2024 yılında Nomani adlı yatırım dolandırıcılığı kampanyasında %62 oranında artış gözlemlendi. Bu saldırılar, Facebook ve YouTube gibi sosyal medya platformlarında yapay zeka (YZ) destekli deepfake videolar ve sahte reklamlar aracılığıyla yürütülüyor. Slovakya merkezli bir siber güvenlik şirketinin verilerine göre, yıl içinde 64.000’den fazla benzersiz URL engellendi ve saldırılar özellikle Çekya, Japonya, Slovakya, İspanya ve Polonya’da yoğunlaştı.
Saldırının Genel Çerçevesi
Nomani dolandırıcılığı, kullanıcıları var olmayan yatırım ürünlerine para yatırmaya ikna etmek için YZ destekli video referansları ve şirket markalı sosyal medya paylaşımlarını kullanıyor. Bu ürünler yüksek getiri vaat ediyor ancak mağdurlar kâr talebinde bulunduklarında ek ücretler ödemeleri veya kimlik, kredi kartı gibi hassas bilgilerini paylaşmaları isteniyor. Sonuçta hedeflenen finansal kayıp yaşanıyor.
Dolandırıcılar, çalınan fonların geri alınmasına yardım vaat eden Europol ve INTERPOL gibi kurumların isimlerini kullanarak sosyal medyada yeni oltalama kampanyaları düzenliyor ve mağdurları tekrar dolandırmaya çalışıyorlar. Bu durum, saldırı zincirinin çok aşamalı ve karmaşık hale geldiğini gösteriyor.
Saldırı Zinciri ve Teknik Detaylar
Bu dolandırıcılıkta kullanılan teknikler arasında YZ tarafından oluşturulan yüksek çözünürlüklü deepfake videolar, doğal olmayan hareketlerin azaltılması ve ses-görüntü senkronizasyonunun iyileştirilmesi yer alıyor. Üretilen içerikler, güncel olaylar ve kamuoyunda bilinen kişilikler üzerinden güvenilirlik kazanıyor. Örneğin, Çekya’da sahte bir haber makalesi hükümetin dolandırıcılık amaçlı kripto para platformlarından yatırım yapıp yüksek getiri sağladığını iddia etti.
Kampanyalar genellikle kısa süreli çalıştırılıyor ve hedefleme kriterlerini karşılamayan kullanıcılar zararsız gizleme sayfalarına yönlendiriliyor. Ayrıca, sosyal medya reklam çerçevesinde kullanılan formlar ve anketler, mağdurların bilgilerini toplamak için meşru araçlar gibi kötüye kullanılıyor. HTML şablonlarında ise yapay zeka araçlarının kullanıldığı ve bu şablonların Rusya ve Ukrayna kaynaklı GitHub depolarından temin edildiği tespit edildi.
Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Öneriler
- Sosyal medya reklamlarında kullanılan URL ve domainlerin sürekli izlenmesi ve anormal trafik tespiti için SIEM çözümlerinin konfigüre edilmesi.
- Phishing ve oltalama saldırılarını tespit etmek için e-posta güvenliği çözümlerinde gelişmiş makine öğrenimi tabanlı filtrelerin kullanılması.
- EDR sistemlerinde deepfake ve YZ tabanlı içeriklerin tespiti için davranış analizi kurallarının güncellenmesi.
- Kullanıcı erişim yönetiminde IAM ve Zero Trust prensiplerinin uygulanarak kimlik doğrulama süreçlerinin güçlendirilmesi.
- Firewall ve web filtreleme kurallarında sosyal medya reklam kaynaklı zararlı içeriklerin engellenmesi için dinamik liste güncellemelerinin yapılması.
- Olay müdahale (incident response) süreçlerinde sosyal medya kaynaklı oltalama vakalarına özel prosedürlerin geliştirilmesi.
- Çalışanlara yönelik düzenli farkındalık eğitimleriyle sosyal mühendislik ve deepfake saldırılarına karşı bilinçlendirme yapılması.
- Log yönetiminde sosyal medya reklam kampanyalarından gelen trafik ve form doldurma aktivitelerinin detaylı kaydedilmesi.
Kurumsal Ortamlarda Olası Senaryo
Bir finans kurumunda, Nomani benzeri bir dolandırıcılık kampanyası sosyal medya reklamları aracılığıyla çalışanlara ulaşabilir. YZ destekli sahte videolarla yüksek getiri vaat eden yatırım fırsatları sunulur. Çalışanlar bu tuzağa düşerek kimlik bilgilerini paylaşabilir ve kurumun finansal sistemlerine erişim sağlanabilir. Bu tür saldırılar, ağ segmentasyonu ve çok faktörlü kimlik doğrulama (MFA) gibi önlemlerle engellenmelidir.
Teknik Özet
- Kullanılan araçlar: YZ destekli deepfake video üretim araçları, sosyal medya reklam platformları, oltalama formları.
- Hedef bölgeler: Avrupa (Çekya, Slovakya, Polonya, İspanya), Japonya.
- Zafiyetler: Sosyal mühendislik, kimlik avı, kullanıcıların kişisel ve finansal bilgilerini ele geçirme.
- Saldırı zinciri: Sosyal medya reklamı → Deepfake video ile güven oluşturma → Yatırım vaadi → Kişisel bilgi ve ek ücret talepleri → Finansal kayıp ve tekrar dolandırma.
- Önerilen savunma: Sosyal medya reklamlarının izlenmesi, kullanıcı farkındalığı, EDR ve SIEM entegrasyonları, IAM ve Zero Trust uygulamaları.
Nomani dolandırıcılığı, sosyal medya platformlarındaki reklam sistemlerinin kötüye kullanılması ve yapay zeka teknolojilerinin saldırı araçlarına entegre edilmesiyle daha sofistike hale geldi. Bu durum, e-posta güvenliği, bulut güvenliği ve olay müdahale gibi alanlarda yeni önlemler alınmasını zorunlu kılıyor.