Uzun zamandır, herhangi birinin kendisini ve işverenini siber saldırıların kurbanı olmaktan korumasının kesin yolunun, beklenmedik bir e-posta eki indirmemek olduğu düşünülüyordu; ancak e-posta güvenliği uzmanı Mimecast’a göre, siber suçlular bu değişmez taktikten uzaklaşıyor gibi görünüyor.
Mimecast, yılın ilk altı ayında kötü amaçlı yazılım içeren ekler değil, Google Drive veya SharePoint gibi meşru bulut tabanlı dosya paylaşım hizmetlerine bağlantılar gönderen e-posta saldırılarında büyük bir artış gözlemlediğini söyledi. E-postayla gönderilen kötü amaçlı bağlantıların hacminin 2024’ün ilk takvim çeyreğinde %130’dan fazla, ikinci çeyrekte ise 2023’teki aynı dönemlere kıyasla %53 arttığını söyledi.
Yeni yayınlanan kitabında Küresel Tehdit İstihbarat Raporu 2024 H1Mimecast, tehdit aktörlerinin muhtemelen daha fazla bağlantı katmanı kullandığını ve kurbanlarını faaliyetlerini daha iyi gizlemek ve tespiti veya soruşturmayı engellemek için CAPTCHA’lara yanıt vermek veya sahte çok faktörlü kimlik doğrulama (MFA) zorluklarıyla karşılaşmak gibi çeşitli engelleri aşmaya zorladığını söyledi.
Mimecast, son verilerinin e-posta güvenliğine bir organizasyon için ne kadar kritik önemde dikkat edilmesi gerektiğini gösterdiğini söyledi. Organizasyonun baş güvenlik ve dayanıklılık sorumlusu Mick Paisley şöyle açıkladı: “E-posta ve iş birliği araçları genellikle yalnızca maliyet merkezleri olarak görülüyor, ancak bu, siber güvenlikteki temel rollerini göz ardı ediyor.
“E-posta güvenliğini optimize ederek, kuruluşlar ortaya çıkan tehditlere karşı sağlam koruma sağlarken önemli maliyet verimlilikleri elde edebilirler. Bu yaklaşım yalnızca siber riskleri en aza indirmek için değil, aynı zamanda kuruluşunuzun üretkenliğini ve güvenliğini korumak için de önemlidir.”
Raporun yazarları kuruluşlara şu çağrıda bulundu:
Döngüdeki insan, ilgili bilgilere veya bir ağa daha doğrudan erişim sağladıkları için bir organizasyon için riskleri belirlemede her zaman bir faktör olmuştur. Çalışanları hedeflemek, oldukça başarılı bir saldırı vektörü olmaya devam ediyor ve oldukça uyarlanabilir bir taktik olarak değişmesi pek olası değil.
Kötü niyetli kampanyalar
Mimecast’ın telemetrisinde gözlemlenen kampanyalardan birinde (2024 Mart ve Nisan aylarında gerçekleşti) bir tehdit aktörü fırsatçı bir şekilde alıcıları, onları statik ancak kötü amaçlı içeriğe yönlendiren bir LinkedIn etki alanına bağlantı içeren e-postalarla hedef aldı. Sistemlerine yaklaşık 120.000 bu tür e-posta yakalandı ve bunların hepsi kurbana bir sesli mesajı incelemeleri gerektiğini bildiriyordu.
Bu durumda, bağlantıya tıklandığında bir dizi yönlendirme Cloudflare CAPTCHA’ya ve ardından sahte bir Microsoft Outlook oturum açma sayfasına yönlendiriliyordu.
Saldırgan ayrıca, yemlerinin e-posta güvenlik mekanizmalarını geçme şansını artırmak için bir Amazon Basit E-posta Servisi (SES) hesabı kullandı.
İkinci bir örnekte, tehdit aktörü saldırılarını hedefleriyle aynı sektördeki şirketlere ait tehlikeye atılmış Office 365 hesapları üzerinden başlattı ve bu da kurbanın onları meşru görme olasılığını artırdı. Bu örnekteki amaç kimlik bilgisi toplamaktı.
Üçüncü bir saldırıda ise, e-postaya yerleştirilen bir kimlik avı bağlantısı, kurbanları cihaz güvenliği uyumluluk sorununu ele almaya yönlendirdi ve yine değerli bilgileri çalmayı amaçladı.
2024 yılının ilk takvim çeyreğinde e-posta yoluyla iletilen kötü amaçlı bağlantıların hacminin, 2023 yılının aynı dönemlerine kıyasla %130’un üzerinde, ikinci çeyrekte ise %53 arttığı belirtildi.
Yapay zeka destekli dolandırıcılıklar
Mimecast’in verileri ayrıca tehdit aktörlerinin kimlik avı dolandırıcılıklarına yapay zekayı nasıl giderek daha fazla dahil ettiklerine dair yeni bilgiler de içeriyor.
Bir kampanyada, açıldığında Replit AI geliştirme hizmetinde barındırılan bir sayfayı görüntüleyen ve kimlik bilgileri toplamak için muhtemelen ücretsiz denemenin bir parçası olarak oluşturulan ekli bir PDF ile bağlanmış 380.000 e-posta gözlemledi. Bu kampanyadaki cazibeler genellikle yıllık değerlendirmeleri veya tatil taleplerini tamamlama gibi İK ile ilgili temalara odaklandı.
Başka bir olayda, mağdurlara yakın zamanda gerçekleşecek bir kesinti veya ücret bildirimi yapıldı; yemlerin çoğu PayPal’ı taklit ediyordu ve büyük dil modeli (LLM) otomasyonunun onları kimlik bilgilerini veya finansal bilgilerini vermeleri için başarıyla kandırdığı yapay zeka destekli bir çağrı merkeziyle iletişime geçmeleri istendi.
Raporun yazarları, “Üretken yapay zeka ve makine öğreniminin kötüye kullanılması, kimlik avı kampanyalarının hedeflemesini ve içeriğini iyileştirecek,” diye yazdı ve “savunmacıların yeni ve orijinal saldırıları tespit edip bunlara yanıt verebilmek için teknik göstergelere olan gereksinimini artıracak.”