Slovakya’daki İnternet kullanıcılarını hedef alan kötü niyetli bir kampanya, kimlik avı operatörlerinin güvenlik kontrollerinden kaçmak için meşru hizmetlerden ve markalardan sıklıkla nasıl yararlandığına dair bir başka hatırlatma sunuyor.
Bu durumda, tehdit aktörleri, kullanıcıları kredi kartı bilgilerini toplamak için bir kimlik avı sayfasına yönlendirmek için Akıllı Bağlantılar adlı bir LinkedIn Premium özelliğinden yararlanıyor. Bağlantı, Slovakya Posta Servisi’nden geldiği iddia edilen bir e-postaya gömülüdür ve meşru bir LinkedIn URL’sidir, bu nedenle güvenli e-posta ağ geçitleri (SEG’ler) ve diğer filtrelerin çoğu zaman onu engellemesi pek olası değildir.
Bolster ürün pazarlama direktörü Monnia Deng, “Cofense’nin bulduğu durumda, saldırganlar güvenli e-posta ağ geçitlerini geçmek için LinkedIn gibi güvenilir bir alan kullandılar” diyor. “LinkedIn’den gelen bu meşru bağlantı daha sonra kullanıcıyı bir kimlik avı sitesine yönlendirdi ve burada sitenin meşru görünmesi için büyük çaba harcadılar, örneğin sahte bir SMS metin mesajı doğrulaması eklemek gibi.”
E-posta ayrıca alıcıdan, kendilerine gönderilmeyi bekleyen bir paket için inandırıcı derecede küçük bir miktar para ödemesini ister. Bağlantıyı tıklatarak kandırılan kullanıcılar, posta hizmetinin çevrimiçi ödemeleri toplamak için kullandığı gibi görünecek şekilde tasarlanmış bir sayfaya ulaşır. Ancak, yalnızca sözde paket gönderisi için ödeme yapmak yerine, kullanıcılar tüm ödeme kartı ayrıntılarını kimlik avı operatörlerine de veriyor.
İlk Tine Smart Links Özelliği Suistimal Edilmedi
Kampanya, tehdit aktörlerinin bir kimlik avı operasyonunda LinkedIn’in Akıllı Bağlantılar özelliğini (veya bazılarının dediği gibi Slinks) ilk kez kötüye kullanmaları değil. Ancak Cofense’de kıdemli istihbarat analisti Brad Haas, bunun, üzerinde değişiklik yapılmış LinkedIn Slink’leri içeren e-postaların kullanıcı gelen kutularına düştüğü nadir durumlardan biri olduğunu söylüyor. Kimlik avı koruması hizmetleri satıcısı, şu anda izleniyor devam eden Slovak kampanyası ve bu hafta şimdiye kadarki tehdidin analizi hakkında bir rapor yayınladı.
LinkedIn’in Akıllı Bağlantılar Premium hizmetine abone olan kullanıcıların diğerlerini gönderenin görmelerini istediği içeriğe yönlendirmesine olanak tanıyan bir pazarlama özelliğidir. Bu özellik, kullanıcıların belgeleri, Excel dosyaları, PDF’ler, resimler ve web sayfaları gibi birden çok pazarlama malzemesine yönlendirmek için tek bir LinkedIn URL’si kullanmasına olanak tanır. Alıcılar, tıklandığında onları arkasındaki içeriğe yönlendiren bir LinkedIn bağlantısı alır. LinkedIn Slinks, kullanıcıların içeriği kimlerin görüntüleyebileceği, içerikle nasıl etkileşime girebilecekleri ve diğer ayrıntılar hakkında nispeten ayrıntılı bilgi almalarına olanak tanır.
Ayrıca saldırganlara, kullanıcıları kötü amaçlı sitelere yönlendirmek için kullanışlı ve çok güvenilir bir yol sunar.
Haas, “Akıllı Bağlantılar oluşturmak nispeten kolay” diyor. “Girişin önündeki en büyük engel, Premium LinkedIn hesabı gerektirmesidir” diye belirtiyor. Bu bağlantıları kullanıcıları kötü niyetli sitelere göndermek için kullandığını söylüyor ve ekliyor: “Diğer kimlik avı tehdidi aktörlerinin LinkedIn Akıllı Bağlantıları kötüye kullandığını gördük, ancak bugün itibarıyla gelen kutularına ulaştığını görmek nadirdir.”
Meşru Hizmetlerden Yararlanma
Saldırganların, LinkedIn, Google Cloud, AWS gibi meşru bir hizmet olarak yazılım ve bulut tekliflerini kötü niyetli içeriği barındırmak veya kullanıcıları buna yönlendirmek için artan kullanımı, kimlik avının birincil ilklerden biri olmaya devam etmesinin bir nedenidir. erişim vektörleri
Daha geçen hafta, bir saldırganın bir çalışanın kimlik bilgilerini sosyal mühendislikle oluşturması ve bunları şirketin VPN’sine erişmek için kullanmasının ardından Uber, dahili sistemlerinde feci bir ihlal yaşadı. Bu durumda, Uber’in Lapsus$ tehdit grubuna ait olduğunu belirlediği saldırgan, şirketin BT departmanından geliyormuş gibi davranarak kullanıcıyı çok faktörlü kimlik doğrulama (MFA) talebini kabul etmesi için kandırdı.
Saldırganların, sahte kimlik avı web siteleri için vekil olarak sosyal medya platformlarından yararlanmaları önemlidir. Deng, kimlik avı kampanyalarının yalnızca daha yaratıcı değil, aynı zamanda kod yazamayan insanlar için daha erişilebilir olacak şekilde önemli ölçüde geliştiği gerçeğinin de rahatsız edici olduğunu ekliyor.
SlashNext CEO’su Patrick Harr, “Kimlik avı, bir bağlantı gönderebileceğiniz veya alabileceğiniz her yerde gerçekleşir” diye ekliyor. Bilgisayar korsanları, kurumsal e-posta gibi en çok korunan kanallardan kaçınan teknikleri akıllıca kullanıyor. Bunun yerine, kurumsal bir arka kapı olarak sosyal medya uygulamalarını ve kişisel e-postaları kullanmayı tercih ediyorlar. Harr, “Kimlik avı dolandırıcılıkları kuruluşlar için ciddi bir sorun olmaya devam ediyor ve SMS’e, işbirliği araçlarına ve sosyal medyaya geçiyorlar” diyor. SlashNext’in SMS ve mesajlaşma koruması taleplerinde artış gördüğünü, çünkü metin mesajlarını içeren uzlaşmaların daha büyük bir sorun haline geldiğini belirtiyor.