Kimlik avı saldırıları giderek daha karmaşık hale geliyor ve çalışanları hedef alan son strateji bu evrimi vurguluyor.
Bu yeni kimlik avı girişimi, bir şirketin İnsan Kaynakları (İK) departmanını taklit ederek kurumsal güvenlik açısından önemli bir tehdit oluşturuyor.
Bu yazımızda son zamanlarda yaygınlaşan kimlik avı taktiklerini inceleyeceğiz ve bu tür dolandırıcılıkların kurbanı olmaktan kaçınmanıza yardımcı olacak detaylı bilgiler sunacağız.
Aldatıcı E-posta: Daha Yakından Bir Bakış
Cofense’in haberine göre, kimlik avı e-postaları, bir şirketin İK departmanından gelen resmi bir iletişim gibi görünecek şekilde titizlikle tasarlanıyor.
Çalışanların posta kutularına, hemen dikkat çeken bir konu satırıyla geliyor: “Tüm Çalışanlar İçin Değiştirilmiş Çalışan El Kitabı – Lütfen Teşekkür Ederiz.”
Bu konu satırı aciliyet duygusu yaratarak alıcıların e-postayı açmasını ve içeriğiyle tereddüt etmeden ilgilenmesini sağlar.
E-postanın düzeni ve dili, algılanan meşruiyetini daha da artırır.
Resmi bir selamlama ile başlar ve kurumsal iletişimde tipik olarak kullanılan yapılandırılmış bir formatta mesaj sunar.
Kullanılan dil profesyonel, açık ve doğrudan olup, çalışanların bir İK departmanından bekleyeceği ton ve üslubu yansıtmaktadır.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
E-postanın gövdesi kurumsal iletişimlerde kullanılan resmi dil ve talimatları içerir.
Nazik bir selamlamayla başlıyor ve hızla revize edilmiş bir çalışan el kitabının incelenmesine yönelik bir talimata dönüşüyor.
E-postada, genellikle gün sonuna kadar belirli bir son tarihe kadar uyumluluğun önemi vurgulanarak, alıcılarda aciliyet ve önem duygusu yaratılıyor.
Sahte Sayfa: Aldatıcı Bir Tuzak
Bu kimlik avı e-postasının temel amacı, Alıcıları gömülü köprü metnine tıklamaya ikna etmek ve onları sahte bir oturum açma sayfasına kimlik bilgilerini girmeleri konusunda kandırmak.
Güvenilir bir kaynaktan (İK departmanı) geliyormuş gibi görünen e-posta, alıcıları talebin gerçekliğini sorgulamadan hemen harekete geçmeye ikna etmek için otorite ve aciliyet duygusunu kullanır.
E-postada, “GÖZDEN GEÇİRİLEN ÇALIŞAN EL KİTABI İÇİN İK UYUM BÖLÜMÜ” başlıklı bir köprü metni bulunmaktadır.
Bu bağlantıya tıkladığınızda meşru bir belge barındırma sitesini taklit eden bir sayfaya yönlendirilirsiniz. Burada devam etmeniz için bir “DEVAM ET” düğmesi sunulur.
“DEVAM ET” butonuna tıkladığınızda Microsoft markalı gibi görünen bir sayfaya yönlendirileceksiniz.
İşte bu noktada kimlik avı saldırıları daha da karmaşık bir hal alıyor.
Sayfa sizden Microsoft kullanıcı adınızı istiyor ve oldukça ikna edici görünüyor.
Tehdit aktörünün stratejisi, şirketinizin Microsoft kimlik bilgileriyle oturum açmanızın istendiği meşru görünümlü bir web sitesi sunarak güveninizi kazanmaktır.
İşte bundan sonra neler olacağının detaylı bir dökümü:
- Kimlik Bilgilerinin Yakalanması: Şirket e-posta adresinizi girip İleri’ye bastığınızda, şirketinizin Microsoft Office 365 oturum açma sayfasına yönlendirileceksiniz.
- Hata mesajı: Kullanıcı adınızı ve muhtemelen şifrenizi girdikten sonra, “Beklenmeyen bir dahili hata oluştu. Lütfen tekrar deneyin.” ifadesini içeren bir hata mesajı alırsınız. Bu mesaj bir aldatmacadır.
- Meşru Giriş Sayfasına Yönlendirme: Daha sonra gerçek şirketinizin SSO/Okta oturum açma sayfasına yönlendirilirsiniz ve kurban muhtemelen URL’nin değiştiğini fark etmez bile. Bu arada, tehdit aktörü oturum açma girişiminden kullanıcı adınızı ve parolanızı ele geçirmiştir.
Kendinizi ve kuruluşunuzu bu tür karmaşık kimlik avı saldırılarından korumak için uyanık olmanız ve aşağıdaki önleyici tedbirleri uygulamanız hayati önem taşır:
- Kaynağı Doğrulayın:Gönderenin e-posta adresini her zaman doğrulayın ve herhangi bir tutarsızlık olup olmadığına bakın.
- Bağlantıların Üzerine Gel: Herhangi bir bağlantıya tıklamadan önce, gerçek URL’yi görmek için üzerine gelin.
- Şüpheli E-postaları Bildirin: Şüpheli e-postaları derhal BT departmanınıza bildirin.
- Düzenli Eğitim: En son kimlik avı taktikleri hakkında güncel kalmak için düzenli siber güvenlik eğitim oturumlarına katılın.
Çalışanlar, bilgili ve dikkatli kalarak, kuruluşlarını bu gelişen kimlik avı tehditlerine karşı korumada önemli bir rol oynayabilirler.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo