Kurbanları oturum açma kimlik bilgilerini girmeleri için kandırmak için hedef kuruluşların açılış sayfalarının ayna görüntülerini kullanan bir kimlik avı kampanyası yürütülmektedir.
Güvenlik firması Avanan’dan gelen bir rapora göre, kötü niyetli aktörler daha sonra bu hasat edilmiş kimlik bilgilerini kişisel veya şirket dosyalarının bir hazinesine erişmek ve diğer uygulamalara ve ağdaki diğer yerlere erişmek için kullanabilirler.
Saldırı akışı, hedeflere tek bir düğmeyle parolalarını güncelleme zamanının geldiğini söyleyen e-postalarla başlar. Bu onları, önceden doldurulmuş bir e-posta adresi ve bir Google reCAPTCHA formuyla, kuruluşun Google alanı gibi görünen bir kimlik avı sayfasına götürür ve özgünlük cilasını daha da artırır.
İşte ilginç kısım: Açılış sayfası dinamik olarak oluşturulur, böylece sunulan logo ve arka planı, kullanıcının e-posta adresindeki meşru etki alanıyla eşleşecek şekilde değiştirir.
“URL, şirketin web sitesiyle tamamen alakasız olsa da, sayfa tam olarak gerçek anlaşmaya benziyor” rapor, bugün çıktı. “Aslında bu, gerçek şirket sitesinin bit-bit aynası. Son kullanıcının e-posta adresi önceden doldurulmuş olacak ve geleneksel giriş sayfalarını ve arka planlarını görerek, onu inanılmaz derecede inandırıcı hale getirecek.”
Oradan, kimlik avı sayfası, doğrulama için e-postayı iki kez ister veya parolayı doğrulamak için kimlik bilgilerini gerçek zamanlı olarak kullanır. Şifre iyi ise, kullanıcı gerçek bir belgeye veya kuruluşun ana sayfasına yönlendirilecektir.
Bu arada, kullanıcının tarayıcısı, kimlik avı sayfasını “ulaşılamaz” hale getiren ve daha fazla analiz yapılmasını engelleyen bir çerez alır.
Avanan’da siber güvenlik araştırma analisti Jeremy Fuchs, saldırganların daha sonra erişebilecekleri için kullanıcı adları ve şifrelerin peşinde olduğunu açıklıyor.
“Bu kimlik bilgilerinin peşindeler çünkü inanılmaz derecede değerliler” diyor. “Şifreler krallığın anahtarlarıdır. Mali belgeleri, personel dosyalarını, çalışan kayıtlarını açabilirler; banka hesaplarına ve tıbbi kayıtlara yol açabilirler. Kimlik bilgilerini çalarak, saldırganlar parmaklarının ucunda bir sürü bilgiye sahip olurlar.”
SPAM-EGY, APT’lerle Bağlar
Fuchs, bu sayfa yansıtma yaklaşımını yaklaşık iki yıldır, SPAM-EGY bir hizmet olarak kimlik avı grubu ve gelişmiş kalıcı tehditler (APT’ler).
Bu mevcut saldırılar, SPAM-EGY grubunun ticari markalarını takip ediyor, ancak Avanan araştırmacıları, bu saldırıların Microsoft 365 yerine Google etki alanlarını hedef alarak farklılık gösterdiğine dikkat çekiyor.
Rapora göre, “Bu, bu tür bir saldırının bir evrimini temsil ediyor ve bu nedenle farklı bir grup tarafından gerçekleştirilebilir”.
Fortinet’in FortiGuard Laboratuarlarında güvenlik baş stratejisti ve küresel tehdit istihbaratı başkan yardımcısı Derek Manky, sayfa yansıtmanın yeni bir taktik değil, kesinlikle etkili bir taktik olduğunu kabul ediyor. Bu tür yansıtılmış sitelerin genellikle bir hizmet olarak suç (CaaS) modeli aracılığıyla satılan kimlik avı kitlerine dahil edildiğine dikkat çekiyor.
Kuruluşlar Telltale Kimlik Avı İşaretlerini Dikkate Almalıdır
Kaspersky’nin yakın tarihli bir raporu, çalışanların kurumsal sorunlara ve teslimat sorunu bildirimlerine ayrılmış e-postalarda gizlenen tuzakları fark etmeme eğiliminde olduğunu söylüyor. Ancak Fuchs, çoğu kimlik avı saldırılarında olduğu gibi, kuruluşların kullanıcıları eğitmesi gerektiğine dair bazı açıklayıcı işaretler olduğunu söylüyor.
