İnceleme İçin Güvenli Belge E-posta Dolandırıcılığı

Günümüzün tehdit ortamında beklenmedik e-postalara karşı dikkatli olmak çok önemlidir. Siber suçlular, alıcıları hassas bilgileri ifşa etmeye kandırmak için kimlik avı mesajlarını sıklıkla meşru iş iletişimleri gibi gösterirler. 'İnceleme İçin Güvenli Belge' e-postası da bunun bir örneğidir. Profesyonel görünümüne rağmen, bu kampanya herhangi bir meşru şirket, kuruluş, belge paylaşım platformu veya e-posta sağlayıcısıyla ilişkili değildir. Tek amacı, şüphelenmeyen kullanıcılardan e-posta hesabı kimlik bilgilerini çalmaktır.

'İnceleme İçin Güvenli Belge' Aldatmacasının Ardında Yatanlar

'Güvenli Belge İncelemesi' başlıklı e-postaların derinlemesine analizi, bunların giriş bilgilerini ele geçirmek için tasarlanmış kimlik avı mesajları olduğunu doğruladı. E-postalar, güvenli belge paylaşım bildirimleri gibi görünmekte ve alıcının incelemesi için 'Contract_Agreement_0035040_ACH_Payment.pdf' başlıklı gizli bir sözleşme dosyasının hazırlandığını iddia etmektedir.

Aciliyet hissi yaratmak için mesajda belge bağlantısının 72 saat içinde süresinin dolacağı belirtiliyor. Geri sayım, alıcıları e-postanın gerçekliğini dikkatlice değerlendirmeden hızlı hareket etmeye teşvik eden bir güvenlik özelliği olarak sunuluyor.

Bu mesajlarda kullanılan bir diğer taktik ise, alıcılara e-postanın spam olarak filtrelenmesi durumunda gelen kutusuna taşımaları yönünde talimat vermektir. Güvenilir görünme çabası, şüpheyi azaltmayı ve mağdurun içerikle etkileşime girme olasılığını artırmayı amaçlamaktadır.

Sahte Güvenli Belge Portalı

E-postada 'Belgeyi Güvenli Bir Şekilde Aç' başlıklı bir düğme veya bağlantı bulunmaktadır. Bu bağlantı, meşru bir belge paylaşım hizmetine yönlendirmek yerine, kullanıcıları esnad-fls(dot)com adresinde barındırılan sahte bir web sitesine yönlendirmektedir.

Bu web sitesi, kendisini yanlış bir şekilde güvenli bir e-posta kimlik doğrulama portalı olarak tanıtıyor. Çoğu durumda, Google'ın oturum açma arayüzünün görünümünü yakından taklit eden ve 'Gmail Güvenli Portalı' olarak etiketlenebilen sahte bir giriş sayfası gösteriyor. Ziyaretçilerden, sözde belgeye erişmek için e-posta adreslerini ve şifrelerini girmeleri isteniyor.

Araştırmacılar, kimlik avı sayfasının alıcının e-posta sağlayıcısına bağlı olarak görünümünü dinamik olarak ayarlayabildiğini gözlemlemiştir. Gmail kullanıcıları Google temalı bir giriş sayfası görebilirken, diğer e-posta servislerinin kullanıcılarına kendi sağlayıcılarına benzeyecek şekilde tasarlanmış arayüzler sunulabilir. Bu özelleştirme, dolandırıcılığın daha inandırıcı görünmesine yardımcı olur.

Kimlik bilgileri girildikten sonra ne olur?

Sahte giriş formu aracılığıyla gönderilen her türlü bilgi doğrudan dolandırıcılara iletilir. Saldırganlar bir e-posta hesabına erişim sağladıktan sonra, bunu birçok şekilde kötüye kullanabilirler:

• Hassas e-postalara ve saklanan kişisel bilgilere erişim.

• Bağlantılı hesaplar ve hizmetler için şifreleri sıfırlayın.

• Sonraki kimlik avı kampanyalarında kurbanın kimliğine bürünün.

