Güvenlik araştırmacıları, 2024 yılı sonlarında başlayan ve 32 ülkedeki tüketicileri hedef alan “Darcula” adlı büyük bir kimlik avı operasyonunu ortaya çıkardılar. Darcula, gelişmiş bir Kimlik Avı Hizmeti (PhaaS) platformu olarak, dünya çapında 13 milyon tıklama ile yaklaşık 884.000 kredi kartı bilgisini çalmaktan sorumluydu. Bu operasyon, tipik kimlik avı saldırılarından daha karmaşık ve ölçekli olup, siber suçlulara, teknik beceri seviyelerinden bağımsız olarak saldırılar düzenleme olanağı tanıyan bir altyapıya sahipti.
Darcula
Darcula’nın Çalışma Prensibi ve Yöntemi
Darcula, siber suçluların çoğunun düşük teknik bilgiye sahip olmasına rağmen gelişmiş kimlik avı operasyonları başlatmalarını sağlayan modüler bir altyapı sunuyor. Sistem, bankacılık web siteleri, e-ticaret platformları ve ödeme portalları için SSL sertifikaları ve gerçekçi alan adları ile tasarlanmış ikna edici kopyalar sağlıyor. Bu, kullanıcılara güven vererek, onların kimlik bilgilerini ve ödeme detaylarını çalmayı amaçlıyor.
Darcula’nın en dikkat çekici yönlerinden biri, kullanıcıların çok faktörlü kimlik doğrulama (MFA) kodlarını yakalayarak, MFA’yı aşabilme yeteneği. Bu, genellikle güvenlik önlemleri olan sistemlerin bile bypass edilmesini sağlıyor ve bu da onu diğer kimlik avı saldırılarından çok daha tehlikeli kılıyor.
Çok Kanallı Saldırı Yöntemi
Darcula, çok kanallı bir yaklaşım kullanarak, kötü amaçlı bağlantıları e-posta, SMS, sosyal medya mesajları ve güvenliği ihlal edilmiş reklam ağları aracılığıyla iletiyor. Bu tür saldırılar, kullanıcılara, hesaplarında ya da satın alımlarında bir problem olduğunu iddia eden sahte acil durum mesajları gönderiyor. Kullanıcılar, bu mesajları aldıklarında, kendilerine zarar veren dolandırıcı sitelere yönlendiriliyorlar.
Bu çok kanallı saldırı yöntemi, daha fazla kullanıcıyı tuzağa düşürmeyi sağlıyor ve aynı zamanda siber suçluların tespit edilmesini zorlaştırıyor.
Darcula’nın Karmaşık Altyapısı ve Güvenliği
Darcula’nın çalışma şekli, siber güvenlik uzmanları için oldukça karmaşık. İlk erişim, sahte ödeme sayfalarına yerleştirilen zararsız görünen JavaScript koduyla sağlanıyor. Bu kod, kullanıcı bilgilerini gizlice topluyor ve güvenli bir şekilde bir sunucuya iletmeden önce şifreliyor. Sunucular genellikle meşru web siteleri tarafından ele geçirilmiş oluyor ve bilgiler, güvenli depolama altyapısına ulaşmadan önce bir dizi proxy üzerinden aktarılarak izlenmesi oldukça zor hale getiriliyor.
Bu çok aşamalı sistem, kolluk kuvvetlerinin istihbarat toplamasını ve takip etmesini son derece zorlaştırıyor. Bu yüzden Darcula’nın tespiti, siber güvenlik dünyasında önemli bir zorluk oluşturuyor.
Operasyonun Ölçeği ve Tespit
Operasyonun ölçeği, Drcula’nın arkasında oldukça büyük kaynaklar ve teknik uzmanlığa sahip, iyi organize olmuş bir siber suç örgütü bulunduğunu gösteriyor. Mnemonik analistler, finansal kuruluşlar tarafından bildirilen kredi kartı hırsızlığı örüntülerini takip ederek, Şubat 2025’te Darcula’nın varlığını tespit etmeyi başardılar.
Operasyonun tespit edilmesinin ardından, başlıca komuta ve kontrol altyapısının Doğu Avrupa ve Güneydoğu Asya’da olduğunu keşfeden araştırmacılar, siber suçluların dünya çapında geniş bir ağ kurduğunu ortaya koydular.
Darcula (PhaaS)
Güvenlik Önerileri ve Önlemler
Finans kuruluşları ve siber güvenlik şirketleri, mücadele etmek için bir görev gücü oluşturdu. Kuruluşlar, gelişmiş kimlik avı tespit sistemlerinin uygulanmasını ve müşterilere düzenli güvenlik farkındalık eğitimleri verilmesini öneriyorlar. Ayrıca, kullanıcıların kimlik doğrulama işlemleri yapmadan önce resmi kanallar aracılığıyla web sitesi doğruluğunu kontrol etmeleri gerektiği vurgulanıyor.
Bunun yanı sıra, işlem bildirimlerinin etkinleştirilmesi, yetkisiz ücretlerin hızla tespit edilmesine yardımcı olabilir.
Tehtid ve Kolluk Kuvvetlerinin Çabaları
Darcula operasyonu, modern kimlik avı saldırılarının ne kadar sofistike hale geldiğini gösteriyor. Birçok ülkedeki kolluk kuvvetleri, operatörlerini yakalamak için çabalarını koordine ediyor, ancak operasyonun karmaşık yapısı nedeniyle bu çabaların başarılı olması oldukça zor görünüyor.
Sonuç olarak, bu gibi gelişmiş tehditler karşısında, şirketlerin ve kullanıcıların daha güçlü güvenlik önlemleri alması gerektiği bir kez daha ortaya çıkıyor. Ayrıca, yetkililerin siber suçluları izlemek ve yakalamak için teknolojik olarak daha gelişmiş yöntemler kullanmaları gerektiği aşikâr.
Darcula (PhaaS), Dünya Çapındaki Kullanıcılardan 13 Milyon Tıklamayla 884.000 Kredi Kartı Detayını Çaldı yazısı ilk önce BeeTekno | Güncel Teknoloji Haberleri ve İncelemeler yayınlanmıştır.