiş kötü amaçlı yazılımların dağıtılmasını içeriyor. Dolandırıcılar, kurbanlara uygulamanın değiştirilmiş sürümleri olduğunu iddia ettikleri APK dosyalarını indirmeleri için bağlantılar gönderiyor. Ancak bunların kötü amaçlı yazılım olduğu ortaya çıkıyor.

Premium aboneliğe sahip Telegram uygulaması kılığında kötü amaçlı yazılım dağıtan bir sayfa örneği

Kaspersky Güvenlik Uzmanı Olga Svistunova, şunları söylüyor: “Kullanıcıların Telegram Premium beklentisinden yararlanan kimlik avı saldırılarını çeşitli dillerde gözlemliyoruz. Bu da faillerin küresel olarak faaliyet gösterdiğine işaret ediyor. Bu dolandırıcılıklar henüz belirli bir bölgeye ulaşmamış olsa bile, eninde sonunda oraya ulaşma olasılığı var. Bu nedenle tatil sezonunda, gerçek olamayacak kadar iyi görünen tekliflere karşı dikkatli ve şüpheci kalmak özellikle önemli. Ayrıca Telegram güvenlik ve gizlilik ayarlarınızın güncel olduğundan ve cihazınızın sağlam bir güvenlik çözümüne sahip olduğundan emin olun.”

Dolandırıcılar taktiklerini sürekli geliştiriyor ve her gün yeni yöntemlerle ortaya çıkıyor. Kendinizi bu tehditlerden korumak için Kaspersky uzmanlarının paylaştığı aşağıdaki ipuçlarını dikkate alın:

• Telegram güvenliği ve gizlilik ipuçlarına yönelik Kaspersky kılavuzuna göz atın.
• Bağlantılarda gömülü gerçek adresler de dahil olmak üzere bağlantıları tıklamadan önce iki kez kontrol edin. Bazı durumlarda Kaspersky, t.me/premium gibi meşru görünen bağlantıların, bu harflerin arkasında tamamen farklı kimlik avı sayfalarına yönlendiren başka bir adrese yönlendirdiğini gördü. Gerçek bağlantıyı kontrol etmek için fare imlecini bağlantının üzerinde tutun.
• Kişilerden gelen bağlantıları doğrulayın. Gelen hediye bağlantısı şüpheli görünüyorsa, alternatif bir iletişim kanalı aracılığıyla gönderene sorup onaylayın.
• Aboneliklerinizi resmi kanallar üzerinden satın alın. Örneğin, Telegram Premium abonelikleri satın almak için özel bir bot sunar.
• İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin. Bu, hesabınızın kimlik bilgileri tehlikeye girmiş olsa bile son savunma hattı olarak görev yapar. 2FA belirteçleri Kaspersky Password Manager ile rahatlıkla saklanabilir.
• Siber suçluların Telegram hesaplarını çalmak için kullandığı diğer yöntemleri inceleyin. Bu dolandırıcılık tekniklerini ortaya çıkmadan önce anlamak, siber hijyeni iyileştirmek ve potansiyel tehditlerin farkında olmak adına çok önemlidir.
• Resmi olmayan uygulama sürümlerini indirmekten kaçının. Kaspersky, resmi olmayan uygulamalar çeşitli zararlı yazılım türleriyle yüklü olabileceğinden resmi uygulamalara bağlı kalmanızı önerir.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Sinematik canlandırmalar ve uzman röportajları ile birlikte Almanya, İskoçya, İngiltere, Amerika, İsveç ve İrlanda’da kurulmuş olan cadı mahkemelerinin ardındaki karanlık ve gerçek hikayeleri gözler önüne seren altı bölümlük “Cadı Avı: Karanlık Gerçekler”, 3 Kasım Pazar 21.00’de National Geographic’te başlıyor.

Bilimin, keşfin ve hikâye anlatımının gücüne inanarak 130 yılı aşkın bir süredir dünyanın en güvenilir markalarından biri olmayı sürdüren National Geographic’in birbirinden iddialı yapımlarını D-Smart, Digiturk ve TOD, KabloTV, Tivibu ve TV+ platformlarından izleyebilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı