SİYAH ŞAPKA ABD – Las Vegas – 11 Ağustos Cuma – Kimlik avı saldırıları, geleneksel çabaların ötesine geçiyor ve daha gelişmiş tespit yetenekleri gerektiriyor.
TBunun nedeni, modern kimlik avı türlerinin tespit edilmesinin daha zor olması, özellikle de çalışanların uzaktan çalıştığı ve korunmalarının daha zor olduğu belirtildi. Perception Point olay müdahale grubu yöneticisi Din Serussi, bu hafta Black Hat USA’daki konuşmasında. Bu kulağa alarm verici geliyorsa, siber saldırıların %91’inin bir kimlik avı e-postasıyla başladığını düşünün.
Bir zamanlar bir saldırganın bir kimlik avı şablonu oluşturması zaman alırken, Serussi yapay zekanın artık kötü amaçlı URL ve kötü amaçlı bir dosyanın otomatik olarak gömülü olduğu bir kimlik avı şablonunu artık 30 saniyede oluşturabileceğini söyledi.
Phishy Yöntemlerinden Bazıları
Serussi, saldırganlar tarafından kullanılan bir dizi modern kimlik avı taktiklerini listeledi. Bunlar arasında, saldırganın olası kurbanına gönderdiği kötü amaçlı bağlantıyı gizlemek için bir URL’de Kiril alfabesi karakterleri kullanmak da vardı. “Aslında insan gözüne normal bir metin gibi görünüyor değil mi? Kopyalayıp komut satırına yapıştırırsak farklı harfler arasındaki şüpheli boşlukları görebiliriz ve unicode’u parçalayacaksak bunu görebiliriz. Bilgisayar korsanlarının bizi manipüle etmeyi gerçekten nasıl başardığını görün” dedi.
Dört harfli bir kelime gibi görünen şey, aslında sekiz harftir ve bu, statik metin filtrelemeyi atlayabilir. “Modası geçmiş bir güvenlik çözümü kullanıyorsanız, bu tür bir saldırıyı yakalamayacaksınız” dedi.
Diğer bir taktik ise, bir saldırganın HTML ve CSS kodunu kullandığı “tarayıcı içinde tarayıcı” yöntemidir; bu nedenle, kullanıcının güvenini kazanmak için tarayıcınızda genellikle URL’de “https” bulunan bir tarayıcı sekmesi veya açılır pencere açılır. t ikenBunlar, kötü amaçlı yazılım indirme seçeneğiyle birlikte gelmez, gerçek göründükleri için kişisel ve kredi kartı bilgilerini toplayabilirler. Serussi, görsel analitik içeren güvenlik yazılımının bu tarayıcıda tarayıcı saldırısını önleyeceğini söyledi.
QR kimlik avının veya “quishing”in yükselişi bu yıl %800 arttı. Buradaki sorunun, URL’nin tamamı görünmediğinden, kullanıcının götürüldüğü etki alanının bir mobil cihazda meşru görünmesi olduğunu söyledi.
Ayrıca saldırganlar, güvenlik filtrelerini yanlış yönlendirerek URL’nin yasal olduğunu düşünmeye ve kullanıcıyı farklı bir siteye yönlendirmeye yönelik CAPTCHA’ları, coğrafi çitlemeyi ve yönlendirmeleri kullanıyor.
Sorunu Düzeltme
Serussi, tarayıcı içi güvenlik sorunlarını ele almak için yeni bir yaklaşım olduğunu söyledi: algılama yetenekleri sunan tarayıcı uzantıları.
İlk adımın %100 dinamik taramaya sahip olmak olduğunu söyledi, böylece “tespitleri e-postadan Web tarayıcısına taşırken, kötü niyetli davranışı tespit edebilirsiniz.”
Serussi, sosyal medya ve mesajlaşma uygulamalarına yönelik kimlik avı saldırılarının tarayıcı uzantılarıyla da ele alınabileceğini sözlerine ekledi.
Yönetilen tarayıcılara girilen kimlik bilgilerinin görünür olması da önemlidir. Serussi, güvenliği ihlal edilmiş bir kullanıcının tarayıcısına bir haftalık girilen kimlik bilgilerini inceleyerek, hesabın ele geçirilmesinin gerçekten nereden geldiğini genellikle bulabileceğinizi söyledi.
Bu gelişmiş güvenlik çözümleri aynı zamanda bir şifre birden çok kez girildiğinde uyarı gönderebilir veya kullanıcı iş şifresini bir Facebook hesabına girerse hesap anında kilitlenebilir.
Ayrıca, paylaşılan bir sürücüden kimin büyük dosyalar indirdiğini görmek, eylemlerini ve indirmelerini engelleyebilmek ve ne olduğu netleşene kadar belirli kullanıcıyı hemen devre dışı bırakabilmek için veri sızıntısı önleme teknolojisinin kullanılmasını önerdi.
Serussi ayrıca güçlü bir parola ilkesinin kullanılmasını, iki faktörlü kimlik doğrulamanın uygulanmasını ve e-postanın gönderildiği etki alanı ile IP adresi arasındaki korelasyon için bir e-postayı kontrol eden standart bir ilke çerçevesi yapılandırmayı önerdi.