siber güvenlik Siber suç phishing Starkiller MFA saldırıları online güvenlik sahte web siteleri veri hırsızlığı dolandırıcılık yöntemleri

Starkiller: Phishing Dünyasında Yeni Bir Tehdit

Çoğu phishing sitesi, popüler platformların statik kopyalarından oluşuyordu ve siber güvenlik ekipleri tarafından hızla tespit edilip kapatılıyordu. Ancak Starkiller adlı yeni bir phishing-as-a-service hizmeti, saldırganlara hem tespit edilme riskini azaltma hem de kurbanların gerçek sayfalara erişimini sağlama imkanı sunuyor.

Gerçek Sayfaları Kullanan Akıllı Phishing

Starkiller, kullanıcıları gerçek marka sayfalarına yönlendirirken, aradaki trafiği kendi altyapısı üzerinden yönlendiriyor. Bu sayede kurbanın girdiği kullanıcı adı, şifre ve çok faktörlü kimlik doğrulama (MFA) kodları da dahil olmak üzere tüm veriler saldırganlar tarafından kaydediliyor.

Nasıl Çalışıyor?

Saldırganlar, Starkiller üzerinden hedefledikleri markayı seçiyor (örneğin Apple, Facebook, Google, Microsoft vb.) ve hizmet, gerçek domaine benzeyen sahte bir URL oluşturuyor. Örneğin, Microsoft kullanıcılarını hedef alan bir phishing bağlantısı şu şekilde görünebiliyor:

  • login.microsoft.com@[kötü_niyetli_kısaltılmış_url]

@ işareti, URL’nin kullanıcı adı kısmında yer aldığı için tarayıcı, bağlantıyı gerçek hedef sayfaya yönlendiriyor gibi gösteriyor. Ancak arka planda, saldırganın sunucusu tüm trafiği kaydediyor.

Starkiller’in Sunduğu Tehditler

Güvenlik firması Abnormal AI tarafından incelenen Starkiller, aşağıdaki özelliklere sahip:

  • Gerçek zamanlı izleme: Kurbanın ekranını canlı olarak izleme imkanı.
  • Tuş kaydedici: Her tuş vuruşunu kaydetme.
  • Çerez ve oturum token’ı hırsızlığı: Doğrudan hesap ele geçirme.
  • Coğrafi takip: Kurbanın konumunu belirleme.
  • Telegram bildirimleri: Yeni kimlik bilgileri geldiğinde otomatik uyarı.
  • Kampanya analitiği: Ziyaret sayıları, dönüşüm oranları ve performans grafikleri.

MFA Kodları da Ele Geçiriliyor

Starkiller’in en tehlikeli yanı, MFA kodlarını da kaydetmesi. Kurban, gerçek sayfaya erişiyor gibi görünse de, tüm kimlik doğrulama verileri saldırganın sunucusundan geçiyor. Bu sayede saldırganlar, MFA korumasını da aşabiliyor.

"Starkiller, Docker konteyneri içinde çalışan headless Chrome tarayıcısıyla gerçek sayfayı yükleyerek, kullanıcı girişlerini ve yanıtları saldırganın altyapısından geçiriyor. Her tuş vuruşu, form gönderimi ve oturum token’ı saldırganlar tarafından kaydediliyor."

Abnormal AI araştırmacıları Callie Baron ve Piotr Wojtyla

Siber Suçlular için Yeni Bir Silah

Starkiller, siber suçlulara hem teknik bilgiye sahip olma gereksinimini ortadan kaldırıyor hem de daha etkili phishing saldırıları gerçekleştirme imkanı sunuyor. Bu tür hizmetlerin yaygınlaşması, hem bireyleri hem de şirketleri daha büyük tehditlere maruz bırakıyor.

Kaynak: Krebs on Security
Kimwolf Botnet'in Saldırganı 'Dort' Kimdir? Siber Suç Dünyasının Gizemli Figürü
Sonraki →

Kimwolf Botnet'in Saldırganı 'Dort' Kimdir? Siber Suç Dünyasının Gizem...