Son Zamanlarda Gelişen Saldırı Teknikleri
Son yıllarda siber güvenlik alanında phishing (oltalama) saldırılarının sayısındaki artış dikkat çekici. Bu tür saldırılar, genellikle güvenilir görünen e-postalar ya da web siteleri aracılığıyla, kullanıcıların şifreleri gibi hassas bilgilerini çalmayı hedefliyor. Özellikle son gözlemlenen olaylar, legitimize edilmiş yapıların nasıl kötüye kullanılabileceğine dair önemli bulgular sunuyor. Gelişmiş teknikler kullanarak, saldırganlar kullanıcıların güvenini kazanıyor ve istenmeyen sonuçlar doğuruyor.
Olayın Detayları
Yapılan bir araştırmada, Keep Aware tehdit araştırma ekibi, gerçek zamanlı bir incelemeyle phishing saldırısının nasıl çalıştığını gözlemledi. Tarayıcı güvenliği çözümü sessiz modda yapılandırılmıştı, bu da her kullanıcı davranışını ve tehdit göstergesini kesintiye uğratmadan izlemeyi sağlıyordu. Bu sayede güvenlik ekibi, saldırının her aşamasını açık bir şekilde değerlendirme fırsatı buldu.
Kullanıcı Bilgilerinin Çalınması
Yönetilen algılamaların gözden geçirilmesi sırasında, kimlik doğrulama ile ilgili phishing sinyallerinin sessiz modda ortaya çıktığı gözlemlendi. Bu, bir çalışanın şüpheli bir web sitesinde kimlik bilgilerini girdiğini gösteriyordu. Tarayıcı, sadece görünürlük için yapılandırıldığı için güvenlik ekibi, kimlik bilgisi çalındıktan sonra yaşanan tüm aşamaları gözlemleme fırsatı buldu.
Keep Aware’ın tarayıcı güvenliği uzantısı kullanılarak yapılan inceleme, zincirleme bir oltalama saldırısının hızla değerlendirildiğini, kimlik girişi doğrulandığını ve acil iyileştirme adımlarının hemen devreye alındığını gösterdi. Özellikle kullanıcının şifresinin hemen sıfırlanması ve olağandışı hesap veya oturum etkinliklerinin gözden geçirilmesi önemliydi.
Saldırıların İç Yüzü
1) Güvenilir Alan Adlarında Barınma
Hedeflenen çalışan, 9 yıldır faaliyet gösteren ve güvenilir bir üne sahip olan bir alan adını ziyaret etti. Ancak bu meşru alan, kötü niyetli bir form sayfasını barındırmak üzere ele geçirilmişti. Kullanıcı bu bağlantıya tıkladığında “Gizli Doküman” mesajıyla karşılaştı ve email adresini girmesi istendi.
Bu tür sosyal mühendislik aldatmacaları, kullanıcıların kimlik bilgilerini girmesini sağlamak için yaygın olarak kullanılıyor.
Temel Kaçış: Anti-Analiz JavaScript
Kötü niyetli sayfa, temel analizi engelleme yöntemleri içeriyordu. Sağ tıklama menülerini devre dışı bırakıyor ve güvenlik analistlerinin kullanabileceği klavye kısayollarını bloke ediyordu. Bu tür basit yöntemler, kötü niyetli içeriklerin incelenmesini zorlaştırıyordu.
Form Yönetimi Kodu
Phishing altyapısı, mağdurun sayfaya nasıl ulaştığına bağlı olarak e-posta girişini dinamik olarak yönetme yeteneğine sahipti. Eğer link, mağdurun e-posta adresini içeriyorsa, JavaScript kodu bu bilgiyi otomatik olarak formda dolduruyordu. Bu, kullanıcının işlemini kolaylaştırıyordu.
E-posta Gönderim Mantığı
E-posta adresi URL’nin bağlantı kısmında mevcut değilse, formun kullanıcının e-postasını manuel olarak girmesi bekleniyordu. Form gönderildiğinde, kötü niyetli bir alt domaine yönlendirme yapılıyordu. Ayrıca, kullanıcının e-postası ve zaman damgası bir API uç noktasına gönderiliyordu.
Bu, daha gelişmiş bir phishing altyapısını işaret ediyor.
“Devam etmeden önce bir adım daha”: CAPTCHA Kullanımı
Kullanıcı, e-posta girdikten sonra kötü niyetli bir siteye yönlendirilip bir CAPTCHA sorusuyla karşılaşıyordu. Bu taktikler, saldırganların analiz edilmeden geçiş yapmasına yardımcı oluyordu. CAPTCHA’lar sayesinde, geleneksel URL tarama motorlarından kaçınılıyor ve süreç daha inandırıcı hale getiriliyordu.
E-posta adresinin türüne göre farklı phishing sayfaları açılıyordu. Kişisel e-posta adresi verildiğinde sayfa boş kalırken, kurumsal bir e-posta verildiğinde ise temel bir Microsoft giriş sayfası gösteriliyordu.
Sonuç: Hızlı ve Güncel Algılama ile Mücadele
Saldırganların kullandığı sofistike tekniklere rağmen nihai amaç her zaman kimlik bilgisi çalmak oluyor. Real-time müdahale ve tarayıcı düzeyinde koruma sağlamak, bu tür saldırıları etkili bir şekilde durdurmanın anahtarını oluşturuyor.
Keep Aware, kullanıcıların asla aldatıcı giriş sayfalarıyla etkileşime girmesini sağlayarak phishing saldırılarını engellemektedir. Bu noktada, güvenlik ekipleri için önemli olan, gerçek zamanlı gözlem ve koruma mekanizmalarının sürekli güncellenmesidir.
