Sneaky 2FA ve BitB: Yenilikçi Tehditler
Sneaky 2FA adı verilen Phishing-as-a-Service (PhaaS) kiti, son günlerde kötü niyetli yazılımcılar tarafından Browser-in-the-Browser (BitB) fonksiyonu eklenerek daha da tehlikeli hale geldi. Bu, yetkisiz saldırganların daha az teknik bilgi ile büyük ölçekli saldırılar düzenlemelerine olanak tanıyor.
BitB ilk olarak 2022’de güvenlik araştırmacısı mr.d0x tarafından belirlendi ve HTML ile CSS kodu kombinasyonu kullanarak sahte tarayıcı pencereleri oluşturulabileceği gösterildi. Bu tür sayfalar, kötü amaçlı bir sunucuya yönlendiren iframe ile gerçek hizmetlerin giriş sayfalarını taklit ediyor.
BitB Tekniği Nasıl Çalışıyor?
BitB, kötü niyetli URL’leri gizlemeye yardımcı olmak için tarayıcı içi kimlik doğrulamanın normal bir işlevini simüle ediyor. Phishing sayfaları, Microsoft gibi meşru bir giriş URL’sini göstererek kurbanlara gerçek bir sayfaya giriş yapıyormuş izlenimi veriyor. Push Security tarafından yapılan bir araştırmaya göre, saldırganlar kurbanları önce bot koruma kontrolünden geçiriyor. Eğer kurban bu kontrolü geçerse, “Microsoft ile Oturum Aç” butonuna yönlendiriliyor.
Kurban bu butona tıkladığında, BitB tekniğini kullanan sahte bir Microsoft giriş formu yükleniyor. Bu formda girilen bilgiler, saldırgana gönderiliyor. Böylece, kurbanın hesap bilgilerine kolayca ulaşılabiliyor.
Yeni Kötü Amaçlı Stratejiler
Saldırganlar, CAPTCHA ve Cloudflare Turnstile gibi bot koruma teknolojilerini kullanarak güvenlik araçlarının phishing sayfalarına erişimini engelliyor. Ayrıca, hedeflenen kurbanlara ulaşmak için şartlı yükleme teknikleri kullanarak, isteği filtreliyor veya masum web sitelerine yönlendiriyorlar.
Sneaky 2FA, anlaşılmasını zorlaştırmak için obfuscation gibi yöntemler kullanıyor ve tarayıcı geliştirici araçlarını devre dışı bırakıyor. Phishing domainleri hızla değiştirilerek tespit edilmesi zorlaştırılıyor.
Geçiş Yöntemleri ve Sonuçlar
Araştırmalar, kötü niyetli bir tarayıcı uzantısının, bir geçiş anahtarı kaydı ve girişlerini taklit edebileceğini gösterdi. Bu, tehdit aktörlerinin, kullanıcının cihazı ve biyometrik bilgileri olmadan kurumsal uygulamalara erişmelerine olanak tanıyor.
Geçiş anahtarı sahtekarlığı, kullanıcıların geçiş anahtarlarıyla oturum açarken, web tarayıcısının güvenli iletişim kanallarının eksik olduğunu ortaya koyuyor. Saldırganlar, JavaScript enjeksiyonu yoluyla kayıt ve kimlik doğrulama akışlarını zayıflatıyor.
Sonuç olarak, kullanıcıların şüpheli mesajları açmadan veya tarayıcılarına uzantı yüklemeden önce dikkatli olmaları kritik önem taşıyor. Ayrıca, organizasyonların hesap ele geçirme saldırılarını önlemek için koşullu erişim politikaları benimsemeleri öneriliyor.
Kısacası, Sneaky 2FA gibi tehditler, dijital güvenlik dünyasında sürekli olarak evrim geçiriyor. Kullanıcıların bu tehlikelerin farkında olması ve gerekli önlemleri alması, hesap güvenliklerini büyük ölçüde artıracaktır.
