Son dönemde Orta Doğu ve Kuzey Afrika (MENA) bölgesindeki kullanıcıları hedef alan yeni bir dolandırıcılık dalgası ortaya çıktı. Sniper Dz adlı phishing-as-a-service (PhaaS) platformu üzerinden organize edilen bu kampanyalarda, kullanıcılar sahte Facebook reklamları ve tarayıcı bildirimleri yoluyla kandırılıyor.
Saldırı Zincirinin Detayları
Dolandırıcılar, ücretsiz mobil internet paketleri, maddi tazminatlar ve devlet destek programları gibi cazip teklifler sunarak sosyal mühendislik taktikleri uyguluyor. Kullanıcılar, bu sahte avantajları talep etmek için linklere tıklamaya teşvik ediliyor ancak tıklamalar, bir dizi ara sunucu web sitesi üzerinden yönlendirilerek sonunda kimlik avı ve trafiğin para kazanma altyapısına bağlanıyor.
Platformun merkezi Singapur’da bulunuyor ve geçtiğimiz ay INTERPOL koordinasyonunda gerçekleştirilen operasyonla kapatıldı. Ancak elde edilen bulgular, Sniper Dz’nin sadece kimlik bilgisi çalmakla kalmayıp, aynı zamanda tarayıcı bildirimlerini kötüye kullanmak, premium SMS abonelikleri, yüksek ücretli çağrılar ve yatırım dolandırıcılıkları yoluyla da yasa dışı gelir sağladığını gösteriyor.
Nasıl Çalışıyor?
Tipik bir Sniper Dz saldırısı, yerel telekom sağlayıcılarını taklit eden sosyal mühendislik tuzakları ile başlıyor. Örneğin Algérie Télécom gibi tanınmış bir kurum adı kullanılarak, Facebook gönderilerinde sahte kampanyalar duyuruluyor. Bu gönderilerdeki linkler, doğrudan zararlı siteye değil, öncelikle Linkbio, Linktree gibi güvenilir link toplama servislerinde barındırılan ara sayfalara yönlendiriyor. Bu ara katman, kurbanların şüphe duymadan ilerlemesini sağlamak için tasarlanmış.
Sonraki aşamada, kullanıcıların tarayıcı bildirimlerine izin vermeleri isteniyor. Bu izni veren tarayıcı, VAPID (Voluntary Application Server Identification) anahtarı kullanılarak push bildirim sistemine otomatik olarak abone ediliyor. İlginç olan, aynı VAPID anahtarının farklı dolandırıcılık kampanyalarında ve çeşitli coğrafyalarda tekrar tekrar kullanılması. Bu da saldırganların bağımsız altyapılar yerine ortak bir push bildirim ekosistemi üzerinde çalıştığını gösteriyor.
Tarayıcı Manipülasyonları ve Trafik Kazancı
Kampanya, kullanıcıların geri tuşunu manipüle ederek 10 sahte geçmiş durumu ekliyor. Bu yöntemle, kurbanlar istemedikleri reklamların gösterildiği veya dolandırıcıların kontrolündeki sayfalarda sıkışıp kalabiliyor. Ayrıca linklere tıklama anında yeni bir sekme açılırken, orijinal sekme sessizce saldırganların belirlediği farklı bir siteye yönlendiriliyor. Böylece, kullanıcı sayfadan çıktığını düşünse de trafik yönlendirmesi ve para kazanma süreci devam ediyor.
Para Kazanma Aşamaları
Bildirim altyapısına abone edilen kullanıcılar, cihaz türü, konum ve mobil operatör gibi parametrelere göre farklı dolandırıcılık türlerine yönlendiriliyor. Bunlar arasında yüksek ücretli aramalar, premium SMS tuzakları ve yatırım dolandırıcılıkları bulunuyor. Bu tür modern dolandırıcılıklar, artık klasik zararlı yazılım yaymaktan çok tarayıcı özelliklerini ve güvenilir platformları kötüye kullanarak çalışıyor.
Kurumsal Güvenlik İçin Notlar
Bu saldırı modeli, özellikle sosyal mühendislik ve tarayıcı tabanlı saldırılar üzerine odaklanıyor. Kurumsal ortamlar için; e-posta güvenliği çözümlerinin yanı sıra, tarayıcı izinlerinin dikkatli yönetilmesi, SIEM ve EDR sistemlerinde push bildirimleri ve şüpheli yönlendirmeler için özel kurallar oluşturulması öneriliyor. Ayrıca, ağ segmentasyonu ve zafiyet yönetimi süreçlerinin güçlendirilmesi, bu tür kampanyaların etkisini azaltmada kritik rol oynuyor.
Güncel saldırı taktiklerini anlamak, olay müdahale ekiplerinin hızlı ve etkili aksiyon almasını sağlar. Dolandırıcıların kullandığı VAPID anahtarlarının izlenmesi, benzer kampanyaların erken tespiti için önemli bir gösterge olabilir.