Siber suçlular, etkili bir caydırıcıyı aşmanın yeni bir yolunu buldu Kimlik avı saldırıları, Dark Web’de satılan ve Google Chrome’daki kullanıcıları olası sahtekarlığa karşı uyaran koruyucu “Kırmızı Sayfa” uyarısını atlamalarına olanak tanıyan yeni anti-bot hizmetleriyle.
Anti-bot hizmetleri, siber güvenlik botlarını filtreleyerek ve kimlik avı sayfalarını Google tarayıcılarından gizleyerek güvenlik tarayıcılarının kimlik avı sayfalarını tespit etmesini ve bunları engellenenler listesine almasını önlemeyi amaçlıyor. yeni araştırma bugün SlashNext tarafından yayınlandı.
Bunu, bir özellik olan Kırmızı Sayfayı etkisiz hale getirerek yapıyorlar. Google Güvenli Tarama Kendisi Chromium tabanlı tarayıcıların ve diğer Google hizmetlerinin bir özelliği olan bu özellik, kullanıcıları kimlik avı girişimleri gibi potansiyel tehlikelere karşı uyararak zararlı web sitelerinden korumayı amaçlamaktadır. Sayfa, kırmızı renkte görüntülendiği ve birinin gezindiği bir sitenin aldatıcı olabileceğine dair bir uyarı vererek, bu siteden kaçınmasını tavsiye ettiği için bu adı almıştır.
Bunu yaparken, uyarı potansiyel başarısını “ciddi şekilde” sınırlayabilir Kimlik avı saldırıları,” gönderisine göre, tehdit kampanyaları için “büyük bir engel” oluşturuyor. Bunun nedeni, bu kampanyaların yüksek tıklama oranlarına bağlı olmasıdır; Google’ın algılaması bir kimlik avı sayfasını işaretleyip onu engellenenler listesine eklediğinde bu oran önemli ölçüde düşer.
Artık Dark Web’de bulunan Otus Anti-Bot, Remove Red ve Limitless Anti-Bot gibi çeşitli anti-bot hizmetleri, “bu savunma hattını zayıflatma tehdidinde bulunuyor ve potansiyel olarak daha fazla kullanıcıyı karmaşık yazılımlara maruz bırakıyor.” kimlik avı girişimleri,” gönderisine göre.
Anti-Bot Hizmetleri Nasıl Çalışır?
Her hizmetin kendine özgü özellikleri olmasına rağmen hepsi, kötü amaçlı içeriğin Google’ın Kırmızı Sayfa özelliğini atlamasına olanak tanıyan çeşitli tekniklerin birleşimine dayanmaktadır. SlashNext’e göre çoğu, normalde engellenecek olan bilinen güvenlik botu trafiğini filtrelemek için kullanıcı aracısı dizelerini ve IP adreslerini analiz eden bot tespit mekanizmalarına güveniyor.
Gönderiye göre “Siber güvenlik tarayıcılarının halka açık listeleri yaygın olarak mevcut (örneğin Shodan), bu da bilinen güvenlik botu trafiğini filtrelemeyi kolaylaştırıyor.” “Bir IP adresi veya kullanıcı aracısı bir güvenlik tarayıcısı olarak işaretlendiğinde engellenir, böylece sayfanın gerçek kullanıcılar tarafından erişilebilir kalması ancak siber güvenlik kuruluşlarından gizlenmesi sağlanır.”
Hizmetler ayrıca ziyaretçinin profiline göre farklı içerik sunmak için bağlam değiştirme veya JavaScript gizleme gibi gizleme tekniklerini de kullanır. Bu teknikler, güvenlik tarayıcılarını etkili bir şekilde zararsız içeriğe yönlendirirken, kullanıcıyı da bir Kimlik avı sayfası.
