Güvenlik uzmanları bu hafta, siber saldırganların Microsoft’un varsayılan güvenliğini aşmak için özelleştirilmiş saldırılar oluşturmaya lazer odaklı olduklarına dair bu haftaki raporun, kimlik avı taktiklerinde endişe verici bir evrimi gözler önüne serdiğini söyledi.
Tehdit aktörleri, örneğin sıfır noktalı yazı tipi gizleme, bulut mesajlaşma hizmetlerinin arkasına saklanma ve yük aktivasyonunu geciktirme gibi çeşitli teknikler kullanarak, platform e-posta savunmalarındaki zayıf noktalardan kimlik avı saldırılarını kaydırmada daha iyi hale geliyor. Ayrıca kurbanlar üzerinde daha fazla hedefleme ve araştırma yapıyorlar.
Sonuç olarak, siber güvenlik firması Check Point tarafından 6 Ekim’de yayınlanan araştırmaya göre, yaklaşık 5 kimlik avı e-postasından 1’i (%18,8) Microsoft’un platform savunmasını atladı ve 2022’de çalışanların gelen kutularına düştü; bu oran 2020’ye kıyasla %74 arttı. Yazılım. Saldırganlar, Gönderen Politikası Çerçevesi (SPF) gibi güvenlik kontrollerini geçmek ve sıfır boyutlu yazı tipleri kullanmak veya kötü amaçlı URL’leri analizden gizlemek gibi bir e-postanın işlevsel bileşenlerini karartmak için giderek artan sayıda teknik kullandılar.
Check Point tarafından Ağustos 2021’de satın alınan bir e-posta güvenlik şirketi olan Avanan’da e-posta güvenliği başkan yardımcısı Gil Friedrich, saldırganların artan yeteneklerinin mevcut savunmaların daha iyi anlaşılmasından kaynaklandığını söylüyor.
“Bu, 10 ila 20 teknikten oluşan bir ailedir, ancak hepsi bir şirketin güvenlik katmanlarını aldatma hedefine yol açar” diyor. “Sonuç her zaman alıcıya orijinal görünen ancak içeriği analiz eden algoritmadan farklı görünen bir e-postadır.”
Microsoft, araştırma hakkında yorum yapmaktan kaçındı. Ancak şirketin sahip olduğu ileri teknikler konusunda uyardıgibi ortadaki düşman kimlik avı (AiTM)Saldırganın kullanıcı adları ve şifreler gibi hassas verileri yakalamasına izin vererek, kurban ile istediği site arasına bir proxy sunucusu yerleştirmek için özel bir URL kullanan . Temmuz ayında şirket, bir AiTM kampanyası sırasında 10.000’den fazla kuruluşun hedef alındığı konusunda uyardı.
Check Point, bu konuda uyaran tek satıcı değil. kimlik avı saldırıları iyileşiyor. Bir ankette, e-posta güvenlik şirketi Proofpoint, kuruluşların %83’ünün başarılı bir e-posta tabanlı kimlik avı saldırısı yaşadığını ve bunların neredeyse yarısı 2020’de bu tür bir saldırıya maruz kaldığını tespit etti. Siber güvenlik şirketi Trend Micro, kimlik avı saldırılarının sayısının iki katından fazla olduğunu gördü. Firmanın verilerine göre, 2022’nin ilk yarısında 2021’in aynı dönemine göre %137 büyüyecek 2022 Yıl Ortası Siber Güvenlik raporu.
Bu arada, bir hizmet olarak kimlik avı ve bir hizmet olarak kötü amaçlı yazılım gibi siber suçlu hizmetleri, en başarılı teknikleri kullanımı kolay tekliflere dahil ediyor. Penetrasyon test uzmanları ve kırmızı ekiplerle yapılan bir ankette, yaklaşık yarısı (%49) kimlik avı ve sosyal mühendisliğin en iyi yatırım getirisine sahip saldırı teknikleri olduğunu düşündü.
Araştırma ve Keşif Kimlik Avını Bilgilendirin
Siber saldırganların sosyal mühendislikle kurbanları hedeflemek için istihbarat toplama çabası nedeniyle saldırganlar da gelişiyor. Birincisi, siber güvenlik firması Trend Micro’nun tehdit istihbaratı başkan yardımcısı Jon Clay, çevrimiçi olarak toplanabilecek çok büyük miktarda bilgiyi kullanıyorlar, diyor.
“Aktörler, kurbanları hakkında birçok bilgi elde etmek için açık kaynak istihbaratı kullanarak kurbanlarını araştırıyorlar. [and] bir URL’yi tıklamalarını, bir eki açmalarını veya iş e-postası güvenliği (BEC) saldırılarında olduğu gibi, e-postanın onlara yapmalarını söylediği şeyi yapmalarını sağlamak için çok gerçekçi kimlik avı e-postaları oluşturun” diyor.
Veriler, saldırganların savunma teknolojilerini analiz etmede ve sınırlarını belirlemede de daha iyi hale geldiğini gösteriyor. Örneğin, kötü amaçlı URL’leri tespit eden sistemleri aşmak için siber suçlular, örneğin bir e-posta saat 2’de gönderildiğinde meşru görünebilecek, ancak çalışan mesajı açtığında sabah 8’de farklı bir site sunacak dinamik web siteleri kullanıyor. .
Savunmadaki İyileştirmeler
Bu tür teknikler yalnızca aldatmakla kalmaz, aynı zamanda savunmaya karşı saldırıdaki asimetrilerden de yararlanır. Check Point’ten Friedrich, bir e-postayla gönderilen her URL’yi taramanın ölçeklenebilir bir savunma olmadığını söylüyor. URL’leri tam bir sanal alanda çalıştırmak, bağlantıları belirli bir derinliğe kadar analiz etmek ve bir markayı taklit etmeye çalışan siteleri belirlemek için görüntü işlemeyi kullanmak çok fazla hesaplama gücü gerektirir.
Bunun yerine, e-posta güvenlik firmaları sorunu çözmek için “tıklama zamanı” analizini kullanıyor.
“Her URL’de çalıştıramayacağınız bazı algoritmalar veya testler vardır, çünkü hesaplama çok büyük olduğundan, sonunda fiyat yasaklanır” diyor. “Bunu tıklama anında yaparak, yalnızca kullanıcıların gerçekten tıkladığı URL’ler üzerinde testler yapmamız gerekiyor, ki bu bir kesirdir, yani e-postadaki toplam bağlantıların %1’i.”
Trend Micro’dan Clay, ayrıca artan savunmaların, kötü niyetli URL’leri ve dosyaları kurallara dayalı sistemlerin yapamayacağı şekillerde sınıflandırmak için makine öğrenimine ve yapay zekaya güvendiğini söylüyor.
“Silahlaştırılmış eklerle uğraşmak, hala yalnızca imzalara dayanan ve her ikisi de bu kötü amaçlı yazılım dosyalarının çoğunu algılayabilen ML veya sanal alan kullanarak dosyayı tarayabilen gelişmiş teknolojilere sahip olmayan güvenlik kontrolleri için zor olabilir” diyor. .
Ek olarak, Microsoft’tan önceki açıklamalar Office 365’in kimliğe bürünmeye karşı koruma, saldırı kampanyalarında görünürlük ve tüm bir kuruluşu veya sektörü etkileyen kimlik avı saldırılarını tanımak için gelişmiş buluşsal yöntemler ve makine öğrenimi kullanma dahil olmak üzere diğer satıcılar tarafından tartışılan e-posta koruma özelliklerinin çoğunu içerdiğini belirtmişlerdir.