Telegram Tabanlı Çok Aşamalı Phishing Kit: Kimlik Bilgileri ve Kredi Kartı Hırsızlığı
Group-IB: Endüstriyel Phishing-as-a-Service Operasyonu
Group-IB araştırmacıları, siber suçluların kimlik bilgisi hırsızlığını otomasyon, kaçınma teknikleri ve Telegram tabanlı veri sızdırma ile endüstriyelleştirdiğini gösteren sofistike bir phishing framework ortaya çıkardı.
Aruba S.p.A. Hedefleme
Kit, 5.4 milyondan fazla müşteriye hizmet veren İtalyan IT servis sağlayıcı Aruba S.p.A.'yı açıkça hedefliyor. Modern phishing-as-a-service operasyonlarının oluşturduğu önemli finansal ve operasyonel riskleri vurguluyor.
CAPTCHA ile Bot Filtreleme
Kit, güvenlik botlarını ve otomatik tarayıcıları filtrelemek için tasarlanmış bir CAPTCHA challenge ile başlıyor. Bu anti-bot gateway, phishing sayfalarının yalnızca insan hedeflere sunulmasını sağlıyor.
Bu, geleneksel güvenlik izlemeyi atlatmak için bilinçli bir stratejiyi temsil ediyor ve tespityi savunma ekipleri için önemli ölçüde zorlaştırıyor.
Dört Aşamalı Saldırı Süreci
Saldırı dizisi, dört farklı aşamada sistematik olarak ilerliyor:
Aşama 1: CAPTCHA filtresini geçtikten sonra, kurbanlar Aruba müşteri login portalının yüksek doğrulukta bir replikasıyla karşılaşıyor. Kimlik bilgileri burada toplanıyor.
Aşama 2: Kimlik bilgisi yakalamadan sonra, kurbanlara hizmet yenileme veya doğrulama bahanesiyle küçük, makul bir ücret (yaklaşık 4.37€) talep eden sahte bir ödeme sayfası sunuluyor. Bu psikolojik taktik, tam kredi kartı bilgilerini çıkarıyor: kart sahibi adı, kart numarası, son kullanma tarihi ve CVV kodu.
Aşama 3: Son aşama, kurbanın bankası tarafından gönderilen OTP'yi yakalayan sahte bir 3D Secure veya tek seferlik şifre doğrulama sayfasını içeriyor. Bu bilgi, saldırganlara gerçek zamanlı olarak sahte işlemleri onaylamak için gerekli her şeyi veriyor.
Aşama 4: Kurban daha sonra bir yükleme ekranına yönlendiriliyor ve meşru Aruba.it web sitesine iniyor - şüpheyi en aza indiriyor.
Telegram Komuta ve Kontrol Olarak
Telegram, bu suç altyapısının operasyonel omurgası olarak hizmet ediyor. Eş zamanlı olarak dağıtım kanalı, topluluk forumu ve veri sızdırma endpoint'i olarak çalışıyor.
Kit'in mimarisi, çalınan kimlik bilgilerini ve ödeme bilgilerini anında almak için yapılandırılmış birden fazla Telegram botu içeriyor. Bu yaklaşım, mesajlaşma trafiği sıradan platform aktivitesiyle sorunsuz bir şekilde karıştığı için geleneksel altyapıdan önemli ölçüde daha gizli.
Phishing-as-a-Service Ekosistemi
Group-IB analistleri, kit'e hardcoded edilmiş çift sızdırma kanalı tanımladı. Birincil kanallar başarısız olsa bile verinin saldırganlara ulaşmasını sağlayan bir yedek sistem mevcut.
Araştırmacılar, kit dağıtımı, satışları ve teknik desteğine adanmış Telegram topluluklarını belgeledi - tamamen operasyonel siber suçlu software-as-a-service ekosistemleri olarak işlev görüyor.
Kaynak: gbhackers.com
Yorumlar
0İlgili Makaleler
CISA, İran Destekli Saldırı Sonrası Endpoint Yönetim Sistemlerini Sertleştirmeyi Tavsiye Etti
CISA, Stryker'a yönelik Handala saldırısı sonrası BT liderlerini endpoint yönetim sistemlerini sertleştirmeye çağırdı. Phishing dirençli MFA ve çoklu yönetici onayı vurgulandı.
Ucuz KVM Cihazları Ağınıza Uzaktan Erişim Riski Getiriyor
Eclypsium araştırmacıları dört popüler düşük maliyetli KVM-over-IP cihazında dokuz zafiyet tespit etti. Kimlik doğrulama atlatmadan firmware manipülasyonuna kadar uzanan açıklar kritik risk oluşturuyor.
AI İkilemi: MCP Güvenliği Neden Yamalanamaz?
RSAC 2026'da sunulan araştırma, MCP'nin LLM ortamlarında yarattığı mimari güvenlik risklerini ortaya koyuyor. Yamalarla çözülemeyen bu sorunlar için yeni savunma stratejileri.
Ubiquiti UniFi'de Kritik Güvenlik Açığı: Hesap Ele Geçirmeye İzin Veriyor
Ubiquiti, UniFi Network uygulamasında CVSS 10.0 şiddetinde yol gezinme açığı ve CVSS 7.7 ayrıcalık yükseltme açığını yamaledi. Kullanıcılar 10.1.89 sürümüne güncellemeli.