Sofistike bir kimlik avı kampanyası şu anda kullanıcıların dikkatini atlamak ve kurbanları hassas oturum açma kimlik bilgilerini vermeleri konusunda kandırmak için ince bir tipografi hilesinden yararlanıyor. Saldırganlar teknoloji devini taklit etmek için “rnicrosoft.com” alan adını kullanıyor.
Dolandırıcılar, ‘m’ harfini ‘r’ ve ‘n’ kombinasyonuyla değiştirerek, sıradan bir bakışta meşru alan adından neredeyse ayırt edilemeyecek görsel bir kopya yaratıyor.
Yazım hatası olarak bilinen bu teknik, büyük ölçüde modern e-posta istemcilerinde ve web tarayıcılarında kullanılan yazı tipi oluşturmaya dayanır.
Birbirine yakın yerleştirildiğinde ‘r’ ve ‘n’ arasındaki karakter aralığı sıklıkla ‘m’ harfinin yapısını taklit ederek beyni hatayı otomatik düzeltme konusunda kandırır.
Anagram’ın CEO’su Harley Sugarman kısa süre önce bu özel vektöre dikkat çekti ve e-postaların çoğunlukla resmi logoyu, düzeni ve meşru Microsoft yazışmalarının tonunu yansıttığını belirtti.
Girişleri Çalmak İçin Görsel Aldatma
Bu saldırı vektörünün etkinliği onun inceliğinde yatmaktadır. Yüksek çözünürlüklü masaüstü monitörlerde bu tutarsızlık dikkatli bir gözlemci tarafından görülebilir, ancak beynin metni tahmin etme eğilimi genellikle anormalliği maskeler.
Tehdit, ekran alanının sınırlı olduğu ve adres çubuğunun genellikle tam URL’yi kısalttığı mobil cihazlarda daha da ciddi hale geliyor. Saldırganlar, kimlik bilgisi avı, satıcı faturası dolandırıcılığı ve dahili İK kimliğine bürünme kampanyalarını kolaylaştırmak için bu benzer etki alanlarını kaydederek bundan yararlanır.
Kullanıcı, e-postanın güvenilir bir kuruluştan geldiğine ikna olduğunda, kötü amaçlı bağlantılara tıklama veya silah niteliğindeki ekleri indirme olasılığı daha yüksektir.
“rn” takası, saldırganların kullandığı çeşitli varyasyonlardan yalnızca biridir. Diğer yaygın taktikler arasında ‘o’ harfini sıfırla değiştirmek veya orijinallik hissi yaratmak için meşru marka adlarına kısa çizgi eklemek yer alıyor.
Bu homoglif ve yazım hatası saldırılarına karşı savunma yapmak, yalnızca otomatik filtrelere güvenmek yerine kullanıcı davranışında bir değişiklik gerektirir. Güvenlik uzmanları, kullanıcıların herhangi bir istenmeyen e-postayla etkileşimde bulunmadan önce tam gönderen adresini genişletmeleri gerektiğini tavsiye ediyor.
Gerçek hedef URL’yi ortaya çıkarmak için hiper bağlantıların üzerine gelmek veya mobil cihazlarda bağlantıya uzun süre basmak, bağlantı kurulmadan önce aldatmacayı ortaya çıkarabilir.
Ayrıca, e-posta başlıklarını, özellikle de “Yanıtla” alanını analiz etmek, bir dolandırıcının yanıtları harici, kontrolsüz bir gelen kutusuna yönlendirip yönlendirmediğini ortaya çıkarabilir.
Beklenmedik şifre sıfırlama taleplerini içeren senaryolarda, en güvenli eylem yolu, e-posta bağlantısını tamamen göz ardı etmek ve yeni bir tarayıcı sekmesi aracılığıyla doğrudan resmi hizmete gitmektir.
Ekiplerin tanıdık görünen bildirimlere refleks olarak tıklamasını engellemek için kuruluşların bu tanımlama senaryolarını prova etmeleri teşvik edilmektedir.
Yaygın Typosquatting Varyasyonları
| Teknik | Görsel Örnek | Aldatma Yöntemi |
|---|---|---|
| Harf Kombinasyonu | rnicrosoft(.)com | ‘M’yi taklit etmek için ‘r’ ve ‘n’yi kullanır. |
| Numara Değiştirme | micros0ft(.)com | ‘O’ harfini ‘0’ rakamıyla değiştirir. |
| Hipliasyon | microsoft-destek(.)com | Meşru görünen alt alanlar veya son ekler ekler. |
| TLD Değiştirme | microsoft(.)co | Farklı bir Üst Düzey Etki Alanı kullanır (“m” harfini bırakarak). |
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
