Yazan: Brett Raybould, EMEA Çözüm Mimarı, Menlo Güvenlik
Kimlik avı, her gün dünya çapında gönderildiği tahmin edilen üç milyardan fazla kötü amaçlı e-postayla kuruluşların karşılaştığı en yaygın zorluklardan biri olmaya devam ediyor.
Hiç kimse kimlik avı tehdidine karşı bağışık değildir. Havacılık firmalarından büyük bankalara ve ilaç şirketlerinden Facebook, Google ve Sony Pictures gibi ev markalarına kadar her şekil ve büyüklükteki işletme, son yıllarda dünyanın en yaygın siber tehdidinin kurbanı oldu. Aslında sorunun yaygınlığı nedeniyle Verizon'un 2023 Veri İhlal Araştırmaları Raporu, tüm veri ihlallerinin üçte birinden fazlasının (%36) kimlik avını içerdiğini tahmin ediyor.
Elbette endişe verici olan yalnızca saldırıların çokluğu değil. Saldırganların kullandığı tekniklerin artan karmaşıklığıyla ilgili endişeler daha fazla yoğunlaşıyor. Kimlik avı saldırıları endişe verici derecede karmaşık hale geliyor.
Tehdit aktörleri, bireylerin ve kişilerarası ilişkilerinin derinlemesine araştırılmasından inanılmaz derecede ikna edici sahte sosyal medya profillerinin kullanılmasına kadar, hiçbir şeyden haberi olmayan kurbanları kötü niyetli bağlantılara tıklamaları için kandırmaya çalışırken her türlü çabayı gösteriyor. Yakın zamanda siber suçluların zoom çağrılarına kötü amaçlı bağlantılar bıraktığını, diğerlerinin ise örneğin derin sahte teknolojilerin kullanımını aktif olarak araştırdıklarını duyduk.
Sonuç olarak, Menlo Labs ekibi tarafından yakın zamanda ortaya çıkarılan başka bir kimlik avı saldırısında da görüldüğü gibi, gerçek dijital etkileşimlerden gelen saldırıları ayırt etmek giderek zorlaşıyor.
Gerçekliği Analiz Etmek. com saldırı zinciri
Temmuz 2023'te Menlo Security'nin HEAT Shield'ı, popüler iş ilanı sitesi 'Indeed.com'un şüphelenmeyen kullanıcılarını Microsoft'un kimliğine bürünen bir kimlik avı sayfasına yönlendirmeye çalışan yeni bir kimlik avı saldırısını tespit etti ve engelledi.
Saldırı zinciri, kurbanların, aldatıcı bir şekilde hazırlanmış ve kurbanın Indeed.com'dan geldiğine inanmasını sağlayacak bir bağlantı yoluyla gönderilen bir kimlik avı e-postası almasıyla başladı. Kurbanlar daha sonra kendilerini kimlik bilgilerini girmelerinin istendiği sahte bir Microsoft Online giriş sayfasına yönlendirecek bir bağlantıya tıklıyorlardı.
Bu kampanyanın yararlandığı taktik, bir uygulamanın kasıtlı veya kasıtsız olarak kullanıcıları güvenilmeyen bir harici alana yönlendirdiği açık yönlendirme olarak biliniyor. Bu anlamda tehdit aktörleri, hedeflenen kurbanları bir kimlik avı sitesine yönlendirirken 'Indeed.com'un son derece güvenilir doğasından yararlanıyordu.
Sahte sayfanın, yasal giriş sitesinden dinamik olarak içerik getirebilen, EvilProxy olarak bilinen gelişmiş bir kimlik avı kiti kullanılarak dağıtılması kritik bir öneme sahiptir. Kimlik avı sitesi daha sonra ters proxy görevi görür, isteği gerçek web sitesine proxy olarak gönderir ve saldırganın meşru sunucunun isteklerini ve yanıtlarını ele geçirmesine olanak tanır.