“Çalışanlara iki saniye ayırmalarını ve iki hızlı şeyi yapmalarını hatırlatmak önemlidir: gönderen adresine ve sayfanın URL’sine bakın” diye tavsiyede bulunuyor. “Gönderen adresi genellikle yanlıştır; bu, bir şeylerin yanlış olduğuna dair bir ipucudur. URL de muhtemelen kapalı olacaktır; bu, ikinci ipucu. Bunu çalışanların yaptığı her şeye aşılamak çok önemlidir.”
Manky, herhangi bir kimlik bilgisi işleminin güvenli bir şekilde (HTTPS/SSL) yapılması gerektiğini ve sertifikanın benzersiz olduğu ve yansıtılmayacağı için sertifikanın kontrol edilmesi gerektiğini ekliyor.
“Tabii ki, tamamen meşru görünen bir site, kurbanın daha fazla güvenmesine neden olur – ancak, akıştan ziyade içeriğe güvenmeleri gerekir” diye ekliyor.
Manky ayrıca siber-hijyen eğitiminin kurumdaki herkes için bir zorunluluk olduğunu ve siber saldırıların hedefi olan sadece kuruluşların değil evden çalışanların da gerekli olduğunu belirtiyor.
“Çok faktörlü kimlik doğrulama ve parola koruması, uzaktaki çalışanların kişisel bilgilerinin korunmasına yardımcı olabilir ve kimlik avı e-postalarının ve kötü amaçlı reklamcılık planlarının nasıl tespit edileceğini bilmek, çalışanların bu sosyal mühendislik hilelerine düşmekten kaçınmasına yardımcı olacaktır” diyor.
Gelişmiş APT Taktiklerini Benimseyen Kimlik Avcıları
Lookout’ta tehdit istihbaratı kıdemli tehdit araştırmacısı Kristina Balaam, genel halkın kimlik avı tehditleri konusundaki farkındalığı arttıkça, tehdit aktörlerinin hedeflerini başarılı bir şekilde tehlikeye atmak için taktiklerini geliştirmeleri gerektiğini anladığını söylüyor.
“Kullanıcılar, kimlik avı kampanyalarının kişisel ve finansal güvenlikleri için oluşturduğu risklerin daha bilinçli ve farkında hale geliyor” diye açıklıyor. “Bir kimlik avı sayfasının meşru bir kimlik doğrulama portalını yakından kopyalamasını sağlamaya yardımcı olmak için sayfa yansıtma kullanıldığında, kullanıcıların Web uygulamasına güvenmeleri ve daha karmaşık güvenlik ihlal göstergelerini gözden kaçırmaları daha olasıdır.”
Bazı kimlik avı kampanyaları yanlış markalama kullanabilir veya kapsamlı dilbilgisi hataları içerebilirken, bu daha karmaşık sayfaların kendilerini yalnızca hafif yanlış yazılmış alanlar (yani yazım hatası yapan) alanlar veya eksik SSL sertifikaları gibi daha az belirgin göstergeler aracılığıyla gösterebileceğini de ekliyor.
Fuchs, “Kimlik avcıları işe yarayanı alır ve onu güçlendirir. Bir şey işe yararsa, onu sürdürürler” diyor Fuchs. “Bu saldırıların birçoğunun indirilebilir ‘kitler’ olarak mevcut olduğu göz önüne alındığında, giriş engeli çok daha düşük.”
Onun bakış açısına göre, bu, hem APT hem de APT olmayan çeşitli gruplar tarafından yayılan bu tür saldırıların sürekli bir şekilde çoğalacağı anlamına geliyor. Balaam da aynı fikirde ve bu yakınlaşmanın, finansal olarak motive olmuş tehdit aktörlerinin başarı oranlarını artırmak ve yatırımlarından daha fazla getiri elde etmek için kampanyalarına yatırımlarını artırma konusundaki istekliliklerindeki bir değişimi yansıttığına inandığını söylüyor.
“BT güvenliği için, bu değişim bizi daha önce APT aktörleri tarafından kullanılan TTP’lerle daha karmaşık kampanyaların hedeflediği günlük kullanıcı sayısında belirgin bir artışa götürüyor gibi görünüyor” diyor.
Ducktail mızrak kimlik avı kampanyası ve meşru WordPress sitelerine kötü amaçlı yazılım enjekte eden bir kimlik avı kiti de dahil olmak üzere, mevcut saldırı çığından çıkan diğer yeni kimlik avı kampanyaları da her zamankinden daha fazla gelişmişlik gösteriyor.