Birleşik Krallık’ta göçmen işçi ve öğrencilere sponsor olan kuruluşlar, siber suçluların hedefi haline geldi. E-posta güvenlik uzmanı Mimecast, İngiliz İçişleri Bakanlığı’nın (Home Office) markasını istismar eden yeni bir kimlik avı (phishing) kampanyası tespit etti. Bu kampanya, Birleşik Krallık hükümetinin Sponsorluk Yönetim Sistemi’ne (SMS) katılan göçmen sponsor lisans sahiplerini hedef alıyor.
SMS, İşçi ve Geçici İşçi kategorilerinde vize sponsoru olan işverenler ile Öğrenci ve Çocuk kategorilerinde vize sponsoru olan kurumlar için tasarlanmış bir sistemdir. Bu sistem, potansiyel çalışanlar veya öğrenciler için sponsorluk sertifikaları oluşturmak ve atamak, ayrıca sponsorlu göçmenlerin durum değişikliklerini bildirmek amacıyla kullanılıyor.
Mimecast’in Tehdit Araştırma Ekibi’nden Samantha Clarke, Hiwot Mendahun ve Ankit Gupta tarafından tespit edilen bu kampanyanın arkasındaki aktörler, öncelikli olarak finansal istismar ve veri hırsızlığı için kimlik bilgilerini ele geçirmeyi amaçlıyor. Mimecast ekibi, “Bu kampanya, Birleşik Krallık göçmenlik sistemi için önemli bir tehdit oluşturuyor; saldırganlar, Sponsorluk Yönetim Sistemi’ne erişimi kapsamlı finansal ve veri istismarı amacıyla ele geçirmeye çalışıyor,” açıklamasını yaptı.
Tehdit aktörleri, genellikle genel kurumsal e-posta adreslerine gönderilen ve uyumluluk sorunları veya hesap askıya alma hakkında acil uyarılar içeren sahte e-postalar kullanıyor. Bu mesajlar, alıcıları sahte SMS giriş sayfalarına yönlendiren kötü amaçlı bağlantılar içeriyor. Bu sayfalar, kullanıcı kimliklerini ve şifrelerini çalmak için tasarlanmış, ikna edici görünümlere sahip.
Sistematik kampanya, ilk bakışta gerçek bir İçişleri Bakanlığı bildirimi gibi görünen kimlik avı e-postalarıyla başlıyor. Bu mesajlar, acil bildirimler veya hızlı dikkat gerektiren sistem uyarıları gibi sunuluyor ancak gerçekte kullanıcıları sahte giriş sayfalarına yönlendirerek kurbanların SMS kimlik bilgilerini ele geçiriyor.
Mimecast ekibinin yaptığı derinlemesine teknik analizler, saldırganların başlangıçta bir filtreleme mekanizması olarak CAPTCHA korumalı URL’ler kullandığını, ardından kullanıcıları gerçek SMS sayfasının birebir kopyası olan kimlik avı sayfalarına yönlendirdiğini ortaya koydu. Bu sahte sayfalar, çalınmış HTML kodları, resmi Birleşik Krallık hükümeti varlıklarına yönlendiren bağlantılar ve form gönderim sürecinde kritik ancak minimal değişiklikler içeriyor.
Ekip, “Tehdit aktörleri, Birleşik Krallık göçmenlik sistemi içindeki hükümet iletişim modelleri ve kullanıcı beklentileri hakkında gelişmiş bir anlayış sergiliyor,” dedi.
Kimlik avı saldırısının amacı iki yönlü görünüyor: hem Birleşik Krallık’a göçmenlere yasal olarak sponsor olan kuruluşları hem de göçmenlerin kendilerini hedef alıyor. Mimecast ekibi, birincil kurbanlarının SMS kimlik bilgilerini ele geçirdikten sonra, saldırganların birden fazla gelir elde etme hedefi güttüğünü belirtti.
Bu hedeflerin başında, sahte Sponsorluk Sertifikaları (CoS) düzenlenmesini kolaylaştırmak için ele geçirilmiş hesaplara erişimin karanlık web forumlarında satılması ve kuruluşlara karşı gasp saldırıları düzenlenmesi geliyor. Ancak daha karanlık ve potansiyel olarak daha kazançlı bir istismar yolu, sahte iş teklifleri ve vize sponsorluk şemaları oluşturmayı içeriyor.
Computer Weekly’nin edindiği bilgiye göre, Birleşik Krallık’a taşınmak isteyen bazı mağdurlar, siber suçlular tarafından sahte vizeler ve hiç gerçekleşmeyen iş teklifleri için 20.000 £’a kadar dolandırıldı.
Mimecast, bu kimlik avı kampanyasından etkilenebilecek müşterileri için kapsamlı tespit yeteneklerini zaten uygulamaya koydu. E-posta güvenlik platformu, ilgili gelen e-postaları tespit edip engelliyor ve gelişmeleri izlemeye devam ediyor.
SMS hizmetini kullanan kuruluşların genel olarak aşağıdaki adımları atması öneriliyor:
- Hükümet taklidini ve şüpheli URL desenlerini tespit etmek için e-posta güvenlik yeteneklerini kullanın. Kullanıcı etkileşiminden önce bağlantıları analiz etmek için URL yeniden yazma ve sanal alan (sandboxing) özelliklerini uygulayın.
- SMS erişiminde çok faktörlü kimlik doğrulamayı (MFA) uygulayın ve zorunlu kılın. Bu kimlik bilgilerini sık sık değiştirin ve SMS hesaplarını garip erişim desenleri veya tutarsız giriş konumları açısından izleyin.
- Erişimi olan kişileri gerçek İçişleri Bakanlığı iletişimleri ve resmi e-posta alanları hakkında bilgilendirin. Özellikle acil bildirimler üzerinde işlem yapmadan önce doğrulamanın önemini vurgulayın. Genel kimlik avı farkındalık eğitimleri ve simülasyonları düzenleyin.
- SMS ile ilgili iletişimler için doğrulama prosedürleri oluşturun. SMS ihlallerini olay müdahale protokollerine dahil edin ve mümkünse tek hata noktası senaryolarını önlemek için SMS görevlerini ayırın.
Birleşik Krallık İçişleri Bakanlığı’ndan konuyla ilgili yorum almak için iletişime geçildiği belirtildi.
