Siber suçlular, bu sefer kimlik bilgilerini toplamayı amaçlayan QuickBooks çevrimiçi hesaplarından, zekice hazırlanmış kimlik avı saldırılarıyla kurbanları hedef almaya devam ediyor. Araştırmacılar, kumar oyunlarının, ticari e-posta uzlaşması (BEC) çabalarında yeni bir dalganın göstergesi olan bir düzeyde meşruiyet ve sosyal mühendislik kullandığını söyledi.
Saldırılar, siber suçluların bu tür saldırılar için güvenlik ve algılama geliştikçe kimlik avı taktiklerini nasıl geliştirmeye devam ettiğini ve daha da kaçamak manevralara geçiş yaptığını gösteriyor. Bu, 6 Nisan’da yayınlanan bir blog gönderisinde saldırıların bu evriminin “BEC 3.0” olarak kabul edilebileceğini söyleyen bir Check Point şirketi olan Avanan’dan araştırmacılara göre.
Araştırmacılar, tehdit aktörlerinin artık meşru hizmetler için ücretsiz hesaplar için kaydolduğunu ve ardından tipik tarama araçları tarafından işaretlenmeyecek alanlardaki e-posta adreslerini kullanarak bu hizmetler içindeki kurbanları hedef aldığını söyledi.
“En eşsiz [aspect of the attack] Avanan siber güvenlik araştırmacısı/analisti ve blog gönderisinin yazarı Jeremy Fuchs, Dark Reading’e, “Hacker’lar uyum sağlama konusunda inanılmaz derecede ustalar. Çok fazla para ve teknoloji atıldı [what] BEC 2.0’ı düşünüyoruz ve birçok çözüm onu durdurmakta gerçekten başarılı oldu. Bu nedenle, bilgisayar korsanlarının uyum sağlaması gerekiyor – ve burada da var.”
Avanan, PayPal ve Google’dan gelen benzer saldırıların yanı sıra meşru QuickBooks hesaplarından gelen önceki saldırıların kanıtlarını zaten buldu. Daha da kötüsü, saldırganların bu taktiği, kimlik avı e-postalarının geleneksel olarak kullandığı ve kullanıcıların işaretlemeyi öğrendiği tipik kötü dilbilgisi veya yazım hatalarından arınmış, dikkatlice yazılmış ve sosyal olarak tasarlanmış e-postalarla birleştirmeleridir, dedi Fuchs.
Gönderide “Tüm tipik kimlik avı hijyen hileleri pencereden atıldı” diye yazdı. “Gönderenin adresinde bir tutarsızlık göremezsiniz. Bağlantılar yasal. Yazım ve dilbilgisi yerinde.”
Yazım Hataları Olmadan Ortak Cazibesi
Saldırganların kötü amaçlı içerik barındırmak veya kullanıcıları bu içeriğe yönlendirmek için LinkedIn, Google Cloud, AWS ve diğer pek çok meşru hizmet olarak yazılım (SaaS) ve bulut tekliflerini artan şekilde kullanması, kimlik avının bir neden olarak kalmasının bir nedenidir. birincil ilk erişim vektörlerinin.
En son QuickBooks saldırısı durumunda, mesajlar kurbanlara bir Norton antivirüs ürünü olan Norton LifeLock aboneliklerinin yenilenmek üzere olduğunu bildirir ve kurbandan otomatik yenileme ödemesini doğrulamak veya iptal etmek için bir telefon numarasını aramasını ister.
Bu son ayrıntı, en bilgili e-posta kullanıcısına bile şüpheli görünen tek şey olabilir, ancak Fuchs’un dediği gibi, “Pek çok kişi Norton LifeLock kullanıyor ve bu hem tüketiciler hem de işletmeler için geçerli.”
Bir kurban tuzağa düşerse, saldırganlar yalnızca potansiyel ödeme kimlik bilgilerini değil, aynı zamanda WhatsApp gibi sohbet uygulamalarından gelecek saldırılar için bir kurbanın telefon numarasını da toplayabildiğinden, kampanya bir-iki yumruk atıyor, gönderide söyledi.
