Raven AI’nın son araştırmasına göre, siber suçlular Cisco’nun kullanıcılara karşı güvenlik altyapısını silahlandıran sofistike yeni bir saldırı vektörü keşfetti.
Şirketin bağlama duyarlı algılama sistemleri, Cisco’nun geleneksel e-posta güvenlik tarayıcılarından kaçınmak ve ağ filtrelerini atlamak için güvenli bağlantılardan yararlanan bir kimlik kimlik avı kampanyası ortaya çıkardı ve saldırganların güvenilir güvenlik araçlarını silahlara dönüştürdüğü tehlikeli bir eğilimini vurguladı.
Güven Sömürü Mekanizması
Saldırı, insan psikolojisinde ve otomatik güvenlik sistemlerinde temel bir zayıflıktan yararlanır: Dernek tarafından güven.
Kullanıcılar “Secure-Web.cisco.com” ile başlayan URL’lerle karşılaştıklarında, içgüdüsel olarak bağlantıların Cisco’nun güvenlik altyapısı tarafından denetlendiğini ve onaylandığını varsayarlar.
Bu güven, genellikle cisco markalı alanların titiz bir inceleme olmadan filtrelerden geçmesine izin veren otomatik güvenlik sistemlerine kadar uzanır.
Şirketin güvenli e -posta ağ geçidi ve web güvenlik paketinin bir parçası olan Cisco Safe Links, şüpheli URL’leri e -postalarda yeniden yazarak ve kullanıcıları amaçlanan hedeflerine yönlendirmeden önce Cisco’nun tehdit analizi altyapısı üzerinden yönlendirerek işlev görüyor.
Bu teknoloji sayısız kimlik avı saldırısını engellerken, siber suçlular artık kullanıcıları korumak için tasarlanmış mekanizmadan yararlanmayı öğrendiler.
Güvenlik araştırmacıları, saldırganın kötü niyetli amaçlar için meşru Cisco güvenli bağlantıları oluşturmak için kullandıkları dört temel yöntem belirlediler.
En yaygın yaklaşım, saldırganların kendilerine kötü niyetli bağlantılar e-postayla gönderdikleri ve otomatik olarak oluşturulan güvenli bağlantıları hasat ettiği Cisco-korumalı kuruluşlardaki hesaplardan ödün vermeyi içerir.
Alternatif yöntemler, cisco korumalı ortamlar aracılığıyla e-postalar gönderen SaaS hizmetlerinden yararlanmayı ve önceki kampanyalardan aktif güvenli bağlantıları geri dönüştürmeyi içerir.
Raven AI’nın bağlama duyarlı algılama sistemleri son zamanlarda bu saldırı tekniğinin hareket halindeki sofistike bir örneğini tanımladı.
Kimlik avı kampanyası, profesyonel markalaşma ve iş terminolojisi ile tamamlanan bir e-imza hizmetinden bir “belge inceleme talebi” olarak görüldü.
Yalnızca etki alanı itibarına odaklanabilecek geleneksel güvenlik çözümlerinden farklı olarak, Raven’ın yapay zekası iş süreci iş akışındaki bağlamsal anomalileri ve kodlanmış parametrelere sahip şüpheli URL yapılarını tanımladı.
Geleneksel e -posta güvenlik çözümleri her teknik düzeyde meşru göründüğü için bu saldırılarla mücadele ediyor.
Kötü niyetli öğeler, belirgin teknik göstergelerden ziyade bağlam ve davranışta gizlenir.
Birçok güvenlik ağ geçidi, analizlerini URL’lerdeki görünür alanlara odaklayarak Cisco.com alanlarının diğer şüpheli bağlantıları işaretleyecek algılama sistemlerini atlamasına izin verir.
Bu saldırı metodolojisi, saldırganların tamamen teknik güvenlik açıklarından ziyade güven ilişkilerini ve meşru iş süreçlerini kullandıkları siber güvenlik tehditlerinde temel bir değişimi temsil etmektedir.
Geleneksel imzaya dayalı ve itibar tabanlı güvenlik çözümleri, profesyonel görünen ve güvenilir altyapı kullanan saldırılara karşı yetersizdir.
Olay, sadece iletişimin teknik bileşenlerini değil, aynı zamanda davranış kalıplarını ve iş süreci uygunluğunu analiz eden e-posta güvenliğinde bağlam farkında olan AI’nın artan öneminin altını çizmektedir.
Saldırganlar, güvenilir güvenlik altyapısından yararlanmak için tekniklerini geliştirmeye devam ettikçe, kuruluşlar savunmalarını sadece bilinen kötü aktörleri engellemek yerine saldırgan niyetini anlamak için uyarlamalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!