Siber Suçluların Çalıntı Kredi Kartı Bilgilerini Telegram Üzerinden Paylaştığı Ortaya Çıktı

Finansal bilgiler çalmak için kullandıkları yöntemleri her geçen gün artıran siber suç örgütleri, kötü niyetli amaçlarına bu kez de Telegram sohbet uygulamasını alet etti. Magecart, çevrimiçi alışveriş sepeti sistemlerini hedef alan siber suç örgütlerinin oluşturduğu yasa dışı konsorsiyumu temsil ediyor. Bu kapsamda Magenta sistemi adı verilen siber saldırı ile tüketicilerin kredi kartı bilgileri çalınıyor. Bu yöntem siber suç dünyasında “tedarik zinciri saldırısı” olarak biliniyor.

Saldırılarda, bir risk değerine (VAR), sistem bütünleştiricisine veya bir sanayi sürecine ait üçüncü parti yazılım, bilişim teknolojileri (IT) sisteminden habersiz müdahaleye uğruyor. Alışveriş sepetlerinin tercih edilmesinin nedeni ise basit: Tüketiciler hakkındaki finansal bilgileri saklaması.

Güvenlik araştırmacıları, Telegram kullanılarak gerçekleştirilen dışarı veri aktarma yönteminin etkin olduğunu ve siber güvenlikçiler tarafından bloke edilebilecek bir altyapı gerektirmediğini ifade ediyor. Ek olarak siber suçluların bu yöntemi kullanarak her bir hedef hakkında gerçek zamanlı bildiri alabildiği ve çalınan finansal verileri suç kara borsalarında paraya dönüştürdükleri kaydediliyor.

Söz konusu TTP (taktik, teknik ve prosedür), ilk olarak Hollanda merkezli güvenlik araştırmacıların elde ettiği veriler ışığında ortaya çıkarıldı.

Süreç nasıl ilerliyor?

Magecart’ın bilinen en temel operasyon şekli, web sayfalarına bilinen bir güvenlik açığı veya çalıntı hesap bilgileri kullanarak sızmak. Gerçekleştirilen sanal kredi kartı dolandırıcılığı genelde “formjacking saldırıları” olarak biliniyor ve ağırlıklı olarak siber korsanların e-ticaret web sayfalarına gizlice yükledikleri JavaScript kodları üzerinden çalışıyor. Genelde kart ödeme sayfalarına yapılan müdahale ile tüketicilerin kredi kartı bilgileri gerçek zamanlı olarak ele geçiriliyor ve suçluların kontrolündeki bir sunucuya aktarılıyor.

Siber korsanlar son dönem saldırılarında değişikliğe giderek kart çalma kodlarını görüntü metadata bilgileri içinde saklamaya, hatta uluslararası alan adı (IDN) homograf saldırılarını tercih etmeye başladı. Söz konusu yöntem ile Magecart örgütleri çok sayıda web sayfasına favicon dosyası içine gizleyerek kötü amaçlı kod yükleyebiliyor. Favicon dosyası, bir web sayfasının adres çubuğunun yanında beliren ikonları temsil ediyor.

Gelinen en son noktada siber suçlular, dışarı aktarmayı başardıkları isim, adres, kredi kartı numarası, son kullanım tarihi ve güvenlik kodu gibi bilgileri şifreli anında mesajlaşma uygulaması Telegram üzerinden gerçekleştiriyor. Bunu yapmak için kötü amaçlı kodun içinde saklanmış bot ID (kimlik) kullanılıyor.

Neden Telegram?

Telegram API (uygulama programlama arayüzleri) aracılığıyla gerçekleştirilen veri değiş-tokuşları bir sohbet kanalına aktarılıyor. Veriler önceden şifrelenmiş oldukları için tanımlanmaları çok daha zorlaşıyor.

Telegram kullanılmasının siber suçlular için en büyük avantajı, veri iletimini sağlamak için bir kumanda ve kontrol (C&C) altyapısı kurmak zorunda kalmamaları. Güvenlik araştırmacıları, Telegram’ın Magecart saldırılarını önlemek konusunda siber suçlulara avantaj sağlayacağını, ağ seviyesinde iletişim kesilse bile suçluların başka bir mesajlaşma uygulamasına geçerek işlemlerini sürdürebileceğini belirtti.