Dikkat! Gerçek Zamanlı E-posta Doğrulaması ile Kimlik Avı Saldırıları Daha Akıllı Hale Geliyor
Siber suçlular, kimlik bilgisi hırsızlığında rahatsız edici yeni bir yaklaşımla çıtayı yükseltiyor ve kimlik avı saldırılarını daha etkili ve tespit edilmesi zor hale getirmek için gerçek zamanlı e-posta doğrulamasını kullanıyor. Cofense'deki araştırmacılar bu gelişen taktiği tanımladı ve buna "hassas doğrulama kimlik avı" adını verdi; bu yöntem, hedef listesini yalnızca etkin ve değerli olduğu doğrulanan e-posta adresleriyle sınırlandırıyor.
Geniş bir ağ atan ve birkaç ısırık umudu taşıyan geleneksel kimlik avı kampanyalarının aksine, bu yeni yaklaşım kesin ve kasıtlıdır. Saldırganlar, rastgele kullanıcılara sahte giriş sayfaları göndermek yerine, öncelikle kimlik avı sayfasında girilen e-posta adresinin önceden toplanmış hedeflerin veritabanlarında mevcut olup olmadığını doğrular. Kontrol edilirse, kurbana kimlik bilgilerini çalmak için tasarlanmış sahte bir giriş ekranı sunulur. Aksi takdirde, kimlik avı sitesinin otomatik güvenlik tarayıcıları tarafından tespit edilmesini önlemeye yardımcı olan Wikipedia gibi zararsız bir siteye yönlendirilirler.
Bu gerçek zamanlı doğrulama, kimlik avı kitine bir API veya JavaScript tabanlı e-posta doğrulama aracı yerleştirilerek mümkün hale getirilir. Sonuç? Daha yüksek kalitede çalınan veriler, daha az boşa harcanan çaba ve siber güvenlik araçlarının tespit edip kapatmasının daha zor olduğu bir kimlik avı kampanyası.
İçindekiler
Maksimum Etki İçin Mağdurları Filtreleme
Cofense, bu tekniğin yalnızca gerçek, kullanımda olan hesaplardan kimlik bilgilerinin çalınma olasılığını artırmakla kalmayıp, kötü amaçlı web sitelerini yakalamak için tasarlanmış otomatik sanal alanların ve tarayıcı araçlarının işini de zorlaştırdığı konusunda uyarıyor. Bu sistemler genellikle doğrulama kontrolünden geçemez ve bu da kimlik avı sayfasının daha uzun süre aktif kalmasına ve şüpheli olarak işaretlenmekten kaçınmasına olanak tanır.
Bu filtreleme düzeyi tehdit aktörlerine büyük bir avantaj sağlar. Doğrulanmış hedeflere odaklanarak, maruz kalma risklerini azaltır ve yatırım getirilerini artırırlar. Bu taktik ayrıca kimlik avı kampanyalarının ömrünü uzatmaya yardımcı olarak savunucuların ayak uydurmasını zorlaştırır.
Dosya Silme Kimlik Avı Hilesi İki Yönlü Saldırı Kullanır
Tehlikeyi artıran şey, saldırganların bu gelişmiş taktikleri sosyal mühendislik stratejileriyle katmanlaştırmasıdır. Yakın zamanda gözlemlenen bir kampanya, yem olarak dosya silme hatırlatıcılarını kullanıyor. Mağdurlar, meşru bir dosya barındırma platformu olan files.fm'den silinmesi planlanan bir PDF'ye bağlantı veren bir e-posta alıyor. Bağlantıya tıklamak onları gerçekten de gerçek barındırma hizmetine götürüyor ve burada PDF dosyasına benzeyen bir şeye erişebiliyorlar.
İşte püf noktası: Kullanıcılara iki seçenek sunuluyor: önizleme veya indirme. Önizleme, kimlik bilgilerini toplamak için tasarlanmış sahte bir Microsoft oturum açma sayfası açarken, indirme, Microsoft OneDrive olarak gizlenen bir yürütülebilir dosyanın kurulumunu tetikler. Program aslında, ConnectWise'ın meşru bir uzak masaüstü aracı olan ScreenConnect'tir ve genellikle yetkisiz erişim için tehdit aktörleri tarafından kötüye kullanılır.
Cofense'e göre, saldırı kullanıcı davranışını manipüle etmek için akıllıca tasarlanmış. Mağdurlar, her biri sistemlerinin farklı şekillerde tehlikeye atılmasına yol açan iki eşit derecede tehlikeli seçenek arasında seçim yapmaya zorlanıyor. Bu iki yönlü kurulum, tehdit aktörünün kimlik bilgisi hırsızlığı veya kötü amaçlı yazılım dağıtımı olsun, hedeflerine ulaşmasını sağlar.
Uzaktan Erişim ve Vishing Taktikleriyle Birleştirilmiş Kimlik Avı
Başka bir endişe verici gelişmede, siber güvenlik araştırmacıları kimlik avını telefon dolandırıcılığı (vishing), uzaktan erişim araçlarını ve "karadan geçinme" tekniklerini birleştiren çok aşamalı bir saldırı kampanyasını ortaya çıkardı. Bu karmaşık operasyon, tehdit aktörü grubu Storm-1811 (aynı zamanda STAC5777 olarak da bilinir) ile uyumludur.
Saldırı, kötü amaçlı bir PowerShell yükü içeren bir Microsoft Teams mesajıyla başlar. İlk erişim sağlandıktan sonra saldırganlar, sistemi uzaktan kontrol etmek için Microsoft'un Hızlı Yardım özelliğini kullanır. Oradan, TeamViewer gibi meşru yazılımları, yan yüklenen kötü amaçlı bir DLL ile birlikte yüklerler ve son olarak Node.js kullanarak JavaScript tabanlı bir komut ve kontrol arka kapısı dağıtırlar.
Bu olaylar, günümüzün kimlik avı tehditlerinin artan karmaşıklığını ve yaratıcılığını vurgulamaktadır. Saldırganlar, teknik karmaşıklık ve psikolojik manipülasyonu birleştiren taktiklerle geleneksel savunmaları aşmayı ve dikkatli kullanıcıları bile kandırmayı başarmaktadır.
En iyi savunma uyanıklık olmaya devam ediyor. Kuruluşlar bu yeni tehditler hakkında bilgi sahibi olmalı ve kullanıcılar, ne kadar meşru görünürlerse görünsünler, bağlantılara tıklamadan, kimlik bilgilerini girmeden veya dosya indirmeden önce iki kere düşünmelidir.