Smishing Triad Tehdit Aktörü

1 Ocak 2024'ten bu yana, dünya çapında çok çeşitli hizmetleri hedef alan 194.000'den fazla kötü amaçlı alan adıyla bağlantılı büyük ölçekli bir smishing kampanyası başlatıldı. Kampanya, kullanıcıları hassas bilgilerini ifşa etmeye kandırmak için aldatıcı SMS mesajlarından yararlanıyor ve bu mesajlar genellikle ücret ihlalleri veya yanlış teslim edilen paketler gibi görünüyor.

Alan adları Hong Kong merkezli bir kayıt kuruluşu aracılığıyla kaydedilmesine ve Çin isim sunucuları kullanılmasına rağmen, saldırı altyapısı öncelikle küresel olarak dağıtılmış bir kurulumu yansıtan ABD'de barındırılan bulut hizmetleri üzerinden çalışıyor.

Smishing Üçlüsü: Çin Bağlantılı Tehdit Aktörleri

Kampanya, mobil cihazları sahte bildirimlerle doldurmasıyla ünlenen Çin bağlantılı Smishing Triad adlı bir gruba atfediliyor. Son üç yılda bu kampanyalar oldukça kârlı oldu ve tehdit aktörlerine 1 milyar dolardan fazla gelir sağladı.

Son bulgular, taktiklerinde önemli bir evrim olduğunu ortaya koyuyor. Kimlik avı kitleri, bankacılık kimlik bilgilerini ve kimlik doğrulama kodlarını çalmak için aracı kurum hesaplarını giderek daha fazla hedef alıyor. Bu hesaplara yönelik saldırılar, 2025'in ikinci çeyreğinde 2024'ün aynı dönemine kıyasla beş kat arttı. Saldırganlar, ele geçirildikten sonra, "yükselt ve boşalt" yöntemleriyle hisse senedi fiyatlarını manipüle ederek, çok az belge izi bırakıyor.

Kimlik Avı Hizmeti: İyi İşleyen Bir Suç Ekosistemi

Smishing Üçlüsü, basit bir kimlik avı kiti sağlayıcısından, birden fazla uzmanlaşmış aktörden oluşan, oldukça aktif bir Kimlik Avı Hizmeti (PhaaS) topluluğuna dönüştü:

• Oltalama kiti geliştiricileri – araçları yaratın.
• Veri aracıları – hedef telefon numaralarını sağlar.
• Alan adı satıcıları – dolandırıcılık sitelerini barındırmak için tek kullanımlık alan adları kaydedin.
• Barındırma sağlayıcıları – sunucuları korur.
• Spam gönderenler – büyük ölçekte sahte mesajlar dağıtırlar.
• Canlılık tarayıcıları – aktif telefon numaralarını doğrulayın.
• Engelleme listesi tarayıcıları – rotasyon için alan adlarını engelleme listeleriyle karşılaştırın.

Bu ekosistem, hızlı dağıtım ve sürekli adaptasyona olanak tanırken, tespit ve kesintiyi zorlaştırıyor.

Alan Adı Kaydı ve Müşteri Kaybı Stratejisi

Analiz, 136.933 kök alan adının yaklaşık 93.200'ünün (%68,06) Dominet (HK) Limited altında kayıtlı olduğunu ortaya koyuyor. Bunların çoğu .com ön ekini kullansa da, son aylarda .gov alan adı kayıtlarında bir artış yaşandı.

Kampanya büyük ölçüde hızlı alan adı dönüşümüne dayanmaktadır:

• Alan adlarının %29,19'u iki gün veya daha az süreyle aktifti
• %71,3'ü bir haftadan kısa bir süre aktifti
• %82,6'sı iki hafta veya daha az süredir aktifti
• Üç aydan uzun süre hayatta kalanların oranı %6'dan az

Bu dalgalanma, 194.345 FQDN'nin 43.494 benzersiz IP'ye (çoğunlukla Cloudflare'de ABD'de) çözümlenmesiyle birleştiğinde, tehdit aktörlerinin sürekli olarak tespit edilmekten kaçınmasına olanak tanıyor.

Altyapı İçgörüleri ve Küresel Erişim

Kampanyanın altyapı analizinden elde edilen temel bulgular şunlardır:

• En çok taklit edilen hizmet 28.045 FQDN ile ABD Posta Servisi'dir.
• Yaklaşık 90.000 adet kimlik avı FQDN'si ile ücretli servis yemleri baskındır.
• En fazla trafiği oluşturan alan adları öncelikle ABD'de barındırılıyor, ardından Çin ve Singapur geliyor.

Rusya, Polonya ve Litvanya gibi ülkelerdeki bankalar, kripto para borsaları, teslimat hizmetleri, polis kuvvetleri, devlet işletmeleri, otoyol hizmetleri, araç paylaşımı uygulamaları, konaklama hizmetleri, sosyal medya ve e-ticaret platformları dahil olmak üzere çok sayıda sektörde mağdurlar hedef alınıyor.

Hükümet kimliğine bürünme kampanyaları, kullanıcıları genellikle ödenmemiş geçiş ücretleri veya hizmet bedelleri olduğunu iddia eden açılış sayfalarına yönlendirir, bazen de kullanıcıları CAPTCHA doğrulamaları kisvesi altında kötü amaçlı kodları çalıştırmaya kandırmak için ClickFix yemlerinden yararlanır.

Küresel Etkiye Sahip Merkezi Olmayan Tehdit

Smishing Triad kampanyası, küresel erişim ve merkeziyetsizliği gözler önüne seriyor. Saldırganlar, etkiyi en üst düzeye çıkarmak için çeşitli hizmetleri taklit ederek her gün binlerce alan adına kayıt oluyor ve bunlar arasında geçiş yapıyor. ABD'deki ücretli hizmetleri hedef alan Smishing kampanyaları, ölçeklenerek gelişmeye devam eden geniş, son derece uyumlu ve kârlı bir suç örgütünün yalnızca bir yönünü temsil ediyor.