İşletmelere yönelik kimlik avı saldırılarında 5 yeni eğilim

   Haziran 18, 2025  Posted in CyberSecurityNews


Kimlik avı saldırılarında eğilimler

Kimlik avı, saldırganların kurumsal ortamlara sızmasının en etkili yollarından biri olmaya devam ediyor. Bugünün kimlik avı kampanyaları artık bariz kırmızı bayraklarla kötü yazılmış e -postalar değil.

Sofistike, iyi gizlenmiştir ve takımlarınızın kullandığı günlük araçlara olan güvenden yararlanmak için uyarlanmıştır.

Filelsiz yeniden yönlendirmelerden, kavram gibi işbirliği platformlarının kötüye kullanılmasına kadar, bu yeni taktikler e -posta ağ geçitlerini atlamak, geleneksel algılama araçlarından kaçmak ve çalışanlarınıza en savunmasız oldukları yere ulaşmak için tasarlanmıştır.

Google Haberleri

İşte işletmelerin 2025’te yakından izlemesi ve onları nasıl daha hızlı tespit edebileceğiniz beş ortaya çıkan kimlik avı tekniği.

1. SVG ekleri zararsız görünen ekler

Kimlik avı oyun kitabındaki en yeni numaralardan biri: Kötü niyetli SVG dosyaları. Bu hafif vektör görüntüleri JavaScript ile gömülebilir ve simgeler veya logolar gibi görünecek şekilde tasarlanmıştır.

Açıldığında, kullanıcıları genellikle kimlik avı portallarına götürür veya otomatik olarak kimlik bilgisi hasat sayfalarına yönlendirirler.

SVG’ler e -posta filtreleme veya antivirüs taramaları sırasında her zaman kırmızı bayrakları yükseltmediğinden, geleneksel tespiti atlamanın akıllı bir yoludur.

Bununla birlikte, herhangi bir gibi etkileşimli kum havuzları.

Kötü amaçlı SVG eki ile analiz oturumunu görüntüleyin

SVG eki herhangi birinin içinde analiz edildi. Run Sandbox

Aşağıdaki analiz oturumunda, bir kimlik avı e -postası bir SVG eki içeriyordu. SVG’nin açılması, kötü niyetli bir PDF dosyasına indirme bağlantısı ortaya çıkardı.

E -postada sağlanan bir şifre kullanılarak indirilip açıldıktan sonra, PDF bir asyncrat yükünü sisteme bıraktı.

Asyncrat interaktif kum havuzu tarafından tespit edildi

Bu tür derin davranışsal görünürlük, sanal alanları herhangi bir şey gibi yapan şeydir.Run Güvenlik ekipleri için önemlidir: Gerçek dünyadaki kullanıcı eylemlerini tekrarlar ve statik araçların kaçırdığı tehditleri ortaya çıkarır ve saldırıları ihlallere dönüşmeden önce tespit etmenize ve anlamanıza yardımcı olur.

Cut investigation time, improve detection accuracy, and give your team the visibility they need to stop phishing threats fast - -> Try ANY.RUN now 

2. Meşru web sayfaları gibi hareket eden HTML dosyaları

Kimlik avı aktörleri giderek daha fazla kullanıyor HTML ekleri Giriş portallarını, faturaları veya yasal belgeleri taklit etmek için.

Bu dosyalar, kullanıcının tarayıcısında yerel olarak açılır ve web filtrelerini ve itibar tabanlı tespitleri atlamalarına izin verir ve bu da onları saldırganlar için gizli bir seçim haline getirir.

Bunda birNY.Run Analiz Oturumubu taktiğin nasıl oynandığını tam olarak görüyoruz:

PDF Dosyası, Güney Afrika Yargı’dan resmi bir çağrı olarak poz veriyor. Run Sandbox

Mağdur, Güney Afrika yargısından resmi çağrı olarak poz veren bir PDF dosyası alıyor.

PDF’nin içinde, “Çağırma belgenizi burada önizleme” etiketli bir harekete geçirici mesaj düğmesi var.

