Bilgisayar korsanları, kimlik avı e-postaları göndermek için yasal Amazon Web Services (AWS) S3 klasörlerini kullanır.
Son trendler, siber suçluların kimlik avı e-postaları göndermek için Google, QuickBooks ve PayPal gibi iyi bilinen platformlardan yararlandığını ve bu durumun tespit edilmesini hem güvenlik hizmetleri hem de son kullanıcılar için zorlaştırdığını gördü.
Bu yeni kimlik avı saldırıları dalgasında, bilgisayar korsanları AWS S3 Kovaları kimlik avı bağlantılarını barındırmak, onlara daha inandırıcı ve meşru bir görünüm sağlamak.
“Check Point araştırmacıları, Amazon’a bu kampanyayı 25 Temmuz’da bildirdi”.
AWS S3 Buckets’ın kullanılması, saldırganların tipik güvenlik kontrollerinden geçen kimlik avı e-postaları sunmasına olanak tanır ve bu e-postaların gerçek iletişimlerden ayırt edilmesini zorlaştırır.
API Saldırıları %400 Arttı – API’lerinizi Pozitif Güvenlik Modeli ile Korumanın Temellerini Anlayın – Ücretsiz Web Semineri İçin Şimdi Kaydolun
Şimdi üye Ol
Saldırı, aşağıdaki temel teknikleri kullanır:
1. Vektör: E-posta
2. Tür: İş E-postası Uzlaşması (BEC) 3.0
3. Teknikler: Sosyal Mühendislik, Kimlik Bilgisi Toplama
4. Hedef: Herhangi bir son kullanıcı
Saldırının Anatomisi
Bu tür saldırılar için ortak bir başlangıç noktası, genellikle bir parola sıfırlama isteği olarak gizlenen bir kimlik avı e-postasıdır.
Bazı kullanıcılar bu tür e-postaları tanıyabilir ve etkileşim kurmaktan kaçınabilir, ancak e-postanın görünümü ve içeriği diğerlerinin bağlantıyı tıklamasına neden olabilir.
Bu bağlantı kullanıcıyı, tanınan bir AWS etki alanına işaret eden URL’si nedeniyle meşru görünen AWS S3 Bucket tarafından barındırılan bir web sayfasına götürür.
Web sayfasına ulaşıldığında, kullanıcıyı aldatmak için çeşitli ince taktikler kullanılır:
– URL, gerçek bir AWS hizmeti olan bir S3 Kovasıdır.
– Bir Microsoft oturum açma sayfası yeniden oluşturulur.
– E-posta adresi alanı, kullanıcı zaten oturum açmış gibi görünmesini sağlayacak şekilde önceden doldurulmuştur.
– URL çubuğundaki bulanık kısım, kullanıcının oturum açtığını gösterir.
Teknik Gelişmişlik
Bu saldırı, standart kimlik avı saldırılarına kıyasla daha yüksek düzeyde teknik hüner gerektirse de, ortalama bir bilgisayar korsanının erişebileceği mesafede kalır.
Amaç, kimlik bilgilerine erişim elde etmek saldırgana kurbanın hesapları ve verileri üzerinde önemli bir kontrol sağladığından, kimlik bilgilerini çıkarmaktır.
Bu tür saldırılara karşı savunma yapmak için güvenlik uzmanlarına çok yönlü bir yaklaşım benimsemeleri önerilir:
1. AI ile Geliştirilmiş Güvenlik: Birden çok kimlik avı göstergesini analiz etmek için yapay zekadan yararlanan ve ilk bakışta meşru görünseler bile şüpheli e-postaların tanımlanmasını sağlayan güvenlik çözümleri uygulayın.
2. Belge ve Dosya Tarama: Ekleri ve belgeleri tarayarak bu dosyaların içinde gizlenmiş olası tehditleri tespit edebilen kapsamlı güvenlik önlemleri kullanın.
3. Sağlam URL Koruması: Web sayfalarını tarayan ve simüle eden, kimlik avı sitelerini zarar vermeden önce belirleyip engelleyen gelişmiş URL koruma sistemlerini kullanın.
Bilgisayar korsanları yasal platformları kötü amaçlı amaçlarla kullanmaya devam ederken, kuruluşların ve bireylerin uyanık kalması çok önemlidir.
Kimlik avı saldırıları için AWS’nin benimsenmesi, en son siber güvenlik trendlerinden haberdar olmanın ve proaktif savunma stratejileri uygulamanın önemini vurgulamaktadır.
Teknik okuyucular, siber suçlular tarafından kullanılan teknikleri anlayarak ve önerilen güvenlik önlemlerini uygulayarak, dijital ortamların gelişen tehditlerden korunmasına katkıda bulunabilir.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.