Anti-bot hizmetlerinin bir diğer ortak özelliği de CAPTCHA veya genellikle bir web sayfasını kötü amaçlı içerik açısından analiz eden otomatik tarayıcıları filtrelemek için sayfalara meydan okuyun. Gönderiye göre “Çoğu bot CAPTCHA’ları çözemediğinden, bu teknik gerçek kullanıcıların geçişine izin verirken bunları etkili bir şekilde engelliyor.”
Bazı anti-bot hizmetleri bir zaman gecikmesi bile getirebilir; bu da güvenlik botlarının sayfayı tarayamadan önce “zaman aşımına” uğramasına neden olarak kafalarını daha da karıştırır ve böylece kullanıcıları potansiyel bir güvenlik tehdidine karşı uyarır.
SlashNext’e göre bölgeye özel içerik sunarak ve yabancı trafiği engelleyerek Google Kırmızı Sayfasını da atlayabilirler. Araştırmacılar, örneğin bir kimlik avı kampanyasının bir Kore bankasını hedef alması durumunda, hizmetin yabancı IP adreslerini engellerken yalnızca Kore trafiğinin siteyi ziyaret etmesine izin verebileceğini belirtti. Üstelik gönderiye göre, bu yöntemler coğrafya açısından son derece spesifik hale gelebilir, hatta kampanyaları şehir düzeyine kadar daraltabilir ve bu da uluslararası siber güvenlik hizmetlerinin sayfayı tamamen tespit etmesini engelleyebilir.
Tamamen Kusursuz Değil
Araştırmacılar, bu anti-bot hizmetlerinin Google Red Page’in kapsamını önemli ölçüde daraltabilmesine rağmen sınırlamalarının bulunduğunu belirtti. Araştırmacılar, kötü amaçlı hizmetlerin daha az karmaşık kimlik avı kampanyalarında en iyi şekilde çalıştığını, çünkü birçok güvenlik sağlayıcısının botlarını ve tarayıcılarını bildirdiği kullanıcı aracısı dizesindeki bilinen tarayıcıları tanımlayıp engelleyebildiklerini belirtti.
Gönderiye göre “Bu, siber suçluların bot trafiğini filtrelemesine ve kimlik avı kampanyalarının ömrünü uzatmasına olanak tanıyor.” Ancak daha karmaşık kimlik avı operasyonlarında, analistler tarafından yapılan manuel analiz sonunda sayfayı tespit edecek ve bu da sayfanın engellenenler listelerine eklenmesine yol açacaktır.
Yine de, kimlik avının son kullanıcılar tarafından tespit edilmesini sınırlayabilecek her şey, yalnızca bireylerin değil kurumların da genel güvenliğine yönelik bir tehdittir. Bunun nedeni, siber suçun en eski biçimlerinden biri olmasına rağmen, kimlik avının hala saldırganların kurumsal ağlara ilk giriş yaparak diğer kötü amaçlı etkinlik türlerini gerçekleştirmek için kullandığı başlıca yollardan biri olmasıdır: fidye yazılımı saldırıları.
Ayrıca kullanılabilirliğin artması Kimlik avı kitleri Saldırganların kampanya oluşturmasını kolaylaştıran bu durum, kimlik avı taktiklerinin giderek daha karmaşık hale gelmesi ve şimdi anti-bot hizmetlerinin ortaya çıkması, bireyler ve savunucular tarafından tespit edilmesini daha karmaşık hale getiriyor.
SlashNext’e göre, Google Red Page’i atlatmak için anti-bot hizmetlerinin kullanılmasına karşı en iyi savunma, e-posta, mobil ve mesajlaşma uygulamalarındaki tehditleri gerçek zamanlı olarak mümkün olduğunca yüksek doğrulukla tespit edebilen güvenlik platformlarını kullanmaktır. Kimlik avı sayfalarının yukarıda bahsedilen manuel analizi ve ardından kötü amaçlı sitelerin engelleme listelerine eklenmesi de bu hizmetlerin etkili olmasını engelleyebilir.