Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Saldırganlar, Kimlik Avı Sayfalarını İletmek İçin Merkezi Olmayan Dosya Protokolünü Kullanıyor
Prajeet Nair (@prajeetspeaks) •
28 Mart 2023
Kimlik bilgisi toplama saldırılarının arkasındaki spam gönderenler, özelleştirilmiş kimlik avı bağlantılarını dağıtmak için dağıtılmış bir dosya protokolünden yararlanıyor. Kaspersky araştırmacılarına göre InterPlanetary File System adlı sistem, içeriğin yayından kaldırılmasına karşı dirençli olacak şekilde tasarlandığından, dolandırıcılar onu geniş ölçekte kimlik avı e-postaları göndermek için kullanıyor.
Ayrıca bakınız: Web Semineri | SASE Mimarisi Uzaktan Çalışmayı Nasıl Sağlar?
IPFS, tasarımcılarının “içerik tanımlayıcısı” olarak adlandırdığı benzersiz bir parmak izi aracılığıyla erişilebilen dosya parçalarını depolayan eşler arası bir düğüm ağı olarak çalışır. Fikir, dosyaları uzak bir sunucudaki konumları yerine içerik tanımlayıcıları aracılığıyla depolamak ve almaktır. Protokol mucidi Juan Benet, bir teknik incelemede bunu “tek bir BitTorrent sürüsüne, bir Git deposunda nesneleri değiş tokuş etmeye” benzer olarak tanımladı.
Protokol, saldırganların kimlik avı web sayfası barındırma maliyetlerini kısmasına olanak tanıdığı ve dağıtılmış doğası dosyaları silmeyi neredeyse imkansız hale getirdiği için siber suçlular için iyidir.
Kaspersky araştırmacıları, “Birisi bir dosyanın sistemden tamamen kaybolmasını istiyorsa, sahiplerinden dosyayı silmesini isteyebilir, ancak bu yöntem zaten muhtemelen siber suçlularda asla işe yaramayacaktır.” Kullanıcılar IPFS protokolüne istemci yazılımı veya web üzerindeki bir ağ geçidi aracılığıyla erişebilir. Kaspersky, ağ geçidi sağlayıcılarının sahte sitelere giden bağlantıları silmeye çalıştığını, ancak “ağ geçidi düzeyinde bağlantıların algılanması ve silinmesinin her zaman bir kimlik avı web sitesinin engellenmesi kadar hızlı gerçekleşmediğini” ekliyor.
Siber güvenlik firması, kötü amaçlı IPFS dosyalarının URL adreslerini ilk olarak Ekim ayında tespit ettiğini söyledi. Geçen ay, Kaspersky’nin yaklaşık 400.000 deneme tespit etmesiyle, IPFS kimlik avı etkinliği için şimdiye kadarki en yoğun ay oldu. Dolandırıcılar, kimlik avı formu içeren HTML dosyalarını IPFS’ye yükler ve ardından kurbanların, dosyaya erişmeleri için onları bir ağ geçidine yönlendiren proxy bağlantılarına tıklamalarını sağlamaya çalışır.
Ağ geçidindeki URL parametresi, kimlik avı alıcısının e-posta adresini içerir ve kimlik avı sayfasının, yemlere göre görünümünü değiştirmesine olanak tanır.
Kaspersky araştırmacıları, “Bu şekilde, farklı kullanıcıları hedefleyen birkaç kimlik avı kampanyasında, hatta bazen düzinelerce kampanyada bir bağlantı kullanılabilir.”
Siber güvenlik firması Trustwave geçen yıl da IPFS kimlik avı gözlemlediğini bildirdi.