Tehdit aktörleri, hızla büyüyen bir iş e-postası ele geçirme (BEC) kampanyasında Microsoft kullanıcı kimlik bilgilerini çalmak için Dropbox’tan gönderilen mesajları kullanıyor. Bu çaba, doğal dil işleme (NLP) tabanlı güvenlik taramalarından kaçınıyor ve bu tür saldırıların hızlı gelişimini gösteriyor.
Yakın tarihli bir blog gönderisinde, Check Point Harmony’deki araştırmacıların yalnızca Eylül ayının ilk iki haftasında sahte giriş sayfalarının kurbanları kimlik bilgileri toplama sitesine yönlendirdiği 5.000’den fazla saldırı gözlemlediğini ortaya çıkardılar. Kampanyanın varlığını 18 Eylül’de Dropbox’a bildirdiler.
Check Point Ekibi gönderide, saldırının, saldırganların kimlik avı materyali göndermek ve barındırmak için son kullanıcıların bildiği ve güvendiği meşru siteleri kullandığı BEC’in en son versiyonu olan BEC 3.0’ın bir başka örneği olduğunu yazdı. BEC 3.0 saldırılarında kullanılan diğer popüler siteler arasında Google, QuickBooks ve PayPal yer alıyor.
Gönderiye göre, “Bu sitelerin meşruluğu, e-posta güvenlik hizmetlerinin durdurulmasını ve son kullanıcıların bunu fark etmesini neredeyse imkansız hale getiriyor.” “Bu, gördüğümüz en akıllıca yeniliklerden biri ve bu saldırının şu ana kadarki boyutu göz önüne alındığında, en popüler ve etkili olanlardan biri.”
Aslında saldırılar kullanıcılar için tehlikelidir çünkü hem NLP teknolojisini hem de e-posta güvenlik teknolojisinin mesajları şüpheli olarak işaretlemek için kullandığı URL taramasını atlatırlar.
Gönderiye göre “NLP burada işe yaramaz; dil doğrudan meşru hizmetlerden geliyor ve hiçbir şey ters değil.” Benzer şekilde, şüpheli bir URL’yi işaretlemeye çalışmak da işe yaramaz çünkü mesajlarda kullanılan bağlantılar meşru bir Dropbox sitesine yönlendirir.
Doğrudan Dropbox’tan
Araştırmacılar tarafından gözlemlenen kampanyadaki mesajların doğrudan Dropbox’tan geldiği ve kullanıcılara indirecekleri bir dosya veya dosyalar olduğunu bildirdiği görülüyor. Mesajda yer alan bir bağlantıya tıklamak, potansiyel kurbanları başka bir sayfaya yönlendiriyor ve burada indirme işlemini başlatmak için bir bağlantıya tıklamaları talimatı veriliyor.
Kampanyadaki bu ikinci adım, kullanıcıların yönlendirildiği sayfanın meşru bir Dropbox URL’sinde barındırılması açısından dikkat çekicidir. Ancak sayfa, Microsoft bulut depolama ve indirme hizmeti olan OneDrive olarak markalanmıştır.
Kullanıcılar bu tutarsızlığı fark etmezlerse, kullanıcıları dosyalarına veya dosyalarına yönlendiriyormuş gibi görünen bu ikincil sayfadaki bağlantı, Microsoft SharePoint için oturum açma bilgilerine benzeyen ve insanlardan kimlik bilgilerini girmelerini isteyen bir kimlik avı sitesine yönlendiriyor. Kampanyanın bu son sayfası Dropbox’ın dışında barındırılıyor.
Araştırmacılar, bu durumun bulut hizmetlerinden yararlanan BEC 3.0 olarak adlandırılan mükemmel bir örnek olduğunu belirtti. BEC saldırıları uzun süredir meşru varlıkları sahtekarlığa veya kimliğine büründürmeye yönelik olsa da, BEC 3.0, meşru hizmetlerden geliyormuş gibi görünen saldırılar oluşturduğu ve bu saldırıların hem güvenlik hizmetleri hem de son kullanıcılar tarafından durdurulmasını ve tanımlanmasını özellikle zorlaştırdığı için savunucular için yepyeni bir zorluğu temsil ediyor. Kontrol Noktası Ekibi dedi.
BEC Uzlaşmasını Önlemek
Araştırmacılar, kuruluşların hem çalışanlarının BEC 3.0 saldırılarını tanımlamasına yardımcı olmak hem de bunları son kullanıcıya ulaşmadan durdurmak için atabileceği bazı adımlar olduğunu söyledi. Gönderiye göre, ilki için kuruluşların kullanıcıları ortak taktikler konusunda eğitmesi ve onları, bilinmeyen kaynaklardan gelen e-postalara veya istenmeyen bağlantılara tıklamadan önce duraklatmaya ve şüpheli etkinlikleri fark etmeye teşvik etmesi gerekiyor.
Check Point araştırmacıları, örneğin, bir Dropbox etki alanından e-posta almak ile OneDrive hesabına bağlanan bir sayfa almak arasındaki farkın, Dropbox kampanyasının kötü amaçlı olduğunun bir göstergesi olması gerektiğini belirtti. Bilgili bir kullanıcı daha sonra bunu tanımlayabilir ve kimlik avı sayfasına gitmeden önce mesajı silebilir.
Check Point’e göre, belge ve dosya tarama yetenekleri, yapay zeka savunmalarının yanı sıra ayrıntılı taramalar gerçekleştiren ve gelişmiş güvenlik için web sayfalarını taklit eden güçlü bir URL koruma sistemini içeren kapsamlı bir güvenlik çözümünün kullanılması, BEC 3.0 kampanyalarının engellenmesine de yardımcı olabilir.
İşletmeler, BEC saldırılarının sadece sayı olarak değil, karmaşıklık açısından da arttığını dikkate almalıdır. FBI, 2022’de 21.000’den fazla BEC şikayeti kaydettiğini, bunun da 2,7 milyar dolardan fazla düzeltilmiş zarara tekabül ettiğini ve saldırı vektörünün son 10 yılda dünya çapındaki işletmelere 50 milyar dolardan fazlaya mal olduğunu bildirdi. Bu rakam, 2022’de BEC’deki iş kayıplarının yıllık bazda %17 oranında arttığını yansıtıyor.
Check Point ekibi gönderide “Bu nedenle bu saldırıların sıklığı ve yoğunluğu artıyor” diye yazdı.