Tıklamak, Microsoft 365 oturum açma sayfası olarak gizlenmiş gömülü bir HTML dosyası açar; Kurumsal e -posta kimlik bilgilerini çalmak için oluşturulan sahte bir form.

Microsoft 365 kimlik bilgilerini çalmak için kötü amaçlı html dosyası

Bu saldırıların canlı kötü niyetli bir alana ihtiyacı yoktur; sömürüyorlar Kullanıcı güveni, dosya davranışı ve aciliyetgenellikle işaretlenmiş bir IP veya URL’ye dokunmadan.

Herhangi bir sanal alanının nasıl olduğu görebilirsiniz.Run, sadece bir HTML dosyasının şüpheli olduğunu görmek için değil, aynı zamanda kullanıcıları nasıl kandırdığını ve neyi çalmaya çalıştığını anlamak için güvenlik ekiplerine ihtiyaç duydukları bağlamı veriyor.

Bu içgörü düzeyi reaktif uyarıları bilinçli eyleme dönüştürür.

3. Kurbana uyum sağlayan zincirleri yönlendirin

En tehlikeli kimlik avı kampanyalarından bazıları bariz yemlere veya acil tuzaklara güvenmez.

Bunun yerine kullanıyorlar koşullu yeniden yönlendirme; Kimlik avı sahasının kötü niyetli içeriğini ortaya çıkarıp ortaya koymayacağına gerçek zamanlı olarak karar verdiği gizli bir teknik.

Fikir basit ama etkilidir: önce ziyaretçinin profilini ve sadece belirli kriterleri karşıladıklarında kimlik avı yüküne hizmet edin.

Değilse, onları bir marka web sitesi veya genel bir açılış sayfası gibi tamamen zararsız bir yere gönderin.

Bu, kimlik avı altyapısının kalmasını sağlar operasyonel daha uzunotomatik tarayıcılardan kaçının ve yayından kaldırma riskini azaltın.

Bu taktiği son zamanlarda hareket halinde gördük Tycoon2fa Kimlik Yardım Kampanyası:

Kullanıcı Kempigd gibi bir sayfayı ziyaret eder[.]com, çalışır parmak izi senaryosu arka planda.

Ziyaretçinin saldırganın hedef profiline uyup uymadığını belirlemek için tarayıcı türü, ekran çözünürlüğü, saat dilimi ve GPU detayları gibi sistem verilerini toplar.

Eşleşme yoksa, kullanıcı şüpheyi atmak için sessizce meşru bir siteye (bu durumda Tesla’nın resmi web sitesine) yönlendirilir.

Tesla Web Sitesi’nin herhangi birinde yeniden düzenlenmesini görüntüleyin. Run

Herhangi bir içinde Tesla.com’a yeniden yönlendirme. Run Sandbox

Sistem parmak izi eşleşiyorsa, sayfa bir Sahte Microsoft 365 Giriş Portalı Kurumsal kimlik bilgilerini çalmak için inşa edildi.

Microsoft Kimlik Yardım Sayfasıyla Analizi Görüntüle

Sahte Microsoft Oturum Açma Sayfasına Yeniden Yönlendirme

RUN’un etkileşimli sanal alanları gibi çözümlerle, profil oluşturma komut dosyalarından son yük sunumuna kadar karmaşık kimlik avı saldırılarının her aşamasını izlemek kolaylaşır.

Analistler, saldırganların hedeflediği kesin koşulları çoğaltmak için IP, dil ve konum gibi VM ayarlarını ayarlayabilir.

Bu kontrol seviyesi, Baskı altındaki SOC ekiplerinin hızlı yanıt vermesi için özellikle değerlidir.

Şüpheli davranışları yeniden üretmeye çalışmak için saatler harcamak yerine, saldırının nasıl çalıştığı konusunda net, anında görünürlük kazanırlar; Tetiklenen, indirilenler ve bundan sonra ne olacağı.

4. LinkedIn Web Sitesi Sahtekarlığı

LinkedIn, sadece kullanıcı tabanı nedeniyle değil, aynı zamanda taşıdığı güven nedeniyle kimlik avı kampanyalarında kilit bir hedef haline geldi.

