Kroll’un Siber Tehdit İstihbaratı (CTI) ekibine göre, açık yönlendirme kusurlarını kullanan kimlik avı saldırıları yeniden yükselişte; bu da kuruluşların, çalışanların bunları nasıl tespit edeceklerine ilişkin farkındalığını ve bilgilerini yenilemeyi düşünmesi gerektiği anlamına geliyor.
Kötü amaçlı URL yönlendirmesi
Web uygulamalarındaki açık yönlendirme güvenlik açıkları, tehdit aktörlerinin mağdurları harici bir kötü amaçlı URL’ye yönlendirmek için meşru URL’leri değiştirmesine olanak tanır.
Kroll’un Tehdit İstihbaratı Başkanı George Glass, “Bunlar, bir web sitesinin, bir yönlendirme bağlantısındaki URL parametresinin bir parçası olarak kullanıcı tarafından sağlanan girişe, uygun doğrulama veya temizleme olmaksızın izin vermesi durumunda ortaya çıkar” diyor.
Açık bir yönlendirme bağlantısının anatomisi. (Kaynak: Kroll)
Hedefler URL’ye güvenmeye daha yatkındır çünkü URL’nin ilk kısmı genellikle güvenilir, meşru bir etki alanı içerir. Kurban kötü amaçlı bir siteye yönlendirildikten sonra tehdit aktörleri oturum açma kimlik bilgileri, kredi kartı bilgileri veya kişisel veriler gibi hassas bilgileri çalabilir.
URL yönlendirmesi kendi başına kötü amaçlı bir teknik değildir. Örneğin, URL kısaltma hizmetleri aracılığıyla kısaltılan URL’ler, kuruluşlar tarafından URL’lerin markalarını yansıtmasını ve paylaşılmasını kolaylaştırmak için sıklıkla kullanılır ve meşru, iyi huylu web sayfalarına yönlendirir.
Ne yazık ki kimlik avı e-postaları ve doğrudan mesajlardaki kısaltılmış URL’ler genellikle kötü amaçlı sayfalara işaret eder. (URL kısaltma, saldırganların kullandığı birçok URL yönlendirme hilesinden yalnızca biridir.)
Son savunma hattı olarak çalışanlar
Görünüşte meşru siteler oluşturmak ve açık yönlendirme güvenlik açıklarından yararlanmak için kimlik avı kitlerinden yararlanan kimlik avcıları, kurbanları kimlik avı e-postalarının içine yerleştirilmiş URL’lere tıklamaları için başarılı bir şekilde kandırabilir.
Kroll’un gözlemlediği kampanyalarda saldırı vektörü olarak e-posta kullanılmış olsa da, açık yönlendirme tekniği sosyal medya, forum gönderileri, kısa mesaj/IM mesajları veya kurumsal araçlar aracılığıyla meşru görünen bağlantılar sunmak için kullanılabilir ve kullanıcıların bunlara karşı daha az ihtiyatlı olma olasılığı daha düşüktür. .
Kuruluşların, e-postalardaki açık yönlendirme bağlantılarını algılayıp engelleyebilecek e-posta güvenlik araçlarını uygulaması gerektiğini söylüyor. Ancak bu tür savunmalar düzenli olarak aşıldığı için çalışanlara, kötü amaçlı yazılım dağıtmak veya kimlik avı sayfalarına yönlendirmek için kullanılan sosyal mühendislik teknikleri hakkındaki bilgilerini güncellemek için düzenli siber güvenlik eğitimi verilmeli ve onlara olası tehditleri kolayca bildirebilecek araçlar sağlanmalıdır.