Saldırganlar, yeniden yönlendirme için güvenilir platformları kötüye kullanır; bu, kullanıcıları zararlı URL hedeflerine yönlendirmek için meşru web sitelerinin kullanılmasını içerir.
Sürekli gelişen siber tehditler dünyasında, e-postanın birincil hedeflerden biri olmasıyla kimlik avı girişimleri daha sık hale geliyor. Uzmanlar, açık yönlendirme güvenlik açıklarından yararlanan kimlik avı girişimlerinde dikkate değer bir artış olduğunu belirtti.
Temel amaç, güvenilir platformun itibarından yararlanarak ve karmaşık yeniden yönlendirme zincirleri gibi kimlik avına karşı analitik teknikler kullanarak tespit mekanizmalarından kaçınmak ve kullanıcının güvenini kötüye kullanmaktır.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Açık URL Yönlendirme Güvenlik Açığı Nedir?
Bir web uygulaması, harici bir siteye bağlantı sağlayan ve daha sonra yeniden yönlendirmede kullanılan kullanıcı kontrollü girdiyi alır. Bu, kimlik avı girişimlerini kolaylaştırır.
Trustwave’deki SpiderLabs ekibine göre, bu tür web uygulaması güvenlik açığı, kullanıcıların doğrulanmamış girdiler kullanılarak güvenilmeyen web sitelerine yönlendirilmesi durumunda ortaya çıkıyor ve bu da onları kimlik avı siteleri de dahil olmak üzere saldırganlar tarafından çalıştırılan web sitelerine yönlendirebilir.
“Saldırganlar, açık yönlendirmeye karşı savunmasız olan güvenilir platformlardaki bağlantıları giderek daha fazla araştırıyor ve test ediyor. Kullanıcıları kötü amaçlı sitelere yönlendirmek için URL parametrelerini değiştiriyorlar ve bu bağlantıları kimlik avı e-postalarına yerleştiriyorlar. Bu onların kimlik avı saldırıları başlatmasına ve kullanıcı kimlik bilgilerini çalmasına olanak sağlıyor”, diyen SpiderLabs ekibi Cyber Security News ile paylaştı.
E-posta Kimlik Avı Girişimleri
Temel URL “hxxps[://]www[.]Intelliclicktracking[.]E-posta ve web sitesi pazarlama çözümleri alanında köklü bir sağlayıcı olan IntelliClick’e ait olan net/”, bir durumda saldırganlar tarafından kullanılıyor. Tehdit aktörleri bu alanı, yasal bir hizmet olmasına rağmen açık yönlendirmeler yoluyla kimlik avı saldırıları başlatmak için kullanır.
Üzerinde e-posta adresinin bir parçası bulunan kötü amaçlı bir IPFS sitesine işaret eden bir URL parametresi vardır. InterPlanetary Dosya Sistemi veya IPFS adı verilen dağıtılmış, eşler arası dosya paylaşım sistemi, kimlik avı saldırılarında daha sık kullanılıyor.
Kötüye kullanılan URL’nin yeniden yönlendirme zinciri gösterilir ve Webmail’i taklit eden sahte bir oturum açma formu barındıran eklenen IPFS URL’sine yol açar.
Açık yönlendirme stratejilerini kullanan kimlik avı kampanyaları, Microsoft ve Adobe Sign ve DocuSign gibi e-imza hizmetleri gibi görünen görüntü tabanlı saldırıların artması sonucunda daha yaygın hale geldi.
Tehdit aktörleri, Google alan adlarını kötüye kullanarak ve tespit edilmekten kaçınmak için bunları kimlik avı çabalarına dahil ederek Google hizmetlerine duyulan yaygın güvenden yararlanıyor.
Bu durum, siber tehditlerin gelişmeye ve yeni tehditler oluşturmaya devam etmesi nedeniyle bunlara karşı sürekli tetikte olunması gerekliliğini vurgulamaktadır.