Dolandırıcılar Aldatıcı E-posta Kampanyalarında AWS’den Yararlanıyor


  • Siber suçlular, geleneksel güvenlik önlemlerini atlayan inandırıcı saldırılar başlatmak için Amazon Web Services (AWS) gibi yasal hizmetleri kullanarak gelişmiş kimlik avı taktiklerini benimsiyor.
  • Check Point raporu, saldırganların kimlik avı bağlantıları içeren gerçek gibi görünen e-postalar göndermek için AWS S3 Kovalarında kimlik avı siteleri barındırdığı Business Email Compromise 3.0’ın (BEC 3.0) ortaya çıkışını vurgulamaktadır.
  • Bilgisayar korsanları, sosyal mühendislik ve kimlik bilgileri toplama ile kullanıcıları manipüle eder, genellikle parola sıfırlama istekleri gibi davranır ve kurbanların sahte oturum açma sayfalarına yönlendiren AWS S3 Bucket URL’lerini tıklamasına neden olur.
  • Kimlik avı girişimleri, insan davranışından yararlanmaya ve parola sıfırlamayla ilişkili aciliyete dayanır; bu da, kullanıcıların e-posta URL’lerini incelemesini ve dikkatli olmasını çok önemli hale getirir.
  • Siber güvenlik uzmanları, bu tehdide karşı koymak için çok göstergeli kimlik avı algılama sistemlerinin ve belge tarama ve URL koruma mekanizmaları dahil olmak üzere kapsamlı güvenlik önlemlerinin uygulanmasını önermektedir.

Siber suçlular artık geleneksel güvenlik önlemlerinden kaçan son derece ikna edici kimlik avı saldırıları başlatmak için meşru hizmetlerden yararlanıyor. Siber güvenlik şirketi Check Point’in yan kuruluşu Avanan’ın yakın tarihli bir raporu, bilgisayar korsanlarının artık kimlik avı bağlantıları göndermek için bir platform olarak Amazon Web Services’ı (AWS) kullandığını ve aldatıcı kampanyalarına yeni bir karmaşıklık katmanı eklediğini ortaya koydu.

Kimlik avı saldırıları, dijital ortamda uzun süredir bir tehdit oluşturuyor, ancak son trend, bilgisayar korsanlarının siber güvenlik savunmalarının çatlaklarından sızmak için saygın hizmetlerden yararlanmasını içeriyor. Bu taktiğe daha önce Google, QuickBooks ve PayPal gibi hizmetlerde tanık olunmuştu.

Check Point Harmony E-posta araştırmacıları, bilgisayar korsanlarının kimlik avı girişimlerini kolaylaştırmak için artık AWS’yi nasıl kullandıklarına ışık tutuyor. Bu yeni saldırı varyantında, siber suçlular, AWS içindeki meşru depolama konteynerleri olan AWS S3 Buckets üzerinde kimlik avı siteleri barındırıyor. Bu yaklaşım, saldırganların AWS S3 Buckets’tan geldikleri için inandırıcı bir şekilde gerçek görünen kimlik avı bağlantıları içeren e-postalar göndermelerine olanak tanır.

Business Email Compromise 3.0 (BEC 3.0) olarak bilinen saldırı yöntemi, kullanıcıları hassas bilgilerini ifşa etmeleri için manipüle etmek için büyük ölçüde sosyal mühendislik ve kimlik bilgileri toplama tekniklerine dayanır.

Kimlik avı e-postası, tipik olarak, kullanıcıların harekete geçmesini isteyen tanıdık bir senaryo olan bir parola sıfırlama isteğini taklit eder. Bazı kullanıcılar dikkatli olabilir ve gönderen adresi tutarsızlıkları nedeniyle e-postayı şüpheli olarak algılayabilir, ancak saldırganlar kurbanları görünüşte meşru oturum açma sayfalarına yönlendirmek için kurnazca AWS S3 Bucket URL’lerini kullanır.

Bağlantıya tıkladıktan sonra kurbanlar, önceden doldurulmuş e-posta adresleri ve parola alanları ile tamamlanmış bir Microsoft oturum açma sayfasının özelliklerini taşıyan bir web sayfasına yönlendirilir. Bu teknik, saldırganlardan biraz daha gelişmiş bir beceri seti gerektirse de, ortalama bir siber suçlunun infaz etmesi için yeterince erişilebilir durumda.

Kimlik Avı 3.0: Bilgisayar Korsanları Aldatıcı E-posta Kampanyalarında AWS'den Yararlanıyor
Kimlik avı e-postası ve kimlik avı oturum açma sayfası, Microsoft kullanıcılarının oturum açma kimlik bilgilerini hedefler. (Ekran görüntüsü: Avanan)

Nihai hedef, kurbanların oturum açma kimlik bilgilerini ele geçirerek saldırganların hassas hesaplara ve potansiyel olarak gizli bilgilere yetkisiz erişim sağlamasıdır. Avanan’dan Jeremy Fuchs tarafından yayınlanan bir blog gönderisine göre, kullanıcılar e-postalarda sunulan URL’lere çok dikkat ederek giderek daha karmaşık hale gelen bu saldırılara karşı kendilerini koruyabilirler.

Ancak, saldırganların iyi hazırlanmış senaryoları ve parola sıfırlama işlemleriyle ilgili genel aciliyet, kullanıcıların bu uyarıyı genellikle dikkate almamasına neden olabilir. İnsan davranışına olan bu güven, onlara daha yüksek bir başarı şansı sunduğu için, bilgisayar korsanlarının güvendiği şeydir.

Ortaya çıkan bu tehdide yanıt olarak Check Point araştırmacıları, Amazon’u 25 Temmuz’da kampanya hakkında derhal uyardı. Bu tür saldırılarla ilişkili riskleri azaltmak için, siber güvenlik uzmanlarına çok göstergeli kimlik avı tespit sistemlerini benimsemeleri, belge taramasına kadar uzanan kapsamlı güvenlik önlemleri almaları ve URL koruma mekanizmalarını dahil etmeleri önerilir.

  1. Google Drive, kötü amaçlı Office Belgeleri indirme işlemlerinin %50’sinden sorumluydu
  2. LinkedIn Kimlik Avı Dolandırıcılığı, Google Dokümanlar Aracılığıyla Gmail Kimlik Bilgilerini Çalıyor
  3. Google Dokümanlar Kimlik Avı Dolandırıcılığı Minnesota Eyaletine Binlerce Dolara Mal Oldu
  4. Kraliyet Fidye Yazılımı: Yeni Tehdit Google Reklamlarını ve Kırılmış Yazılımları Kullanıyor
  5. Google Drive kullanılarak yapılan yeni mızraklı kimlik avı saldırısında hedeflenen araştırma sektörü



Source link