Saldırgan, EvilProxy ile oturum çerezlerini de çalabilir; bu çerezler daha sonra meşru Microsoft Online sitesinde oturum açmak, kurbanların kimliğine bürünmek ve kimlik avına karşı dirençli olmayan çok faktörlü kimlik doğrulama (MFA) politikalarını atlamak için kullanılabilir.
Modern kimlik avı tehditleriyle mücadele
Bu saldırı zinciri, tehdit aktörlerinin MFA korumalarını atlamasını sağlamak için oturum çerezlerini toplayan Ortadaki Düşman (AiTM) kimlik avı saldırısının başlıca örneğidir.
Bu örnekte Menlo Labs ekibi, tehdit aktörlerinin büyük ölçüde bankacılık ve finansal hizmetler, sigorta sağlayıcıları, mülk yönetimi ve emlak ve imalat gibi sektörlerdeki üst düzey rollerdeki yöneticileri hedeflemeye odaklandığını gördü. Ancak benzer AiTM tehditlerinin herhangi bir işletmeye saldırmak için kullanılabileceği göz önüne alındığında, her türden kuruluşun kapsamlı bir şekilde korunup korunmadığını kontrol etmesi gerekir.
Elbette, kimlik avı saldırılarıyla mücadelede ilk başvurulacak nokta farkındalık ve eğitimdir; bu, birçok kuruluşun zaten bildiği ve uyguladığı bir şeydir. Bir araştırmaya göre katılımcıların %84'ü, personelin kimlik avını anlamasına ve mağduriyet oranlarını azaltmasına yardımcı olmak için düzenli eğitimler veriyor.
Ancak tehdit aktörlerinin kampanyalarında giderek daha akıllı hale gelmesiyle birlikte şirketlerin bir adım daha ileri giderek modern tehditlere karşı savunmayı güçlendirebilecek çok katmanlı güvenlik stratejileri geliştirmek için çeşitli politika, araç ve teknolojileri benimsemeleri önemli.
Burada, kullanıcıları kimlik bilgilerinin toplanmasından ve hesapların ele geçirilmesinden korumaya yardımcı olabilecek HEAT Shield gibi teknolojileri öneriyoruz. Yalnızca saldırı vektörünü ilk erişim aşamasından kesmekle kalmaz, aynı zamanda güvenliğin uygulanma biçimini yeniden tanımlayarak bu tür yüksek düzeyde kaçamak tehditlerle başa çıkmak için proaktif bir yaklaşımı zorunlu kılabilir.
Indeed.com saldırısı durumunda teknoloji, herhangi bir URL itibar hizmetinden ve diğer güvenlik sağlayıcılarının sayfayı kötü amaçlı olarak işaretlemesinden önce, oluşturulan web sayfasını analiz etmek için yapay zeka tabanlı algılama modellerini kullanarak kimlik avı sitesini başarıyla tespit etti. Bu süreç sırasında aynı zamanda sıfır saatlik kimlik avı tespit uyarıları oluşturarak güvenlik ve SOC analistlerine daha fazla görünürlük ve tehdit bağlamı sağlar.
Indeed.com kampanyası, giderek daha karmaşık hale gelen tehdit tekniklerinin bir adım önünde kalabilmek için sürekli olarak gelişen ve iyileşen güvenlik stratejilerinin önemini hatırlatan birçok örnekten sadece bir tanesidir.
yazar hakkında
Brett Raybould – EMEA Çözüm Mimarı, Menlo Güvenlik. Brett, güvenlik konusunda tutkulu ve en kritik varlıklarını korumak isteyen kuruluşlara çözümler sunuyor. Web ve e-posta üzerinden gelen tehditlerin tespit edilmesinin yanı sıra veri kaybı önleme konusunda da uzmanlaşmış çeşitli 1. kademe sağlayıcılarda 15 yılı aşkın bir süre çalışmış olan Brett, 2016 yılında Menlo Security'ye katıldı ve izolasyonun, algılamanın getirdiği sorunları çözmek için nasıl yeni bir yaklaşım sağladığını keşfetti. tabanlı sistemlerle mücadeleye devam ediyoruz.