Fuchs, genel olarak saldırının, bilgisayar korsanlarının yalnızca son kullanıcılara ikna edici görünmekle kalmayan, aynı zamanda meşru kaynaklardan geldikleri için güvenlik korumaları tarafından alınması zor olan mesajlar oluşturarak taktikleri ayarladığını gösterdiğini söylüyor. Fuchs, örneğin QuickBooks’un tamamen güvenli bir web sitesi olduğunu ve ABD’de ve diğer ülkelerde gelir vergisi mevsimi olduğu için hizmetten gelen bir e-postanın kullanıcıları muhtemelen şaşırtmayacağını söylüyor.
“Bilgisayar korsanlarının yaptığı şey, bu güvenliği alıp kendi çıkarları için kullanmak oldu” diyor. “Güvenli olmayan bağlantıları veya mesajları güvenli bir hazneye yerleştirerek, güvenlik hizmeti haznenin güvenli olduğunu görüp ileri ilettiği için tespit edilmekten kolayca kurtulabilir.”
Aslında, tüm standart kontroller – etki alanı, SPF, DMARC, vb. – bu tür e-postaların geçmesine izin verir ve birçok güvenlik hizmeti Intuit alanını görür ve daha fazla kontrol yapmadan gönderir.
Fuchs gönderide “Bakılacak yeni oluşturulmuş bir alan yok” diye yazdı. “Doğal dil işleme pek işe yaramayacak. Bu saldırıları üstesinden gelinmesi inanılmaz derecede zor yapan da bu.”
Azaltma Taktikleri
Araştırmacılar, saldırganların kimlik avı oyunlarını yeni yöntemlerle hızlandırmasıyla, işletmelerin ve diğer kuruluşların da güvenlik koruması açısından ayak uydurması ve çalışanları BEC 3.0 mesajlarını tespit edecek araçlarla donatması gerektiğini söyledi.
Fuchs, yeni kimlik avı saldırıları türleri hakkında gelişmiş çalışan eğitiminin onları hafifletmek için uzun bir yol kat edebileceğini söyledi.
Gönderide “Bu, kullanıcılar için yeni bir eğitim dalgası gerektiriyor” diye yazdı. “Bağlantıların üzerinde gezinmek o kadar yardımcı olmuyor – artık kullanıcıların tüm bağlantılara karşı dikkatli olması gerekiyor. Bu, tamamen yeni bir yaklaşım gerektiriyor.”
Kuruluşların çalışanlardan yapmalarını isteyebilecekleri en önemli şeylerden biri, harekete geçmek için bir telefon araması yapmalarını gerektiren şüpheli iletilerde yer alan Google telefon numaralarını kullanmaktır, diyor. Araştırmacılar, Avanan tarafından araştırılan saldırı durumunda, mesajda yer alan telefon numarasının bir Google aramasının, bunun dolandırıcılıkta kullanıldığını işaretlediğini buldu.
Fuchs, kuruluşların, ikinci bir çalışandan bağımsız doğrulama gerektiren BEC e-postalarının talep ettiği eylem türleri için politikalar uygulayabileceğini ve başarılı bir saldırı olasılığını azaltmaya yardımcı olabileceğini söylüyor.
İşletmelerin gelişmiş kimlik avı saldırılarından taviz vermekten kaçınmak için atabilecekleri diğer adımlar arasında, bir kredi kartı veya başka bir ödeme yöntemi kullanıldığında ortaya çıkabilecek veri koruma politikalarının uygulanması, güvenlik ekiplerine ve finans ekiplerine bir şeylerin ters gittiği konusunda uyarı verilmesi yer alıyor, diyor.
Fuchs, “Bir bağlantıyı tüm amaçlanan eylemleriyle izleyen tarayıcı güvenliğini kullanmak da yararlıdır” diye ekliyor.