Araştırmacılar, çok faktörlü kimlik doğrulamayı yenmek için sahte giriş sayfalarını canlı telefon konuşmalarıyla senkronize eden, genellikle “vishing” olarak adlandırılan, ses tabanlı sosyal mühendislik saldırıları için özel olarak tasarlanmış kimlik avı araç kitlerini keşfetti. Suçlulara hizmet olarak satılan bu özel kitler, saldırganların kurbanların tarayıcılarında gördüklerini kontrol etmesine olanak tanırken aynı zamanda onlara telefon üzerinden sahte kimlik doğrulama adımlarıyla rehberlik ediyor.
Kimlik avı araç setleri, Google, Microsoft, Okta ve çeşitli kripto para birimi platformları dahil olmak üzere büyük kimlik sağlayıcılarını hedef alıyor. Yalnızca aldatıcı e-postalara dayanan geleneksel kimlik avının aksine, bu hibrit saldırılar, gerçek zamanlı insan manipülasyonunu, her kurbanın güvenlik kurulumuna uyum sağlayan dinamik web arayüzleriyle birleştirir.
Okta Tehdit İstihbarat Tehdit Araştırmacısı Moussa Diallo, “Bu araçlardan birinin sürücü koltuğuna oturduğunuzda, neden daha yüksek düzeyde ses tabanlı sosyal mühendislik gözlemlediğimizi hemen anlayabilirsiniz” dedi. Tehdit aktörü bu senkronizasyonu, kimlik avına karşı dayanıklı olmayan herhangi bir MFA biçimini yenmek için kullanabilir.
En Yeni Kimlik Avı Araç Setleri Nasıl Çalışır?
Okta Threat Intelligence’daki araştırmacılar, kitlerin, saldırganların canlı aramalar sırasında kurbanların tarayıcılarında kimlik doğrulama akışlarını düzenlemesine olanak tanıyan istemci tarafı komut dosyaları kullandığını buldu. Bu gerçek zamanlı kontrol, suçluların hedefleri anlık bildirimleri onaylamaya, tek seferlik şifreler göndermeye veya çok faktörlü kimlik doğrulama kontrollerini atlayan eylemler gerçekleştirmeye ikna etmesi için ihtiyaç duyduğu inandırıcılığı sağlar.
Saldırı dizileri genellikle tutarlı bir düzeni takip eder. Tehdit aktörleri çalışanların adlarını, yaygın olarak kullanılan uygulamaları ve BT destek telefon numaralarını öğrenmek için keşif gerçekleştirir. Daha sonra şirketin gerçek destek numarasını taklit ederek özelleştirilmiş kimlik avı sayfalarını canlı olarak ayarlıyorlar ve hedefleri arıyorlar.
Arayanlar, BT güvenlik gereksinimleri veya hesap doğrulama gibi bahanelerle kurbanları kimlik avı sitelerine gitmeye ikna eder. Kurbanlar kimlik bilgilerini girdiğinde saldırganlar bunları anında Telegram aracılığıyla alıyor. Saldırgan, hangi çok faktörlü kimlik doğrulama zorluklarının ortaya çıktığını görmek için bu kimlik bilgilerini aynı anda yasal giriş sayfasına girer.
Gerçek zamanlı düzenlemenin yıkıcı derecede etkili olduğu yer burasıdır. Saldırganlar, kurbanlara telefonda söyledikleriyle eşleşen sayfaları görüntülemek için kimlik avı sitelerini anında günceller. Meşru hizmet bir anlık bildirim gönderirse, arayan kişi sözlü olarak kurbanı bunu beklemesi konusunda uyarır ve aynı zamanda kontrol paneline anında bildirimin yasal olarak gönderildiğini ima eden bir mesaj görüntülemesini emreder.\
Ayrıca şunu okuyun: Gözlemlenen Kimlik Bilgisi Doldurma Saldırılarının ‘Benzeri Görülmemiş Ölçeği’: Okta
Bu senkronizasyon benzeri görülmemiş bir kontrol sağlar. Okta’nın analiz ettiği kimlik avı kitleri, saldırganlara tam olarak kurbanların gördüklerini gösteren ve farklı kimlik doğrulama senaryoları (anlık bildirimler, tek kullanımlık şifreler, yedek kodlar veya diğer zorluklar) arasında dinamik olarak geçiş yapma seçenekleriyle birlikte gösteren komut ve kontrol panellerini içeriyor.
Araç kitleri, kimlik avıyla mücadele etmek için özel olarak tasarlanmış güvenlik özellikleri olan numara eşleştirme veya numara sorgulama doğrulamasıyla anlık bildirimleri bile alt eder. Saldırganlar kurbanlarla doğrudan etkileşime girdiğinden, hedeflerden yalnızca push meydan okumasında görüntülenen belirli sayıları seçmelerini veya girmelerini isterler.
Numara eşleştirme/meydan okuma ile itme, tanımı gereği kimlik avına karşı dayanıklı değildir, çünkü telefonda hedeflenen bir kullanıcıyla etkileşime giren bir toplum mühendisi, kullanıcıdan belirli bir numarayı seçmesini veya girmesini isteyebilir,” diye açıkladı Okta’nın tehdit tavsiyesi.
Yalnızca FIDO geçiş anahtarları gibi kimlik avına karşı dayanıklı kimlik doğrulama yöntemleri, kullanıcıları bu saldırılardan korur. Bu teknolojiler, saldırganların ele geçirebileceği veya manipüle edebileceği kimlik bilgilerini iletmeden kullanıcıları kriptografik olarak doğrular.
Diallo, sektörün, gerçek zamanlı oturum düzenleme araçlarıyla desteklenen ses destekli kimlik avı saldırıları dalgasının başlangıcında yer aldığını öngörüyor. Bu sosyal mühendislik kampanyalarını yürütmek için gereken uzmanlığın kendisi bir hizmet olarak satılıyor ve teknik açıdan daha az beceriye sahip suçluların giriş engelleri azaltılıyor.
Okta araştırmacıları, daha yeni kimlik avı kitlerinin daha önceki araç kitlerinden gerçek zamanlı düzenleme özelliklerini kopyaladığını, dolandırıcıların birden fazla hizmeti hedefleyen genel kitler yerine belirli kimlik sağlayıcıları ve kripto para birimi platformları için özelleştirilmiş kontrol panellerine erişim sattığını gözlemledi.
Önceki kitler, birden fazla platformda temel kimlik bilgileri toplama olanağı sunuyordu. Mevcut nesil araç setleri, özellikle arayan komut dosyalarıyla senkronize edilmiş özel yetenekler sunarak meşru kimlik doğrulama akışlarını yakından taklit eden kusursuz sahtekarlık deneyimleri yaratıyor.
Savunmacılar gerekli karşı önlemler konusunda hiçbir belirsizlikle karşı karşıya değil. Kuruluşların kaynak erişimi için kimlik avına karşı korumalı kimlik doğrulamasını zorunlu kılması gerekir. Kuruluşlar ayrıca, tehdit aktörlerinin tercih ettiği anonimleştirme hizmetlerinden gelen kimlik doğrulamasını reddeden ağ bölgeleri veya kiracı erişim kontrol listeleri uygulayarak sosyal mühendislik aktörlerini de hayal kırıklığına uğratabilir. Strateji, meşru isteklerin nereden kaynaklandığını bilmeyi ve bu ağları izin verilenler listesine eklemeyi gerektirir.
Bazı finans kurumları ve kripto para borsaları, kullanıcıların telefon görüşmeleri sırasında yetkili temsilcilerle konuşup konuşmadıklarını doğrulamak için mobil uygulamalarda oturum açabilecekleri canlı arayan doğrulama yöntemini deniyor.
Bu senkronize vishing araç setlerinin ortaya çıkışı, sosyal mühendisliğin basit aldatmanın ötesinde, insan manipülasyonunu karmaşık teknik altyapıyla birleştiren planlanmış saldırılara doğru nasıl gelişmeye devam ettiğini gösteriyor. Kimlik avına karşı direnç olmaksızın geleneksel çok faktörlü kimlik doğrulamasına güvenen kuruluşlar, bu hibrit tehditlere karşı giderek artan güvenlik açığıyla karşı karşıyadır.