Varonis tehdit laboratuvarlarındaki siber güvenlik araştırmacıları, on yıldan fazla bir süredir çalıştırılmamış kalan kalıcı bir kırılganlığı ortaya çıkardılar ve saldırganların sağdan sola (RTL) ve soldan sağa (LTR) metin komut dosyalarının aldatıcı URL’ler oluşturması için tarayıcı kullanmasına izin verdiler.
Bidi Swap olarak bilinen bu teknik, tehdit aktörlerinin şüphesiz kullanıcılar için meşru görünen kötü niyetli bağlantılar oluşturmalarını sağlar ve bu da onu kimlik avı kampanyaları için etkili bir araç haline getirir.
Web sitesi, e-posta, IP, GPS ve ortada insanlık sahtekarlığı dahil olmak üzere farklı sahte saldırı türlerini gösteren infografik
Bidi takas saldırısı yöntemini anlamak
Bidi takas tekniği, tarayıcıların karışık LTR ve RTL komut dosyalarını düzgün bir şekilde görüntülemek için tasarlanmış Unicode standardının bir parçası olan çift yönlü algoritmayı nasıl uyguladığı konusunda zayıflıklardan yararlanır.
Bu algoritma genellikle etki alanı adlarını doğru bir şekilde işlerken, karma metin yönleri içeren alt alan ve URL parametreleri ile mücadele eder.
Saldırganlar, görüntülenen metnin gerçek hedefle eşleşmediği URL’ler oluşturmak için bu sınırlamadan yararlanır ve görünüşte güvenilir adreslerin arkasındaki kötü niyetli bağlantıları etkili bir şekilde maskeler.
Güvenlik açığı, akıllı alan yapıları ile birleştirildiğinde özellikle tehlikeli hale gelir.
Örneğin, saldırganlar İngilizce alt alanların yanında İbranice veya Arapça karakterler kullanarak URL’ler oluşturabilir ve tarayıcıların, kötü niyetli alanlara yönlendirildiğinde “Varonis.com” gibi meşru web sitelerine yol açan kafa karıştırıcı veya yanıltıcı adresler göstermesine neden olabilir.
Punycode homograf saldırısı alanları ve ilgili SSL sertifika detayları, etki alanı sahtekarlık tekniklerini gösteren
Bidi Swap, yıllardır web güvenliğini rahatsız eden önceki Unicode sömürü teknikleri üzerine inşa edilir.
Punycode homograf saldırıları, saldırganların farklı alfabelerden görsel olarak benzer karakterler içeren uluslararası alan adlarını kullandığı bu tür bir selefi temsil ediyor.
Örneğin, Latin Mektupları yerine Kiril Karakterler Kullanma “аpple.com” gibi alanlar, kullanıcıları meşru web sitelerini ziyaret ettiklerine inanmak için kandırabilir.
RTL geçersiz kılma istismarları, özel Unicode karakterlerinin metin yönünü ortada çevirdiği başka bir tarihsel saldırı vektörü sunar.
Bu saldırılar, dosya uzantılarını gizleyebilir, kötü amaçlı yürütülebilir ürünleri, “malware.exe” i stratejik karakter yerleşimi yoluyla “malware.pdf” gibi görünen şeye dönüştürerek zararsız PDF’ler olarak görünebilir.
Tarayıcı yanıtı ve azaltma çabaları
Mevcut tarayıcı uygulamaları, bidi takas saldırılarına karşı değişen koruma seviyeleri göstermektedir.
Chrome’un “Likealike urls için navigasyon önerisi” özelliği, öncelikle “google.com” gibi iyi bilinen alanları işaretlerken, birçok sahte adresin tespit edilmemesine izin vererek sınırlı koruma sağlar.
Firefox, adres çubuğundaki anahtar etki alanı bileşenlerini vurgulayarak farklı bir yaklaşım benimseyerek kullanıcıların şüpheli bağlantıları tanımlamasını kolaylaştırır.
Microsoft Edge sorunu kabul etti, ancak URL temsilinde önemli değişiklikler yapmadı.
İlginç bir şekilde, şimdi tartışmasız ark tarayıcısı, gelişmiş görsel göstergeler yoluyla meşru ve potansiyel olarak sahte alanlar arasında açıkça ayrım yaparak etkili koruma gösterdi.
Kuruluşlar ve bireyler bu sofistike URL sahte saldırılarına karşı çeşitli savunma önlemleri uygulayabilirler.
Kullanıcı eğitimi, özellikle karışık komut dosyaları veya olağandışı karakter kombinasyonları içerenler, tıklamadan önce URL’leri dikkatlice incelemenin önemini vurgulamaktadır.
Kullanıcılar gerçek hedefleri ortaya çıkarmak ve etki alanı tutarlılığını doğrulamak için bağlantıların üzerine gelmelidir.
Teknik çözümler, tarayıcı geliştiricilerinin gelişmiş alan vurgulama ve daha kapsamlı benzeri algılama sistemleri gibi mevcut korumaları geliştirmeye teşvik etmesi yer alıyor.
Güvenlik ekipleri, Unicode tabanlı kimlik kurma girişimlerini tespit edebilen e-posta filtreleme sistemleri ve bu ortaya çıkan tehditleri özellikle ele alan kullanıcı eğitim programları da dahil olmak üzere ek koruma katmanları uygulamalıdır.
Büyük tarayıcılardaki bidi takas güvenlik açıklarının kalıcılığı, uluslararasılaşma desteğini güvenlik gereksinimleriyle dengelemenin devam eden zorluğunu vurgulamaktadır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.