Bu hafta yayınlanan bir satıcı raporuna göre, saldırganlar aldatıcı bir bağlantı veya normal kullanıcıların kimlik avı gibi tehditleri engellemek için kullandıkları aynı e-posta güvenlik standartlarına uyan yeni etki alanları kullandığından, e-posta güvenlik standartları, kötü amaçlı e-posta saldırıları söz konusu olduğunda gözenekli hale geliyor.
Güvenlik firması Cloudflare, istenmeyen mesajların büyük çoğunluğunun (%89) üç ana e-posta güvenlik standardından en az birinin kontrolünden geçtiğini tespit etti: Gönderen Politikası Çerçevesi (SPF), DomainKeys Identified Mail (DKIM) veya Domain-based Message Authentication , Raporlama ve Uygunluk (DMARC). SPF tipik olarak hangi sunucuların alan adı adına posta gönderebileceğini belirtmek için bir alan adı kaydı kullanır, DKIM ise gönderenlerin bir mesajın geçerliliğini doğrulamak için “gönderen” adresi gibi bölümlerini imzalamasına izin verir. Son olarak, DMARC, SPF ve DKIM işleme yoluyla doğrulamayı içerebilen politikaları belirtmenin bir yoludur.
Bu e-posta kimlik doğrulama standartları, İnternet’i daha güvenli hale getirmek için çok önemli olmakla birlikte, kullanıcıları yalnızca korumak için tasarlandıkları tehditlerden koruyabilir, diyor Cloudflare’nin saha baş güvenlik sorumlusu Oren Falkowitz.
“Tehdit aktörleri için doğru e-posta kimlik doğrulama kayıtlarına sahip bir etki alanı oluşturmak önemsizdir; öyle ki, gerekli tüm kimlik doğrulama kontrollerini geçerken aynı anda kuruluşa erişim elde etmek için mesaja kötü amaçlı yükler veya bağlantılar dahil ederler.” “Ortak bir e-posta sağlayıcısından yararlanmak, saldırı mesajlarının tüm tipik kimlik doğrulama kontrollerini geçmesini sağlar – sonuçta amaçlanan hedefe ‘hızlı bir şerit’ sağlar.”
Veriler, kullanıcıları kurbanlara dolandırıcılık ve kötü amaçlı yazılım göndermek için düzenli olarak e-posta kullanan dolandırıcılardan ve siber saldırganlardan korumak için daha yapılacak çok iş olduğunun altını çiziyor. SPF, DKIM ve kuruluşların dolandırıcılıkla mücadele araç kutularına eklenmesi, saldırganların işini kesinlikle zorlaştırsa da imkansız hale getirmedi. Google’ın Gmail’i gibi büyük e-posta hizmeti sağlayıcıları güvenlik standartlarını benimsedi, ancak herhangi bir geçici çözümü hızla benimseyen saldırganlar da öyle. Son DEF CON hackleme konferansında, bir güvenlik araştırmacısı, diğer alanlar adına mesajlar göndermek için bir posta hizmetini kullanmanın, ancak yine de DMARC kontrollerinden geçmenin bir yolunu gösterdi.
Mimecast’in baş teknoloji ve ürün sorumlusu David Raissipour, bu nedenle savunucuların katmanlı bir yaklaşım benimsemeleri gerektiğini söylüyor.
“Herhangi bir güvenlik çözümünde olduğu gibi, hiç kimse %100 kapsama almamalı” diyor. “Bunu tanımlamanın en kolay yolu, ‘Ön kapımıza bir kilit koyduk – bu, tüm hırsızlıkları önlemeli’ demek gibi olurdu. Bu ifade doğru olmaz, ancak ön kapısında kilit olmayan bir eve sahip olmayı asla düşünmemelisiniz – bu sadece katmanlı bir güvenlik sisteminin parçasıdır.”
