Bu hafta, oyun platformu Roblox’un bir kimlik avı/sosyal mühendislik saldırısı yoluyla ihlal edildiği ve bu da dahili belgelerin çalınmasına ve bir gasp girişimiyle çevrimiçi olarak sızdırılmasına yol açtığı ortaya çıktı.
Bilgisayar korsanı, Roblox’un en popüler oyunlarından ve yaratıcılarından bazıları hakkında bilgi içerdiği iddia edilen bir forumda belgeler yayınladı. Anakarta göre. Ek olarak, bazı belgeler bireylerin kişisel olarak tanımlanabilir bilgilerini içerir.
Ancak Roblox neredeyse yalnız değil – uzun bir kurumsal kimlik avı kurbanları serisinin en sonuncusu. Bu saldırıların başarısı, kimlik avcılarının çeşitli kuruluşlarda çalışan hedeflerini manipüle etmede ne kadar etkili olduğunu gösteriyor.
Son birkaç ayda, BT güvenlik haber döngüsüne e-posta, QuickBooks ve Google Drive gibi güvenilir uygulamaları kullanan kimlik avı saldırılarının raporları hakim oldu. Bu hafta, Avanan’dan yapılan araştırma gösteriyor ki bilgisayar korsanları gelen kutusuna girmenin yeni bir yolunu buldu PayPal’da sahte faturalar oluşturarak, erişim elde etmek için sitenin meşruiyetinden yararlanarak.
Meşru hizmetlerin kötüye kullanılması, kurbanları oturum açma kimlik bilgileri gibi bilgilerden vazgeçmeye ikna etmek için sosyal mühendislik taktiklerini kullanan en son kimlik avı saldırılarında önemli bir faktördür. SlashNext Threat Labs, 2021’in dördüncü çeyreği ile 2022’nin ilk ayları arasında güvenilir hizmetlerden gelen kimlik avı saldırılarında %57 artış bildirdi.
Haziran ayında, Microsoft 365 ve Outlook müşterileri, kimlik avı cazibesi olarak sesli posta temalı e-postalarla hedef alınırken, QuickBooks kullanıcıları, Haziran ve Temmuz aylarında, küçük işletmeleri hedefleyen bir vishing dolandırıcılığı da dahil olmak üzere arka arkaya kampanyaların kurbanı oldu. Ve gerçekten de, özellikle smishing ve iş metinlerinden ödün verilmesine odaklanılarak, çok kanallı kimlik avı saldırılarına ilişkin endişeler artıyor.
Bu arada, bulut işbirliği ve Zoom ve Microsoft Teams gibi araçların kullanımı, pandeminin başlangıcından bu yana geçen iki yılda patladı ve uzaktan çalışanlar için standart işletim prosedürleri haline geldi. Saldırganlar bu eğilimi gördü ve bundan faydalandı.
Kimlik Avı Yemleri Gelişmişlikte Büyüyor
Avanan’da siber güvenlik araştırma analisti Jeremy Fuchs, oltalama saldırılarının daha karmaşık hale gelmeye devam ettiğine ve sosyal mühendislik taktiklerinin gelişmeye devam ettiğine dikkat çekiyor. Meşru bir e-posta adresinden gelen kimlik avı e-postaları göndermek için PayPal gibi meşru hizmetlerin kullanımının artacağını düşündüğünü söylüyor.
“Sözde çift mızrak taktiklerinde bir artış gördük, bu sayede bilgisayar korsanları yalnızca paranızı almakla kalmıyor, aynı zamanda gelecekteki saldırılar için telefon numaranızı da alıyorlar” diyor. “Bir son kullanıcıdan birden fazla öğeyi yakalayabilen bu saldırılardan daha fazlasını göreceğiz.”
Proofpoint’te kıdemli siber güvenlik farkındalığı eğitimi uzmanı olan Gretel Egan, saldırganların tanınmış markaları kötüye kullandığını ve insanları gelen kutusunda temel hatalar yapmaları için kandırmak için yasal hizmetlerden yararlandığını görmeye devam ettiğini söylüyor.
“Bunlar, yüzeyde ‘doğru’ görünen, çalışma yollarına dokunan mesajlar” diyor. “Bu tür ince manipülasyonları insanların fark etmesi zor olabilir ve çalışanların saldırganların yetenekleri ve bu şekilde çalışma eğilimleri konusunda bilinçlendirilmesi çok önemlidir.”
Egan, tehdit aktörlerinin daha geniş dünyanın dikkatini çeken gerçek zamanlı olayları ve temaları kullandığını açıklıyor.
