TexnoX-in baxışı (Deep Insight)
Önəmli Detallar
- Kampaniya klassik proqram zəifliyi deyil, etibarlı SaaS platformalarının sui-istifadəsi ilə qurulan sosial mühəndislik əməliyyatıdır və buna görə ayrıca CVE və CVSS çərçivəsinə daxil edilmir.
- Fişinq mesajlarının [email protected] ünvanından göndərilməsi reputasiya əsaslı filtrləri zəiflədib, istifadəçilər isə saxta Meta dəstək səhifələrinə yönləndirilib.
- Məlumat toplama və exfiltrasiya zəncirində Netlify, Vercel, Google Drive və Telegram kimi xidmətlərdən istifadə olunub.
Ətraflı Məqalə
Google AppSheet-in göndərmə infrastrukturu üzərindən aparılan yeni fişinq kampaniyasında təxminən 30 min Facebook hesabının ələ keçirildiyi bildirilir. Guardio-nun araşdırmasına görə hücum əsasən Facebook Business istifadəçilərini hədəfləyib. Əməliyyatın fərqləndirici cəhəti zərərli domenlərdən deyil, etibarlı bulud xidmətlərindən istifadə etməsidir. Bu yanaşma fişinqin aşkarlanmasını çətinləşdirir və hesab təhlükəsizliyi nəzarətlərini dolayı yolla zəiflədir.
Hadisənin bazar və müəssisələr üçün əhəmiyyəti yalnız hesab oğurluğu ilə məhdudlaşmır. Facebook Business mühitində hesabların ələ keçirilməsi reklam idarəçiliyi, giriş bərpası və inzibati səlahiyyətlər kimi əməliyyat proseslərinə birbaşa təsir edə bilər. Bu da rəqəmsal marketinq infrastrukturu ilə işləyən şirkətlər üçün maliyyə və reputasiya riskini artırır. Kampaniya göstərir ki, təhlükə aktorları artıq çatdırılma, hostinq və məlumat çıxarılması mərhələlərində legitim platformaları sistemli şəkildə birləşdirirlər.
Texniki baxımdan bu hücum hər hansı proqram boşluğunun istismarı deyil. Mesajların [email protected] ünvanından göndərilməsi spam filtrlərini və reputasiya əsaslı müdafiəni aşmağa kömək edib, daha sonra istifadəçilər Meta dəstəyi kimi görünən saxta səhifələrə yönləndirilib. Həmin səhifələrdə giriş məlumatları, 2FA kodları, doğum tarixi, telefon nömrəsi və şəxsiyyət sənədləri toplanıb. Məlumatların ötürülməsi üçün Netlify, Vercel, Google Drive və Telegram daxil olmaqla bir neçə xidmətin istifadə edildiyi bildirilir.
Araşdırmada bəzi PDF fayllarının metadata-sında Vyetnam mənşəli ada işarə edən izlərin aşkarlandığı qeyd olunur, lakin bu detal yalnız OSINT göstəricisi kimi təqdim edilir. Daha mühüm məqam odur ki, kampaniya dağınıq fişinq cəhdindən çox, təşkilatlanmış və çoxmərhələli infrastruktur modeli ilə işləyib. Bu, vendor etibarına söykənən təhlükəsizlik yoxlamalarının təkbaşına yetərli olmadığını göstərir. Müəssisələr üçün nəticə aydındır: etibarlı platformalardan gələn bildirişlər də ayrıca təsdiq edilməli, xüsusən hesab bərpası və administrativ giriş axınlarında əlavə nəzarətlər qurulmalıdır.