TikTok Mağazasına Yönelik 15.000 Sahte Alan Adıyla Gerçekleştirilen Zararlı Yazılım ve Kripto Para Hırsızlığı Tehdidi
Siber güvenlik araştırmacıları, dünya genelinde TikTok Shop kullanıcılarını hedef alan geniş çaplı zararlı bir kampanyayı açığa çıkardı. Bu kampanya, kullanıcıların kimlik bilgilerini çalmak ve truva atı içeren uygulamaları dağıtmak amacı taşıyor. Bahreyn merkezli siber güvenlik şirketi CTM360 tarafından “ClickTok” olarak adlandırılan bu dolandırıcılık girişimi, Meta reklamları ve yapay zeka (AI) tarafından üretilen TikTok videoları kullanılarak gerçekleştiriliyor. Bu videolar, etkileyicileri veya resmi marka elçilerini taklit ederek kullanıcıları aldatıyor.
Kampanyanın merkezinde, meşru TikTok URL’lerine benzeyen benzeri görünümlü alan adları yer alıyor. Bugüne kadar 15.000’den fazla taklit edilmiş web sitesi tespit edildi. Bu alan adlarının çoğu, .top, .shop ve .icu gibi üst düzey alan adlarında barındırılıyor. Alan adları, kullanıcı kimlik bilgilerini çalmak veya sahte uygulamaları dağıtmak için tasarlanmış kimlik avı sayfaları içeriyor. Bu sahte uygulamalar, hem Android hem de iOS cihazlarından veri toplayabilen SparkKitty adlı bilinen bir çapraz platform zararlı yazılımını yerleştiriyor.
Ayrıca, bu kimlik avı sayfalarının bir kısmı, kullanıcıları sahte ürün listeleri ve büyük indirimler sunarak kripto para yatırmaya teşvik ediyor. CTM360, TikTok Shop olarak tanıtılan zararlı yazılım yüklü uygulamayı indirmek amacıyla kurulmuş en az 5.000 URL tespit ettiğini belirtti. Dolandırıcılar, sahte reklamlar, profiller ve AI tarafından üretilen içeriklerle meşru TikTok Shop etkinliklerini taklit ederek kullanıcıları kandırıyor. Sahte reklamlar, Facebook ve TikTok’ta yaygın olarak dolaşıma sokuluyor ve gerçek promosyonları taklit eden AI üretimi videolarla kullanıcıları çekici tekliflerle cezbetmeye çalışıyor.
Bu dolandırıcılık şeması, üç ana motive ile işliyor, ancak son hedef her zaman finansal kazanç:
1. Alıcıları ve bağlı program satıcılarını (satışlardan komisyon kazanan ürünleri tanıtan yaratıcıları) sahte ve indirimli ürünlerle kandırarak kripto para ile ödeme yapmalarını istemek.
2. Bağlı katılımcıları, gelecekteki komisyon ödemeleri veya çekilme bonusları vaadiyle sahte site cüzdanlarına kripto para yüklemeye ikna etmek.
3. Kullanıcıların kimlik bilgilerini çalmak veya truva atı içeren TikTok uygulamalarını indirmeleri için sahte TikTok Shop giriş sayfalarını kullanmak.
Kurulan zararlı uygulama, kurbanın kimlik bilgilerini e-posta tabanlı hesapları kullanarak girmesini istiyor, ancak bu sürekli olarak başarısız oluyor. Bu, tehdit aktörlerinin, uygulama içi e-posta doğrulaması gerektirmeyen OAuth tabanlı yöntemi kullanarak yetkisiz erişim için oturum belirtecini silahlandırmayı amaçladığı anlamına geliyor. Giriş yapan kurban TikTok Shop bölümüne erişmeye çalıştığında, kimlik bilgilerini girmesi istenen sahte bir giriş sayfasına yönlendiriliyor.
Uygulama ayrıca, bir kullanıcının fotoğraf galerisindeki ekran görüntülerini analiz etmek için optik karakter tanıma (OCR) tekniklerini kullanabilen ve kripto para cüzdanı başlangıç ifadelerini saldırgan kontrolündeki bir sunucuya aktarabilen SparkKitty adında bir zararlı yazılım içeriyor.
Sonuç olarak, bu tür dolandırıcılık girişimleri, hem bireysel kullanıcılar hem de kurumsal varlıklar için ciddi tehditler oluşturuyor. Siber güvenlik önlemlerini artırmanın ve bu tür tehditlere karşı uyanık olmanın önemi her geçen gün artmaktadır. Siz bu konuda ne düşünüyorsunuz? Kripto para ve dijital güvenlik konularında daha fazla bilgi sahibi olmak ve korunma yöntemleri hakkında fikirlerinizi paylaşmak ister misiniz? Yorumlarınızı bekliyoruz.