Ucuz Taklitçiler
Cloudflare, “2023 Kimlik Avı Tehditleri Raporu”nda, e-posta güvenlik teknolojilerinin benzer e-posta içeriğini, bir şirket markasına benzer etki alanlarını ve bazı tekrarlama saldırılarını engellemediğini belirtti. Her yedi kimlik avı e-postasından yaklaşık biri, saldırıyı tanınmış bir şirketin markasını kullanarak kamufle etmeye çalışır. En çok taklit edilen markalar Microsoft, Dünya Sağlık Örgütü ve Google’dır ve ilk 20 marka tüm kimliğe bürünme girişimlerinin yarısından fazlasını (%52) oluşturmaktadır.
Saldırganlar, 1.000’den fazla markanın kimliğine bürünmenin yanı sıra, zamanın üçte birinden fazlasında aldatıcı bağlantılar kullandı. (%36); e-postalar yeni kaydedilen alanlardan geldi zamanın %30’uCloudflare’nin yüz milyonlarca saldırıdan elde edilen veri analizine göre.
Yüzyılın başında tanıtılmasından ve yaklaşık on yıl önce önerilen bir standart olarak benimsenmesinden bu yana SPF, dolandırıcıların meşru etki alanlarını taklit etmesini zorlaştırmaya odaklandı. Bununla birlikte, URIports.com’a göre 2022’de alan adlarının yalnızca yaklaşık %60’ının geçerli bir SPF politikası varken, %31’inin politikası yoktu ve diğer %9’unun da yanlış yapılandırılmış bir politikası vardı.
Cloudflare’den Falkowitz, “Bu standartlara sahip olmak, e-postaların kritik bir kullanım durumu olan geçerli göndericilerden gelmesini sağlamaya yardımcı olur” diyor. “Ancak bu standartlar, kötü amaçlı yüklerin, bağlantıların veya fatura sahtekarlığı veya iş e-postası gizliliği ihlali gibi yükü olmayan saldırıların varlığını tespit etme amacını taşımadı ve bunu da yapmıyor.”
Raporda, Cloudflare’nin analizini, yaklaşık 280 milyon e-posta tehdit göstergesi, 250 milyon kötü amaçlı mesaj ve yaklaşık bir milyar marka kimliğine bürünme örneği dahil olmak üzere yaklaşık 13 milyar e-posta mesajının 12 aylık bir örneğine dayandırdığı belirtildi.
Çok Katmanlı Güvenlik Gerekli
Bir e-posta iletisinin doğrulanmış bir sunucudan gelmesi, iletinin sahte olmadığı anlamına gelmez, bu nedenle şirketlerin doğrulanmış etki alanlarını ve e-posta iletilerini gönderenleri kontrol etmesi gerekir. Falkowitz, aslında kuruluşların e-posta güvenliklerine, kimlik avına dayanıklı çok faktörlü kimlik doğrulama da dahil olmak üzere sıfır güven ilkelerini uygulamaları gerektiğini söylüyor.
“Saldırganlar, hem kendilerini tanıdığımız ve güvendiğimiz markalar hem de tanıdığımız ve birlikte iş yaptığımız insanlar olarak temsil ederek özgün olmaya çalışarak başarıyı yakalıyor” diyor ve ekliyor: “Bu saldırıları yakalamanın tek yolu, yaklaşımımızda önleyici ve bu kampanyalarda görülen çeşitli saldırı türlerini ve saldırı vektörlerini kapsayan çeşitli sinyaller ve teknikler kullanıyoruz.”
Ayrıca Mimecast’ten Raissipour, birçok şirketin günlük işlemler için Slack, Microsoft Teams veya diğer mesajlaşma uygulamalarına güvendiğinden, güvenlik denetimlerinin yalnızca e-postadan fazlasını koruması gerektiğini söylüyor.
“‘E-posta güvenliği’ diyebileceğimiz şey hakkında gerçekten daha bütünsel düşünmemiz gerekiyor” diyor. “Çalışanlar, ortaklar ve müşteriler iletişim için e-postadan daha fazlasını kullanıyor. Bu platformların kötü niyetli aktörler için bir hedef haline geldiğini gördük ve kuruluşlar tüm iletişim kanallarının güvenliğini göz önünde bulundurmalı.”