Siber suçlular, e-posta güvenlik önlemlerinden yararlanmanın yeni bir yolunu buldu ve bunları kötü niyetli faaliyetleri için araçlara dönüştürdü.
Haziran 2024’ün ortasından bu yana, tehdit aktörleri, kullanıcıları kimlik avı tehditlerinden korumak ve karmaşık saldırılar gerçekleştirmek için tasarlanan URL yeniden yazma özelliklerini giderek daha fazla kötüye kullanıyor.
URL yeniden yazma, çeşitli e-posta güvenlik satıcıları tarafından kullanıcıları e-postalardaki kötü amaçlı bağlantılardan korumak için kullanılan bir güvenlik özelliğidir.
Süreç, orijinal URL’lerin, alıcıları web içeriğine erişime izin vermeden önce tehdit taraması için satıcının sunucularına yönlendiren değiştirilmiş bağlantılarla değiştirilmesini içerir.
URL’yi yeniden yazmaya yönelik iki ana yaklaşım vardır: –
- Eski çözümler: Bunlar önceden tanımlanmış tehditlere dayalı kurallara ve imzalara dayanır.
- Daha yeni çözümler: Bunlar, bağlantıları gerçek zamanlı olarak taramak için bilgisayar görüşü ve makine öğrenimi algoritmalarını kullanır.
Bunun yanı sıra, Perception Point’teki araştırmacılar, bazı kuruluşların her iki yaklaşımın bir kombinasyonunu kullandığını ve bunun bazen URL’lerin “çifte yeniden yazılmasına” yol açtığını keşfetti.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Sömürü Tekniği
Saldırganlar, URL yeniden yazmanın iç işleyişini inceliyor ve şimdi bunu kimlik avı kampanyalarında kullanıyor. En yaygın yöntem şunları içerir: –
- URL yeniden yazma özellikleriyle korunan meşru e-posta hesaplarının tehlikeye atılması.
- Kendilerine “temiz” bir URL içeren bir e-posta göndermek.
- E-posta güvenlik hizmetinin URL’yi yeniden yazmasına izin veriliyor.
- Hedefini bir kimlik avı sitesi olarak değiştirerek yeniden yazılan URL’yi silah haline getirmek.
Bu teknik özellikle tehlikelidir çünkü kullanıcıların bilinen güvenlik markalarına olan güveninden yararlanır ve güvenlik bilincine sahip çalışanların bile güvenli görünen bağlantılara tıklama olasılığını artırır.
.webp)
Perception Point’in güvenlik araştırmacıları, URL yeniden yazma hizmetlerinden yararlanan çok sayıda karmaşık saldırıyı yakaladı: –
- Çift Yeniden Yazma Saldırısı: Proofpoint ve INKY’yi içeren bu saldırıda, SharePoint bildirimi olarak gizlenen yeniden yazılmış bir kimlik avı bağlantısı kullanıldı. Otomatik analizden kaçınmak için bir CAPTCHA mücadelesi içeriyordu.
- Çok Hedefli Suiistimal: Saldırganlar, INKY ve Proofpoint tarafından korunan bir kuruluşun güvenliğini ihlal etti, yeniden yazılmış bir URL oluşturdu ve bunu birden fazla başka kuruluşu hedef alacak şekilde yeniden tasarladı.
- Mimecast Kullanımı: Bir kimlik avı saldırısı, kimlik bilgileri çalan bir siteye giden kötü amaçlı bir bağlantıyı gizlemek için Mimecast’in URL yeniden yazma hizmetinden yararlandı.
- Sophos Aracılığıyla IRS Kimlik Avı: Bir saldırı, IRS ve ID.me’yi taklit eden bir e-postadaki kimlik avı bağlantısını maskelemek için Sophos’un URL yeniden yazma hizmetini kullandı.
.webp)
Bu karmaşık saldırılarla mücadele etmek için Perception Point’in Dinamik URL Analizi gibi gelişmiş güvenlik çözümleri kullanılıyor. Bu yaklaşım şunları sunar: –
- E-posta tesliminden önce URL’leri gerçek zamanlı olarak tarayarak proaktif algılama
- CAPTCHA ve coğrafi sınırlama gibi taktikleri geri almak için gelişmiş kaçırma önleme yetenekleri
- Gelişen tehditleri yakalamak için teslimat sonrası ve meta analiz
- Ek koruma için tarayıcı düzeyinde güvenlik uzantıları
Kimlik avı taktikleri gelişmeye devam ederken, kuruluşların ve bireylerin bu yeni teknikler hakkında bilgi sahibi olmaları ve giderek daha karmaşık hale gelen siber tehditlere karşı koruma sağlamak için sağlam, çok katmanlı güvenlik çözümleri uygulamaları hayati önem taşıyor.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılımları ve Kimlik Avını Analiz Edin -> Ücretsiz Deneyin