Group-IB’ye göre, 2022’de kimlik avı kitlerinin kullanımında %25’lik bir artış kaydedildi.
Gözlenen temel kimlik avı eğilimleri, erişim kontrolünün artan kullanımı ve gelişmiş algılama kaçırma teknikleridir. Antibot teknikleri ve rastgele seçim gibi kaçınma taktiklerindeki artış, geleneksel tespit sistemleri için önemli bir zorluk teşkil ediyor ve kimlik avı kampanyalarının ömrünü uzatıyor.
2022’de 3.677 benzersiz kimlik avı kiti tespit edildi ve bu rakam, 2021’dekinden %25 daha fazla. Kimlik avı kiti, siber suçluların aynı anda birkaç kimlik avı sayfası oluşturup çalıştırmasını sağlayan bir dizi araçtır. Bunlar, büyük ölçekli kimlik avı kampanyaları yürütmek için gereken altyapıyı zahmetsizce oluşturmalarına ve sürdürmelerine, engelleme durumunda bir ana bilgisayardan diğerine geçmelerine ve çalınan verileri toplamalarına olanak tanıdığından, tehdit aktörleri için yararlı araçlardır.
Çalınan verileri işlemek için kimlik avı kitleri yöntemleri
Kimlik avı web siteleri, kişisel verileri toplamak için tasarlanmıştır ve bunları toplamak ve depolamak için belirli bir yöntem gerektirir. Çalınan verilerin çoğu hala e-posta yoluyla işleniyor. Toplamda, 2022’deki kimlik avı kitlerinin yarısından biraz azı, çalıntı bilgileri ele almak için e-postaya güvendi ve kimlik avı kiti oluşturucuları arasında veri toplamak için en çok tercih edilen e-posta hizmeti Gmail oldu (%45).
Devam eden bir eğilim, Telegram’ın çalınan veri toplama konusundaki sürekli popülaritesidir. Çalınan verileri toplamak için Telegram’ı kullanan kimlik avı kitlerinin sayısı, 2022’de bir önceki yıla göre neredeyse iki katına çıktı.
2021’de kimlik avı kitlerinin %5,6’sı çalınan verileri işlemek için Telegram’ı kullandı. Bir yıl sonra Telegram’ın payı %9.4’e çıktı. Messenger’ın esnekliği ve rahatlığı, siber suçluların gizliliği ihlal edilmiş bilgileri neredeyse gerçek zamanlı olarak işlemesine ve yönetmesine olanak tanır.
Birçok kimlik avı kiti, çalınan verileri işlemek için birden fazla yöntem kullanır. Örneğin, 2022’de yaklaşık 1.500 kimlik avı kiti, çalınan verileri Telegram, e-posta yoluyla veya verileri sunucudaki yerel bir dosyaya yazarak aktarma işlevini içeriyordu, bu da onların artan karmaşıklığını gösteriyor.
Tespitten kaçınma teknikleri
Artan Telegram kullanımının yanı sıra, siber suçlular tespit edilmekten ve alt edilmekten kaçınmak için kaçırma yeteneklerini geliştirmeye odaklandıkça, kimlik avı saldırıları daha karmaşık hale geliyor.
2021-2022 boyunca kimlik avı kitlerinde tanımlanan kaçırma teknikleri iki kategoriye ayrılır: önemsiz erişim kontrol mekanizmaları ve daha gelişmiş tespit kaçırma yöntemleri.
İlk kategoride, köprü metni erişimi (.htaccess) 2022’de en popüler teknik haline geldi – tespit edilen kimlik avı kitlerinin %20’si bu taktiği kullandı. Yapılandırma dosyası, bir web sitesi operatörünün, ziyaretçinin IP adresine dayalı olarak belirli dizinlere erişimi kısıtlamasına olanak tanır.
2022’deki en popüler ikinci erişim kontrol stratejisi, botların ve arama motoru tarayıcılarının web sitesine erişmesini engelleyen başka bir yapılandırma dosyası olan robots.txt idi (kitlerin %12’sinde görülüyor).
Genel olarak, basit erişim kontrol mekanizmalarının kullanımı, 2022’de 951 kimlik avı kitinin bir tür seçici kısıtlama kullandığı bir önceki yıla göre %92 artarak 1.824’e yükseldi.
Siber güvenlik uzmanlarının ve kullanıma hazır siber güvenlik çözümlerinin çalışmalarını engellemek için, daha fazla kimlik avı kiti, gelişmiş tespitten kaçınma teknikleriyle doludur. Temel mekanizmalar, siber güvenlik satıcılarının IP’lerinin ve ana bilgisayar adlarının kara listeye alınmasını içerir.
Anti-bot teknolojileri
Daha sofistike taktikler, bot önleme teknolojilerinin kullanımını, dizinlerin rastgele sıralanmasını vb. içerir. Bu tür taktikler, 2022’de 2.060 kimlik avı kiti tarafından kullanıldı; bu, bir önceki yıla göre %26 daha fazla.
Özellikle, 2022’de Group-IB araştırmacıları, otomatik siber güvenlik tarayıcılarının kimlik avı içeriğini tanımlamasını önlemek için tasarlanmış bot karşıtı teknolojilerin kullanımında %40’lık bir artış gözlemledi.
Kimlik avcılarının ana hedeflerinden biri, web sitelerinin ömrünü uzatmak. Bu nedenle, en sık kullanılan tespitten kaçınma tekniği dinamik dizinlerdi. Kimlik avı operatörleri, yalnızca kişiselleştirilmiş bir kimlik avı URL’sinin alıcısı tarafından erişilebilen ve ilk bağlantı olmadan erişilemeyen rastgele web sitesi klasörleri oluşturur.
Bu teknik, kimlik avı içeriği kendini ifşa etmeyeceği için kimlik avcılarının tespit edilmekten ve kara listeye alınmaktan kaçınmasına olanak tanır. 2022’de tespit edilen kimlik avı kitlerinin %22’si dinamik dizinlerden yararlandı.
Bir başka popüler taktik (2022’de kimlik avı kitlerinin %11’inde gözlemlendi), cihaz parametreleri, coğrafi konum ve yönlendiren kurbanın profiliyle eşleşmeyen ziyaretçilere gösterilen sahte 404 sayfalarının kullanılmasıdır.
Group-IB CEO’su Dmitry Volkov, “Otomasyon, kimlik avcılarının her gün yüzlerce web sitesi oluşturmasını ve yönetmesini sağlıyor” dedi.
“Kimlik avı kitlerini ayıklamak ve izlemek, kimlik avı saldırılarına karşı korunmanın önemli bir parçasıdır. Büyük hasara yol açmadan kimlik avını belirlemeye ve engellemeye yardımcı olabilir. Ek olarak, kimlik avı kitlerinin analizi, düşmanların TTP’lerine ilişkin değerli bilgiler sağladığından istihbarat toplama açısından paha biçilmezdir. Çoğu durumda, tehdit aktörlerinin kovuşturulması için yararlı olan kimlik avı kiti geliştiricilerinin belirlenmesine de yardımcı olabilir,” diye sözlerini sonlandırdı Volkov.