Şirketten yapılan açıklamaya göre, bu yeni yöntemde geleneksel oltalama saldırılarından farklı olarak, modern güvenlik sistemleri tarafından kolayca engellenebilen zararlı bağlantılar yerine daha karmaşık ve çok katmanlı bir yapı tercih ediliyor.
Güvenilir Altyapılar Üzerinden Saldırı
Siber saldırganlar, Bubble’ın sunduğu görsel geliştirme araçlarını kullanarak “*.bubble.io” gibi güvenilir alan adları üzerinde ara web uygulamaları oluşturuyor. Bu uygulamalar, ilk bakışta zararsız görünse de kullanıcıları gizli şekilde zararlı sayfalara yönlendiren birer “aracı” (redirector) görevi görüyor.
Bu yaklaşım, saldırıların güvenilirliğini artırırken aynı zamanda güvenlik filtrelerinin aşılmasını da kolaylaştırıyor.
Microsoft Taklidi ve Cloudflare Katmanı
Tespit edilen saldırılarda kullanıcılar, nihai aşamada Microsoft giriş sayfasının oldukça inandırıcı bir kopyasına yönlendiriliyor. Sahte sayfa, zararlı içeriği gizlemek amacıyla Cloudflare doğrulama katmanıyla korunuyor.
Gelişmiş Phishing Altyapılarıyla Entegre
Yeni tekniğin, “Hizmet Olarak Kimlik Avı” (PhaaS) platformlarına entegre edildiği değerlendiriliyor. Bu sistemler;
- Oturum çerezlerini gerçek zamanlı ele geçirme
- Google servisleri üzerinden saldırı yürütme (Tasks, Forms)
- Çok faktörlü kimlik doğrulamayı aşabilen “Ortadaki Saldırgan” (AiTM) saldırıları
gibi gelişmiş özellikler sunuyor.
Ayrıca yapay zeka destekli oltalama e-postaları oluşturma, coğrafi filtreleme ile tespit edilmekten kaçınma ve kara listeye girmemek için Amazon Web Services gibi bulut altyapılarını kullanma gibi teknikler de dikkat çekiyor.
Uzman Uyarısı
Kaspersky Anti-Spam Uzmanı Roman Dedenok, Bubble gibi meşru platformların kötüye kullanılmasının güven istismarını yeni bir seviyeye taşıdığına dikkat çekti.
Dedenok, “Bu durum hem kullanıcıların hem de otomatik güvenlik sistemlerinin zararlı ve güvenli içeriği ayırt etmesini zorlaştırıyor. Sonuç olarak kimlik bilgilerinin çalınması, yetkisiz erişim ve veri ihlali riskleri ciddi şekilde artıyor.” değerlendirmesinde bulundu.