Kimlik avı, hem bireyler hem de kuruluşlar için önemli bir endişe kaynağı olmaya devam ediyor. ThreatLabz’ın son bulguları, büyük markaları hedef alan kimlik avı saldırılarının endişe verici yaygınlığını vurguladı ve Google, Microsoft ve Amazon en çok taklit edilen ilk üç şirket olarak ortaya çıktı.
Bu makalede bu kimlik avı taktiklerinin karmaşıklıkları, sertifika otoritelerinin ve alan adı kayıt şirketlerinin rolü ve siber güvenlik açısından daha geniş kapsamlı etkileri ele alınmaktadır.
Kimlik Avının Yükselişi: Google Önde
Kimlik avı saldırıları giderek daha karmaşık hale geliyor ve marka bilinirliğini kullanarak şüphelenmeyen kullanıcıları kandırıyor.
ThreatLabz’a göre, yazım yanlışı ve marka taklidi olaylarının en yüksek yüzdesi %28,8 ile Google’da gerçekleşti.
Microsoft %23,6 ile yakından takip etti, Amazon ise %22,3 ile. Meta da hedeflenmiş olmasına rağmen %4 ile çok daha az etkilendi.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Bu teknoloji devlerini hedef almanın nedeni açık: geniş küresel kullanıcı tabanları, potansiyel kurbanlar için kazançlı bir havuz sunuyor.
Saldırganlar, kullanıcıların bu markalara duyduğu güveni suistimal etmek için bu markaları taklit ediyor ve böylece hassas bilgileri elde etmeyi veya kötü amaçlı yazılım dağıtmayı kolaylaştırıyor.
Sertifika Yetkilileri: İki Tarafı Keskin Bir Kılıç
Tehdit aktörlerinin kullandığı temel taktiklerden biri, kimlik avı siteleri için meşruiyet görüntüsü yaratmak amacıyla HTTPS’yi kötüye kullanmaktır.
Analiz edilen kimlik avı alan adlarının %48,4’ünün Let’s Encrypt tarafından verilmiş sertifikalara sahip olduğu görüldü.
Kullanım kolaylığı ve asgari düzeyde güvenlik kontrolleri nedeniyle popüler olan bu ücretsiz ve açık sertifika otoritesi, siber suçlular için cazip bir seçenek haline geliyor.
Sertifikaların %21,5’ini Google Güven Hizmetleri oluşturdu ve bu da Google’ın güçlü marka güveninden faydalanılmasını sağladı.
GoDaddy, sertifikaların %15,2’sini vererek, şirketin pazardaki önemli varlığını ve alan adı kaydında sağladığı kolaylığı vurguladı.
Alan Adı Kayıt Kuruluşları: Kimlik Avı Operasyonlarının Omurgası
Alan adı kayıt kuruluşları, tipo-çömelme ve taklit alan adlarının tescilinde önemli bir rol oynarlar.
GoDaddy, %21,7’lik oranla en çok suistimal edilen kayıt kuruluşu olarak ortaya çıktı, onu %7,3 ile NameCheap ve %6,4 ile NameSilo takip etti.
Bu kayıt kuruluşları itibarları, maliyet etkinlikleri ve gizlilik seçenekleri nedeniyle saldırganlar tarafından tercih ediliyor.
Tehdit aktörleri, kimlik avı sitelerinin daha meşru görünmesini sağlamak için sıklıkla yaygın olarak kullanılan üst düzey alan adlarını (TLD’ler) seçerler.
.com TLD en popüler olanıydı, vakaların %39,4’ünde kullanıldı. İlginç bir şekilde, .xyz ve .top gibi daha az yaygın TLD’ler de sırasıyla %11,1 ve %5,4 oranında önemli bir kullanım gördü, muhtemelen daha düşük kayıt maliyetleri nedeniyle.
Kötü Amaçlı Yazılım Dağıtımı
Kötü amaçlı yazılım dağıtımının dikkate değer bir örneği “acrobatbrowser” alan adını içeriyordu[.]Adobe’yi taklit eden “.com”
Site sahte bir Adobe sayfası görüntüleyerek, Adobe eklentisi gibi görünen bir MSI dosyasını otomatik olarak indiriyordu.
Bu dosya, saldırganların kurbanın cihazı üzerinde uzaktan kontrol sahibi olmasını sağlayan Atera Uzaktan Erişim Truva Atı’nı (RAT) içeriyordu.
Kimlik Hırsızlığı
ThreatLabz, “offlice365” alan adını tespit etti[.]com” adresini kimlik bilgilerini çalmak için tasarlanmış bir yazım yanlışı sitesi olarak tanımladı.
Meşru Office 365 web sitesini taklit ederek kullanıcıları kandırıp giriş bilgilerini girmelerini sağladı ve bu bilgiler saldırganlar tarafından toplandı.
Dolandırıcılar ayrıca WhatsApp gibi platformlarda Amazon gibi davranarak, mağdurları kişisel bilgilerini paylaşmaya ikna etmek için yazım hatası dolandırıcılığını da kullanıyorlar.
Ayrıca, “onedrivesync” gibi alan adları[.]com” komut ve kontrol (C2) iletişimi için kullanılmış ve kötü amaçlı faaliyetler meşru Microsoft OneDrive işlemleri olarak gizlenmiştir.
Tipo çömelme ve marka taklitleri, siber suçluların cephaneliğindeki güçlü araçlar olmaya devam ediyor. Tipografik hataları ve kullanıcıların tanınmış markalara duyduğu güveni istismar ederek, bu aldatıcı alan adları önemli veri ihlallerine ve mali kayıplara yol açabilir.
Bu taktikleri anlamak, hem kullanıcılar hem de kuruluşlar için kimlik avı saldırılarını tanımak ve onlara karşı savunma yapmak açısından büyük önem taşıyor.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin