[ This article was originally published here ]
John E. Dunn tarafından
Kimlik avı saldırıları, çok sayıda birbirine benzeyen ‘karıştırılabilir’ etki alanı oluşturmaya bağlıdır. Yeni bir rapor, en yaygın örnekleri vurguladı ve kimlik avı etki alanlarını öfkeyle kullanılmadan önce tespit etmenin bir yolunu önerdi.
Kimlik avı saldırıları yirmi yıl önce hız kazandığından beri, suçluların gerçek olanlara makul bir şekilde benzeyen ‘karıştırılabilir’ veya yazım yanlışı yapan alan adları oluşturma yeteneği herkesin tarafında bir diken oldu.
Şirketlerin markaları ele geçirildi, kullanıcılar gerçek gibi görünen kimlik avı e-postalarına tıklamaları için kandırıldı ve kayıt şirketleri tüm bunların olmasına izin verdiği için şiddetle eleştirildi.
Büyük şirketler, bu alan adlarını kaydettirdikten hemen sonra dikkat etmeleri ve engellemeleri için yöneticiler veya üçüncü taraf hizmet sağlayıcılar kullanır ve yine de sahtekarlık akışı azalma belirtisi göstermez.
Çok Fazla Seçenek
Temel sorun, kimlik avı e-postalarındaki karıştırılabilir etki alanlarını tespit etmenin zor olmasıdır, çünkü farklı dillerdeki olası kelime kombinasyonlarının sayısı çok fazladır.
Karıştırılabilir alan adı, genellikle markanın adını bir yerde içeren çok parçalı bir alan adıdır ve görsel olarak marka adına benzeyen sıra dışı karakterler kullanarak markaları taklit eden homograf alan adlarıyla karıştırılmamalıdır.
Örneğin, Cloudflare’ın 1.1.1.1 DNS hizmeti aracılığıyla çözümlenen en çok kötüye kullanılan ilk 50 markanın listesi, onları hedeflemek için kullanılan en yaygın alan adlarının yanı sıra aşağıdaki ilk 10’u sunar:
|
1 |
AT&T A.Ş. |
att-rsshelp[.]iletişim |
|
2 |
paypal |
paypal şarjı[.]olmak |
|
3 |
Microsoft |
giriş yapmak[.]Microsoftonline.ccisistemleri[.]biz |
|
4 |
DHL |
dhlinfos[.]bağlantı |
|
5 |
Meta |
facebookztv[.]iletişim |
|
6 |
İç Gelir Servisi |
irs-iletişim-ödemeler[.]iletişim |
|
7 |
Verizon |
loginnnaolcccom[.]cılız[.]iletişim |
|
8 |
Mitsubishi UFJ NICOS Co., Ltd. |
kulaklıklar[.]İD |
|
9 |
Adobe |
adobe-pdf-sick-alley[.]kabarmak[.]sh |
|
10 |
Amazon |
login-amazon-hesabı[.]iletişim |
Kimlik avı suçlularının, alıcıların güven ilişkisi kuracağını düşündükleri büyük teknoloji ve telekomünikasyon markalarına yöneldiği yeni bir haber değil. Ancak ilginç olan, sağ taraftaki sütunda yer alan ve çoğu son derece makul görünen alanlardır. Örneğin, Amazon’login-amazon-hesabı[.]com’ alan adı neredeyse herkesi kandırabilir.
Genellikle, alıcıların bir e-postanın gerçekliğini doğrulamak için alan adlarını asla kullanmaması gerektiği söylenir, ancak taktik işe yaramalıdır. Karıştırılabilir alanlar etkisiz olsaydı, suçlular onları oluşturmak için bu kadar çaba sarf etmezdi.
Yine de Cloudflare’nin tam listesi yalnızca ilk 50’yi kapsıyor. Bu fenomenin uzun kuyruğu muhtemelen binlerce markaya kadar uzanıyor ve prensipte hedef almaya değer her kuruluşu etkileyebilir.
bulanık eşleştirme
Bu hikayenin farklı yönü, belki de kimlik avı saldırılarının gelecekte daha iyi kontrol altına alınabileceğine dair en azından bir miktar umut veren listenin nasıl geliştirildiğidir.
Cevap, 1.1.1.1’e trafik sağlamasıdır. Her bir sorgunun Cloudflare One müşteri tabanı tarafından kullanılan etki alanı kalıplarına ne kadar benzediğini görmek için “belirsiz eşleştirme” algoritması aracılığıyla DNS çözümleme hizmeti kullanıldı.
“Düzenleme mesafelerine sahip dizeler olabilen bu kayıtlı modeller, listedeki alan adlarından herhangi biriyle bir eşleşme tespit ettiğimizde sistemimizin uyarılar oluşturmasını sağlar, “diye yazdı Cloudflare.
Eşleşme tespit ederse, bunlar neredeyse gerçek zamanlı olarak otomatik olarak şüpheli olarak işaretlenir. Cloudflare bunu gelecekte otomatik olarak yapmayı planladığını söylese de, müşteriler etki alanlarının ilişkilendirilmesini istediği kalıpları oluşturmak zorunda.
Cloudflare bilmeli. Geçen Temmuz ayında şirketin Okta IAM arayüzü sadece 40 dakika önce kaydedilen hileli bir alan adı aracılığıyla düzinelerce çalışanına kimlik avı metin mesajları göndererek.
Üç çalışan dolandırıldı. Ancak Cloudflare, saldırının daha fazla ilerlemesini engelleyen FIDO2 güvenlik belirteçlerini kullanır. Etki alanı, kayıt şirketi izleme sistemi tarafından tespit edilmiş olmalıydı, ancak bir nedenden dolayı bir gecikme yaşandı. Bu, gerçek zamanlı olarak çalışabilecek bir sisteme olan ihtiyacın altını çizdi.
Karıştırılabilir alan adları ve kimlik avı savaşı henüz bitmedi. Bariz etki alanı benzerlikleri tespit edilirse suçlular, bunların da tespit edilip edilmediğini görmek için test olasılıklarını kaydettikten sonra aynı fikir üzerinde daha karmaşık varyasyonlara geçebilir.
reklam