Tycoon2FA nedir? Tycoon2FA’nın güncellemeleri neler? Phishing-as-a-service platformları neden önemlidir? SVG tabanlı phishing saldırılarının artış nedeni nedir? Bu saldırılara karşı nasıl önlem alınabilir?
Tycoon2FA nedir?
Tycoon2FA, Phishing-as-a-Service (PhaaS) platformlarından biri olarak tanımlanan bir araçtır. Bu platform, kullanıcıların hesap bilgilerini çalmak için tasarlanmış çeşitli saldırı tekniklerini bir arada sunmaktadır. Özellikle, Microsoft 365 ve Gmail gibi yaygın kullanılan e-posta hizmetlerine yönelik çok faktörlü kimlik doğrulamasını aşabilme yeteneğiyle dikkat çekmektedir. Saldırganlar, bu platform aracılığıyla oluşturulan sahte sayfalar aracılığıyla kullanıcılardan hassas bilgilerini çalmakta ve bu bilgileri kötü amaçlarla kullanabilmektedir.
Tycoon2FA’nın güncellemeleri neler?
Ekim 2023’te Sekoia araştırmacıları tarafından keşfedilen Tycoon2FA, zamanla önemli güncellemeler almıştır. Bu güncellemeler, platformun gizliliği ve kaçış yeteneklerini artırmak için tasarlanmıştır. Öne çıkan bazı yenilikler şunlardır:
Gizli Unicode karakter kullanımı: Bu teknik, JavaScript içerisinde ikili verilerin gizlenmesine olanak tanır. Böylece, yük (payload) normal bir şekilde çözülüp çalıştırılabilirken, insan ve statik desen eşleştirme analizi gibi manuel yöntemlerden kaçılması sağlanır.
Kendi barındırdığı CAPTCHA sistemine geçiş: Tycoon2FA, Cloudflare Turnstile kullanmaktan vazgeçerek HTML5 kanvası aracılığıyla rastgele öğeler içeren kendi CAPTCHA’sını geliştirmiştir. Bu sayede, sayfanın içeriği üzerinde daha fazla özelleştirme kontrolü elde edilirken, alan itibarı sistemlerinin tespit etmesi de zorlaşır.
- Anti-debugging JavaScript kodları: Bu güncellemeler, tarayıcı otomasyon araçlarını tespit eden ve analizle ilişkilendirilen belirli eylemleri yasaklayan bir sistem içermektedir. Şüpheli bir aktivite tespit edildiğinde, kullanıcıya bir tuzak sayfası gösterilir veya kullanıcı, rakuten.com gibi meşru bir web sitesine yönlendirilir.
Bu güncellemeler, bireysel olarak yenilikçi olsalar da, bir araya geldiklerinde tespit ve analiz süreçlerini oldukça karmaşık hale getirerek, phishing altyapısını açığa çıkararak kapatılmalarını engellemektedir.
Phishing-as-a-service platformları neden önemlidir?
Phishing-as-a-Service platformları, kötü niyetli kişilere kullanımı kolay araç ve hizmetler sunarak saldırı düzenlemelerini kolaylaştırmaktadır. Bu tür platformların artışı, siber güvenlik tehditlerini daha erişilebilir hale getirirken, aynı zamanda daha geniş bir kitleyi hedef alma imkanı sunmaktadır. Bireysel kullanıcıların ve kuruluşların bilgilerinin tehlikeye girmesi, bu platformların önemini artırmaktadır.
Bu tür hizmetler genellikle bir dizi araç, rehber ve destek içermektedir. Başka bir deyişle, teknik bilgiye sahip olmayan kişiler bile, bu tür hizmetler aracılığıyla sofistike saldırılar gerçekleştirebilmektedir. Hal böyle olunca, siber suçluların etkili bir şekilde saldırı düzenlemeleri ve kurban bilgilerini çalmaları daha kolay hale gelmektedir.
SVG tabanlı phishing saldırılarının artış nedeni nedir?
Yakın zamanda, Trustwave, PhaaS platformlarıyla birlikte SVG (Scalable Vector Graphics) dosyaları aracılığıyla gerçekleştirilen phishing saldırılarında dramatik bir artış gözlemlemiştir. 2024 Nisan’dan 2025 Mart’a kadar olan süre içerisinde bu saldırılarda %1800 oranında bir artış yaşanmıştır. Bu artışın sebepleri arasında, SVG dosyalarının içeriğinin JavaScript kodları ile gizlenmesi ve gözden kaçırılması ile birlikte etkili bir şekilde kullanılabilmesidir.
Malicious SVG’ler, sesli mesaj, logo veya bulut doküman simgeleri gibi görünümlerle tasarlanmaktadır. Ancak, bu SVG dosyaları JavaScript içerebileceği için, tarayıcıda görüntülendiğinde otomatik olarak tetiklenmektedir. Bu kötü amaçlı kod, base64 şifreleme, ROT13 ve XOR şifreleme gibi birçok teknikle obfuscate edilmekte, böylece tespit edilmesi zorlaşmaktadır. Bu tür saldırılar, Microsoft 365 gibi platformlara kullanıcı bilgilerini çalmak için yönlendirme yapmaktadır.
Bu saldırılara karşı nasıl önlem alınabilir?
SVG tabanlı phishing saldırılarına karşı alıcak önlemler arasında, e-posta gateway’lerinde SVG eklerinin engellenmesi veya etiketlenmesi, kullanıcıların gönderici doğruluğunu doğrulama süreçlerini geliştirmesi ve güvenli olmayan kimlik doğrulama yöntemlerinden kaçınmaları yer almaktadır. Örneğin, phishing’e dirençli çok faktörlü kimlik doğrulama (MFA) yöntemleri, özellikle FIDO-2 cihazları gibi donanımlar kullanılarak uygulanmalıdır.
Kullanıcıların, gelen e-postalarda yer alan SVG dosyalarına dikkat etmeleri ve tanımadıkları göndericilerden gelen ekleri açmamaları önemlidir. Ayrıca, organizasyonlar, çalışanlarına düzenli olarak siber güvenlik eğitimleri vererek, bu tür saldırılara karşı bir bilinç oluşturmalılardır.
Sonuç olarak, Tycoon2FA ve benzeri PhaaS platformları ve SVG tabanlı phishing saldırıları, siber güvenlik alanında ciddi bir tehdit oluşturmaktadır. Bu tehditler karşısında hem bireylerin hem de kuruluşların dikkatli olması ve etkili önlemler alması gerekmektedir.
