Tanımlanamayan tehdit aktörleri, kimlik avı e-postaları göndermek ve bugün mevcut olan neredeyse tüm e-posta güvenlik çözümlerini atlamak için PayPal veya Google Workspace gibi yasal hizmetlerden yararlanıyor.
Siber güvenlik araştırmacılarından Avanan’ın bir raporu, bilgisayar korsanlarının bu hizmetleri kendi adlarına kimlik avı e-postası göndermeye nasıl zorlayarak e-posta güvenlik çözümlerini kandırdıklarını ayrıntılarıyla açıkladı.
Suçlular için kimlik avı e-postalarıyla ilgili sorun, gönderildikleri alanların, e-postanın konu satırlarının ve içeriğinin e-posta güvenlik ürünleri tarafından taranması ve genellikle kurbanın gelen kutusuna ulaşmamasıdır. Ancak bu e-posta Google’dan geldiğinde, güvenlik ürününün geçmesine izin vermekten başka seçeneği yoktur.
Sahte faturalar
Artık bir tehdit aktörü, bir kimlik avı sitesine bağlantı içeren kötü amaçlı bir Google Dokümanlar dosyası oluşturur ve kurbanı bu dosyada etiketlerse, Google herhangi bir alarm vermeden bildirim gönderir. Bu belge, sahte bir faturadan yenilenen bir hizmetin sahte bildirimine kadar her şey olabilir. Genellikle, tüm bu e-postaların ortak paydası, bir şeyin acilen ele alınması gerektiğidir, aksi takdirde kurban para kaybeder.
Aynı şey PayPal’da da var. Saldırgan, faturanın açıklamasında kimlik avı web sitesine bağlantı içeren sahte bir fatura oluşturabilir ve bunu PayPal aracılığıyla kurbana postalayabilir.
Bu iki şirketin yanı sıra tehdit aktörleri de taklitçilik yapıyor. (yeni sekmede açılır) Araştırmacılar, SharePoint, FedEx, Intuit, iCloud ve diğerleri olduğunu iddia ediyor.
Çoğu zaman, kimlik avı yapan bilgisayar korsanları, daha sonra daha tehlikeli kötü amaçlı yazılımları dağıtmak için (örneğin, bir fidye yazılımı işlemi yürütmek için) kullanabilecekleri hassas sistemlerin kimlik bilgilerini ararlar. Diğer durumlarda, ya karaborsada satmak ya da yasa dışı faaliyetleri finanse etmek için (örneğin, bir hizmet olarak DDoS gibi) ödeme bilgilerinin peşine düşerler.