Saldırganlar, son dönemde faaliyetlerini daha inandırıcı kılmak için sahte alan adları kullanmak yerine, halihazırda güvenilir görünen ve ele geçirilmiş web sitelerini istismar etmeye başladı. Bu yöntem, hem kullanıcıların şüphelenmesini zorlaştırıyor hem de otomatik güvenlik sistemlerinin zararlı trafiği tespit etmesini güçleştiriyor.

KnowBe4 Threat Labs verilerine göre, saldırganlar özellikle ele geçirilmiş WordPress sitelerini kullanarak Microsoft Teams, Xfinity ve UAE Pass kullanıcılarını hedef alıyor. Saldırının en tehlikeli yönü, altyapının itibarlı sitelerin içine gizlenmesi sebebiyle e-posta filtrelerinin ve kullanıcıların riski fark edememesi. Bu durum, siber saldırganlara ciddi bir gizlilik avantajı sağlıyor.

Saldırıda kullanıcıları kandırmak için "kaçırılmış sesli mesaj", "paylaşılan önemli belge" veya "UAE Pass giriş isteği" gibi üç temel sosyal mühendislik teması kullanılıyor.

Tüm bu senaryoların ortak noktası, kullanıcıda aciliyet hissi yaratarak onları bağlantıya tıklamaya zorlamak. Saldırı süreci; aldatıcı e-posta, ara yönlendirme (özellikle skimresources[.]com üzerinden) ve son aşamada bilgilerin çalındığı sahte giriş ekranı şeklinde dört aşamada tamamlanıyor.

Saldırganların bir diğer stratejisi ise zararlı içerikleri sitelerde rastgele değil, wp-includes veya bin gibi kritik sistem klasörlerine gizlemek. Bu yöntem, zararlı dosyaların normal site trafiğiyle karışmasını sağlayarak savunma ekiplerinin işini zorlaştırıyor. Makalede paylaşılan IOC (tehlike göstergesi) adresleri, bu sinsi gizlenme yönteminin somut örneklerini gözler önüne seriyor.

Sonuç olarak bu yöntem, klasik phishing yaklaşımlarının çok daha gelişmiş bir versiyonu olarak karşımıza çıkıyor. Artık sadece alan adı (domain) itibarına güvenmek yeterli değil; kullanıcı farkındalığı, URL yönlendirme analizleri ve güvenli kabul edilen sitelerin dahi proaktif olarak takip edilmesi güvenlik için kritik bir zorunluluk haline gelmiş durumda.

Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları;

• Kaynağı güvenilir olmayan e-postalar açılmamalı,

• Çok faktörlü kimlik doğrulayıcısı kullanılmalı,

• Sisteminiz her zaman en güncel sürümle güncellenmeli,

• Oturum açma günlüklerinin takibi yapılmalı,

• Mobil cihazların güvenliğinin takibi yapılmalı

Detaylı bilgi için info@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.irsiniz.