• Kimlik hırsızlığı ve diğer dolandırıcılık türlerini işlemek.

Google'ın bu operasyonla hiçbir bağlantısının olmadığını ve dolandırıcılıkta kullanılan web sitesinin herhangi bir meşru e-posta hizmeti veya belge paylaşım platformuyla ilişkili olmadığını vurgulamak önemlidir.

Dolandırıcılığı Ortaya Çıkaran Uyarı İşaretleri

Bu e-postaların sahtekarlık niteliğini ortaya koyan çeşitli göstergeler mevcuttur. Mesaj, süresi dolmak üzere olan bir belge bildirimiyle gereksiz bir aciliyet yaratıyor, bilinmeyen bir harici bağlantı aracılığıyla işlem yapılmasını istiyor ve alıcıları herhangi bir meşru hizmetle ilgisi olmayan bir giriş sayfasına yönlendiriyor. Paylaşılan bir belgeyi görüntülemek için e-posta kimlik bilgilerinin girilmesi gerekliliği de önemli bir uyarı işaretidir.

Kullanıcılar her zaman göndereni doğrulamalı, bağlantıları tıklamadan önce dikkatlice incelemeli ve özellikle acil işlem gerektiren istenmeyen belge paylaşım bildirimlerine karşı şüpheci olmalıdır.

Kimlik Bilgisi Hırsızlığından Daha Fazlası: Kötü Amaçlı Yazılım Riski

Bu özel kampanya giriş bilgilerini çalmaya odaklanmış olsa da, benzer dolandırıcılık e-postaları sıklıkla kötü amaçlı yazılım dağıtmak için kullanılır. Siber suçlular genellikle virüslü ekler veya zararlı web sitelerine bağlantılar içeren spam e-postalar aracılığıyla kötü amaçlı yazılımlar dağıtırlar.

Sık rastlanan kötü amaçlı dosya türleri arasında çalıştırılabilir programlar, sıkıştırılmış arşivler, PDF dosyaları ve Microsoft Office belgeleri bulunur. Bazı durumlarda, bir dosyayı açmak kötü amaçlı kod yürütülmesini tetikleyebilir. Diğer durumlarda ise, alıcılardan makroları etkinleştirmeleri veya enfeksiyon sürecini başlatan ek içerik indirmeleri istenebilir.

Kimlik avı e-postalarına yerleştirilen bağlantılar, kullanıcıları otomatik olarak kötü amaçlı yazılım indiren veya tehlikeli dosyaları manuel olarak çalıştırmaya teşvik eden web sitelerine yönlendirebilir.

Bu E-postalara Nasıl Yanıt Verilir?

Gelen kutunuza 'İnceleme İçin Güvenli Belge' başlıklı bir e-posta gelirse, en güvenli hareket tarzı basittir:

• Mesajda yer alan hiçbir bağlantıya veya düğmeye tıklamayın.
• E-posta yoluyla eriştiğiniz hiçbir sayfada oturum açma bilgilerinizi girmeyin.
• E-postayı silin ve mümkünse kimlik avı veya spam olarak işaretleyin.
• Kimlik bilgileriniz zaten gönderilmişse, hesap şifrelerinizi derhal değiştirin.

Son Değerlendirme

"İnceleme İçin Güvenli Belge" başlıklı e-posta, belge paylaşım bildirimi kılığında gizlenmiş bir kimlik avı dolandırıcılığıdır. Gizli bir sözleşme belgesinin incelenmeyi beklediğini yanlış bir şekilde iddia eder ve alıcıları esnad-fls(dot)com adresinde barındırılan sahte bir giriş sayfasına yönlendirir. Amaç, e-posta hesabı kimlik bilgilerini çalmak ve bunları hesap ele geçirme, kimlik hırsızlığı ve diğer siber suç faaliyetleri için kullanmaktır. Alıcılar e-postayla etkileşime girmekten, herhangi bir bağlantıya tıklamaktan kaçınmalı ve mesajı derhal silmelidir.