Saldırganlar, bir LinkedIn giriş sayfasının genellikle şüphe uyandırmadığını bilir. Bu, kimlik hırsızlığı için mükemmel bir kılık değiştirir.

Bu analiz oturumunda, saldırganlar bir piksel-mükemmel klon LinkedIn’in giriş sayfası ve tehlikeye atılan bir Brezilya alanında (megarapidaambiental[.]com[.]br).

Sahtekarlık LinkedIn Page ile Analiz Oturumunu Görüntüle

Herhangi birinin içinde sahte bir LinkedIn Oturum Açma Sayfası.

Bir bakışta, sayfa meşru görünüyor, hatta “Microsoft ile Devam” ve “Google ile Giriş” düğmeleri, LinkedIn’in markası ve istemleri ile birlikte.

Onu veren şey Urliçerik değil. Ancak çoğu kullanıcı bunu kontrol etmez. Ve birçok otomatik sistem, özellikle sayfa düşük geri alınan ancak temiz görünümlü bir alanda barındırıldığında işaretlemez.

Any.Run gibi kum havuzları ile güvenlik ekipleri, bu sahte ortamları güvenli bir şekilde keşfedebilir ve etkileşim kurabilir, ağ davranışını, form gönderimlerini ve gizli komut dosyalarını gerçek zamanlı olarak inceleyebilir.

5.

Kimlik avı her zaman gölgeli alanlara veya kötü inşa edilmiş sayfalara güvenmez. Aslında, en aldatıcı saldırılardan bazıları artık Fikir gibi meşru platformlar.

Bu hizmetler, güvenlik için değil, işbirliği için tasarlanmıştır, bu da onları kırmızı bayraklar yükseltmeden kötü niyetli içeriğe ev sahipliği yapmak isteyen tehdit aktörleri için ideal bir kapak haline getirir.

Herhangi birinde. Run analiz oturumuİtalyanca yazılmış bir kavramlı sayfa, kurbanları sahte bir Microsoft OneNote girişine tıklamaya teşvik etmek için kullanıldı.

Sahte Microsoft OneNote Oturum Açma Sayfası Analiz Edildi. Run Sandbox

Oradan, kimlik bilgileri sahte bir giriş formu ile hasat edilirken, kurbanın IP adresi sessizce toplandı ve bir Kimlik avı senaryosuna gömülü telgraf botu.

Gönderildikten sonra, kurban şüphe önlemek için gerçek OneNote giriş sayfasına yönlendirildi.

RUN’un etkileşimli sandbox ile SOC ekipleri, güvenilir platformlarda barındırılan kimlik avı akışlarıyla güvenli bir şekilde etkileşime girebilir, Telegram botları gibi izleme veri pessfiltrasyon yollarını ve algılama ve yanıt iş akışlarını geliştirmek için gerçek zamanlı zeka toplayabilir.

Bir ihlale dönüşmeden önce kimlik avını bırakın

Kimlik avı saldırıları artık sadece e -postalarda saklanmıyor. Güvenilir platformlara gömülür, oturum açma sayfaları olarak gizlenir ve yalnızca koşullar doğru olduğunda tetiklenirler.

Herhangi bir.Run, güvenlik ekiplerinin daha hızlı hareket etmesine, daha akıllıca yanıt vermesine ve tehditlerin önünde kalmasına yardımcı olur:

  • Daha hızlı tespit ve triyaj Gerçek zamanlı, davranış temelli analiz sayesinde
  • Daha az yanlış pozitif Kimlik avı saldırılarının nasıl ortaya çıktığına dair tam görünürlük sayesinde
  • Daha güçlü işbirliği Analistler, tehdit avcıları ve paylaşılan oturumlarla yöneticiler ve raporlar arasında
  • Daha iyi tehdit intel IOC’ler, meta veriler ve tam saldırı zincirleri ile otomatik olarak yakalandı
  • Proaktif yanıt Geleneksel araçların kaçırdığı kaçak teknikleri ortaya çıkararak

14 günlük denemenize başlayın Ve ekibinize, yayılmadan önce kimlik avı saldırılarını durdurmak için ihtiyaç duydukları netliği ve hızı verin.



Source link