“Toplum olarak bahsettiğimiz bir şeyse veya güçlü duygular uyandıran bir şeyse, istismar edilmesi muhtemel olan içeriktir” diyor. “Giderek artan bir şekilde, tehdit aktörlerinin sosyal mühendislik içeriklerini kurbanları kurumsal e-posta ortamından telefon ve konferans yazılımı gibi alternatif iletişim platformlarına taşımak için kullandıklarını görüyoruz.”
Dağıtılmış İş Gücü, Güvenlik Açıklarına Ekleniyor
Sosyal mühendislik doğası gereği insan merkezlidir ve günümüzün hibrit iş gücünde kuruluşlar çevik kalırken verileri, cihazları ve sistemleri korumak için mücadele etmektedir.
Egan, çalışanların da iş arkadaşlarıyla bağlantıda kalmak ve bağlı kalmak için uyum sağlamak zorunda olduklarına dikkat çekiyor.
“Uzak ve hibrit ortamlardakiler, hem kamu hem de kurumsal olarak işbirliği uygulamalarına ve sosyal medyaya büyük ölçüde güveniyorlar” diyor. “Bu eğilimler, bir dizi sosyal mühendislik taktiğine ve diğer siber tehditlere kapı açtı.”
Sosyal mühendislik tekniklerinin yalnızca e-postalarda görülmediğini, bu taktiklerin kısa mesajlarda, telefon görüşmelerinde, doğrudan mesajlarda ve daha fazlasında başarıyla kullanıldığını belirtiyor.
Fuchs, bir e-posta hakkında soru sormak için BT masasına uğrayamamak da dahil olmak üzere uzaktan çalışmanın zorlukları olduğunu kabul ediyor.
“Ancak evden çalışırken dikkat dağınıklığı bir rol oynayabilir” diye ekliyor. “Daha fazla uyaran var – köpek havlıyor, çocuk ağlıyor, binlerce Slack mesajına cevap veriyor – sizi şüpheli olabileceği konusunda uyaran bir e-postadaki anahtarlara odaklanmak için zaman ayırmak, yol kenarına gidebilir.”
Advanced ML’yi Dağıtma, AI Tech
Fuchs, BT politikalarının statik “izin verme ve engelleme listelerinden” uzaklaşması ve gelişmiş AI’ya geçmesi gerektiğini savunuyor.
Fuchs, “Statik listeler, bu meşru hizmetlerin kimlik avı için kullanılmasına izin veriyor” diyor. “Gelişmiş AL ve ML, neyin gerçek neyin gerçek olmadığını ortaya çıkarabilir.”
Egan, insanların merkeze yerleştirildiği bir güvenlik kültürü içinde katmanlı kimlik avı e-postalarına karşı en iyi stratejinin çok katmanlı koruma olduğunu söylüyor.
Hangi kullanıcıların en çok hedef alındığını ve hangilerinin kimlik avı saldırılarının dayandığı sosyal mühendisliğe kapılma olasılığının en yüksek olduğunu anlamanın önemli olduğunu ekliyor.
“Kullanıcılar, kimlik avına karşı kritik bir savunma hattıdır ve güvenlik bilinci eğitiminin, herkesin bir kimlik avı e-postasını tanımlayabilmesini ve kolayca bildirebilmesini sağlamak için bir temel sağlaması önemlidir” diyor. “Bu, e-posta ağ geçidinde, bulutta ve uç noktada katmanlı savunmalarla birleştirilmelidir.”
Fuchs, çalışanlar için eğitimin bir zorunluluk olmaya devam ettiğini ve kullanıcının yavaşlamasına ve gönderen adresi ve URL hedefi gibi birkaç kritik işareti kontrol etmesine odaklanması gerektiğini kabul ediyor.
Onun bakış açısına göre, iki saniyelik bir kontrol genellikle felaketi önleyebilir.
“Bu oltalama saldırısı tufanından elde edilen anahtar sonuç, bilgisayar korsanlarının meşru markalardan yararlanarak muazzam bir başarı elde etmeleridir” diyor.
İster markayı kandırıyor, isterse doğrudan hizmetten kimlik avı e-postaları gönderiyor olsun, güvenilir bir marka gibi görünen her şeyin kullanıcının gelen kutusuna düşme ve buna göre işlem yapma olasılığı daha yüksektir.
“Kimliğe bürünme dolandırıcılığı artıyor ve yararlanabilecekleri muazzam miktarda hizmet göz önüne alındığında, yavaşlaması pek olası değil” diye uyarıyor.
