Siber saldırganlar, ABD’deki ulusal eğitim kurumlarındaki öğrencileri Instagram’ın kimliğine bürünen sofistike bir kimlik avı kampanyasıyla hedef aldı. Kumar oynamanın olağandışı yönü, süreçte hem Microsoft 365 hem de Exchange e-posta korumasını atlayarak kimlik bilgilerini çalmak için geçerli bir etki alanı kullanmalarıdır.
Yaklaşık 22.000 posta kutusunu hedef alan sosyal olarak tasarlanmış saldırı, Instagram kullanıcılarının kişiselleştirilmiş kullanıcı adlarını, hesaplarında “olağandışı bir giriş” olduğunu bildiren mesajlarda kullandı. bir blog yazısı Armorblox Araştırma Ekibi tarafından 17 Kasım’da yayınlandı.
Oturum açma cazibesi, kimlik avcıları için yeni bir şey değil. Ancak araştırmacılar, saldırganların mesajları geçerli bir e-posta alanından da göndererek hem kullanıcıların hem de e-posta tarama teknolojisinin mesajları sahte olarak işaretlemesini çok daha zorlaştırdığını söyledi.
Gönderide “Geleneksel güvenlik eğitimi, herhangi bir açık dolandırıcılık belirtisine yanıt vermeden önce e-posta etki alanlarına bakılmasını önerir” dedi. “Ancak bu durumda, alan adresinin hızlı bir şekilde taranması, alan adının geçerliliği nedeniyle son kullanıcıyı dolandırıcılık faaliyeti konusunda uyarmaz.”
Kimlik avı çok uzun süredir var olduğundan, saldırganlar e-posta kullanan çoğu kişinin onlardan haberdar olduğunu bilir ve bu nedenle sahte iletileri nasıl tespit edeceklerini bilirler. Bu, tehdit aktörlerini, kullanıcıları kimlik avı e-postalarının meşru olduğuna inandırmak için taktiklerinde daha yaratıcı olmaya zorladı.
Dahası, Instagram kullanan üniversite çağındakiler, teknolojiyi kullanarak büyüdükleri için muhtemelen en bilgili internet kullanıcıları arasında yer alacaktır – bu nedenle, özellikle bu kampanyadaki saldırganlar gerçek görünmek için bu kadar dikkatliydiler.
Araştırmacılar, neden ne olursa olsun, kampanyanın kimlik sahtekarlığı, marka kimliğine bürünme ve meşru bir etki alanı kombinasyonunun, saldırganların yalnızca Office 365 ve Exchange korumalarından değil, aynı zamanda DKIM, DMARC ve SPF hizalama e-posta kimlik doğrulama kontrollerinden başarıyla geçen iletiler göndermesine olanak tanıdığını söyledi. .
Gönderide, “Armorblox Araştırma Ekibinin daha ayrıntılı analizi üzerine, gönderen alan adı saygın bir “güvenilir” puanı aldı ve alanın 41 aylık varlığının son 12 ayında hiç enfeksiyon olmadı” diye yazdılar.
“Olağandışı Giriş” Cazibesi
Armorblox’taki araştırmacılar, saldırıların “Olağandışı Bir Giriş Fark Ettik, [user handle],” alıcıya e-postayı okumalarını ve harekete geçmelerini sağlamak için bir aciliyet duygusu aşılamak için yaygın bir taktik kullanmak.
E-postanın gövdesi Instagram markasını taklit ediyordu ve gönderenin adı, Instagram profili ve e-posta adresiyle sosyal medya platformunun destek ekibinden gelmiş gibi görünüyordu – ki bu son derece lezzetliydi.[email protected]” – hepsi meşru görünüyor, dediler.
Mesaj, kullanıcıya, belirli bir konumdan ve belirli bir işletim sistemine sahip makineden tanınmayan bir cihazın – sırasıyla Amorblox, Budapeşte ve Windows tarafından paylaşılan bir örnek olması durumunda – hesabına giriş yaptığını bildirir.
Araştırmacılar, “Bu hedefli e-posta saldırısı, bu e-postanın Instagram’dan gelen meşru bir e-posta iletişimi olduğuna dair bir güven düzeyi aşılamak için alıcıya özgü bilgileri – Instagram kullanıcı tanıtıcısı gibi – içeren sosyal olarak tasarlandı” diye yazdı.
Saldırganlar, alıcıların e-postanın alt kısmında yer alan giriş bilgilerini “güvenlik altına almalarını” isteyen bir bağlantıya tıklamalarını hedefledi; bu da, tehdit aktörlerinin kullanıcı kimlik bilgilerini çalmak için oluşturduğu sahte bir açılış sayfasına yol açtı. Araştırmacılar, birisi bu kadar ileri giderse, bağlantının yönlendirdiği e-posta gibi açılış sayfasının da meşru bir Instagram sayfasını taklit ettiğini söyledi.
“Bu sahte giriş sayfasındaki bilgiler, kurbanlara hem e-postadaki ayrıntıları doğrulamak hem de harekete geçme aciliyet duygusunu artırmak ve harekete geçirici mesaj düğmesini ‘Bu Ben Değildim’i tıklamak için bir ayrıntı düzeyi sağlıyor. ‘ dedi araştırmacılar.
Kullanıcılar yemi yutar ve hesaplarını “doğrulamak” için tıklarsa, yine güvenilir bir şekilde Instagram’ın kimliğine bürünen ikinci bir sahte açılış sayfasına yönlendirilirler ve birinin onları zaten çalmış olabileceği varsayımıyla hesap kimlik bilgilerini değiştirmeleri istenir.
Araştırmacılar, ironik bir şekilde, kullanıcı yeni kimlik bilgileriyle oturum açarsa, hırsızlığı yapacak olanın gerçek sayfanın kendisi olduğunu söyledi.
Ödün Verme ve Kimlik Bilgisi Hırsızlığından Kaçınma
Tehdit aktörleri, kimlik avı e-postalarını nasıl oluşturdukları konusunda daha karmaşık hale geldikçe, işletmeler ve kullanıcıları da bunları tespit etmek zorundadır.
Instagram kimlik avı kampanyası, yerel e-posta korumalarını atlamayı başardığından, araştırmacılar, kuruluşların yerleşik e-posta güvenliğini, tehdit tespitine önemli ölçüde farklı bir yaklaşım benimseyen katmanlarla artırmaları gerektiğini önerdi. Bir çözüm bulmalarına yardımcı olmak için, Gartner ve diğerleri gibi firmaların kendi işleri için hangi seçeneklerin en iyi olduğuna dair güvenilir araştırmalarını kullanabilirler.
Araştırmacılar ayrıca, çalışanlara e-posta mesajlarında alınan istenen eylemleri hızlı bir şekilde yerine getirmek yerine, kimlik avı kampanyalarında daha yaygın hale gelen sosyal mühendislik ipuçlarına dikkat etmeleri konusunda tavsiyede bulunulmalı ve hatta eğitilmelidir.
“E-postayı, gönderenin adını, gönderen e-posta adresini, e-postadaki dili ve e-postadaki mantıksal tutarsızlıkları incelemeyi içeren bir göz testine tabi tutun” diye yazdılar.
Araştırmacılar ayrıca, hem kişisel hem de ticari hesaplarda çok faktörlü kimlik doğrulama ve parola yönetimi en iyi uygulamalarının kullanılmasının, bir saldırganın kimlik avı yoluyla bir kullanıcının kimlik bilgilerini ele geçirmesi durumunda hesabın ele geçirilmesini önlemeye yardımcı olabileceğini söyledi.