şeklinde görünen link, aslında www-account-booking[.]com adlı sahte bir domaine ait.
Zararlı Yazılım Dağıtımı
Kullanıcılar bu bağlantıya tıkladığında zararlı bir MSI dosyası indirilerek bilgisayara yükleniyor. Güvenlik araştırmaları, indirilen dosyanın bilgi hırsızları veya uzaktan erişim trojanları gibi ek kötü amaçlı yazılımlar kurmak için kullanıldığını ortaya koydu.
Bu yöntem, “homoglif” olarak adlandırılan, birbirine çok benzeyen ancak farklı alfabelere ait karakterleri kullanarak yapılan oltalama saldırılarının bir örneği. Benzer teknikler daha önce de Cyrillic ve Latin harfleriyle görülmüştü.
Intuit Kullanıcıları da Hedefte
BleepingComputer tarafından bildirilen ayrı bir saldırıda ise Intuit kullanıcıları hedef alındı. Bu kampanyada “intuit.com” gibi görünen sahte alan adları aslında “Lntuit.com” şeklinde kayıtlı. Küçük harf kullanıldığında “L” harfinin “i” harfine çok benzemesi, kullanıcıların sahte bağlantıyı fark etmesini zorlaştırıyor.
E-postalarda yer alan “Hesabımı doğrula” bağlantısına tıklayan kullanıcılar sahte sitelere yönlendirilirken, bağlantı doğrudan açıldığında ise gerçek Intuit giriş sayfasına geri yönlendiriliyor. Bu yöntemle saldırganların özellikle mobil kullanıcıları hedef aldığı düşünülüyor.
Daha Önce de Booking.com Hedef Alındı
Booking.com markası daha önce de oltalama saldırılarında kullanıldı. 2023’te otel müşterilerinin sahte sitelere yönlendirilerek kredi kartı bilgilerinin çalındığı, 2025’in Mart ayında ise Microsoft’un, konaklama sektörü çalışanlarını hedef alan başka bir oltalama kampanyası konusunda uyarı yaptığı biliniyor.
Uzmanlar, kullanıcıların bağlantılara tıklamadan önce alan adlarını dikkatle incelemesi ve güncel güvenlik yazılımları kullanması gerektiğini belirtiyor.
Kaynak: CUMHA - CUMHUR HABER AJANSI
