Siber dolandırıcılar, profesyonel ağ platformu LinkedIn’i kullanarak finans dünyasının üst düzey yöneticilerini hedef alan yeni bir kimlik avı kampanyası başlattı. Dolandırıcılar, yatırım fonu yönetim kurulu daveti gibi görünen sahte mesajlar göndererek kullanıcıların Microsoft hesap bilgilerini ele geçirmeye çalışıyor.
Dolandırıcılar Sahte Yatırım Fonu Davetleriyle Güven Kazanıyor
Push Security tarafından ortaya çıkarılan saldırı, LinkedIn üzerinden gönderilen doğrudan mesajlarla başlıyor. Mesajlarda, “Common Wealth” adlı sahte bir yatırım fonunun yönetim kuruluna katılım daveti yer alıyor. Kullanıcılara profesyonel bir tonda yazılmış mesajlarda, fonun Güney Amerika’da faaliyet gösterdiği belirtiliyor ve daha fazla bilgi almak için bir bağlantıya tıklamaları isteniyor.
Kimlik avı saldırısında kullanılan yönlendirme zinciri
Bağlantıya tıklayan kullanıcılar, önce Google’ın yönlendirme sistemini kullanan bir bağlantıya, ardından saldırganların kontrol ettiği sahte sitelere aktarılıyor. Bu sayfalarda, “LinkedIn Cloud Share” adlı sahte bir belge paylaşım alanı bulunuyor. Sayfa, yatırım fonuna ilişkin belgeleri görüntüleme bahanesiyle “View with Microsoft” düğmesine tıklanmasını istiyor. Kullanıcı bu düğmeye bastığında, Cloudflare Turnstile doğrulaması içeren sahte bir Microsoft oturum açma sayfasına yönlendiriliyor.
Sahte LinkedIn Cloud Share platformu
Saldırganlar, otomatik güvenlik tarayıcılarının sayfayı analiz etmesini önlemek için CAPTCHA ve Cloudflare Turnstile sistemlerini kullanıyor. Kullanıcı doğrulamayı geçtiğinde, sayfa Microsoft’un giriş ekranına benzeyen sahte bir form gösteriyor. Bu yöntemle kullanıcıların hem oturum bilgileri hem de çerezleri saldırganların eline geçiyor.
Microsoft kimlik bilgilerini ele geçiren kimlik avı sayfası
Push Security yetkilileri, kimlik avı girişimlerinin artık e-posta ile sınırlı kalmadığını belirtiyor. Şirketin açıklamasına göre son bir ayda tespit edilen kimlik avı saldırılarının yaklaşık yüzde 34’ü LinkedIn gibi e-posta dışı platformlardan geldi. Siber suçlular, kullanıcıların aktif olarak iletişim kurduğu platformlarda sahte mesajlar göndererek güven kazanmayı hedefliyor.
Uzmanlar, LinkedIn üzerinden gelen beklenmedik iş teklifleri veya yönetim kurulu davetlerinin dikkatle incelenmesi gerektiğini belirtiyor. Kullanıcıların, gönderici profilini doğrulamadan bağlantılara tıklamaması ve özellikle .icu, .xyz, .top gibi alışılmadık alan adlarına sahip bağlantılardan uzak durması öneriliyor.
