Lorenzo Asuni, CMO, Ermes Siber Güvenlik
Kimlik avı fenomeni katlanarak büyüyor ve en yaygın dolandırıcılık biçimlerinin aksine, daha demokratik ve erişilebilir olduğu için çok daha tehlikeli. Kimlik Avı Önleme Çalışma Grubunun (APWG) en son üç aylık raporu, yalnızca Ocak-Mart 2021’de 611.000’den fazla kimlik avı saldırısı tespit edildiğini bildirdi ve bu, yaklaşık 245.711 saldırı kaydeden Ocak ayı için bir rekor oldu. Ama neden? Kimlik Avı Kitinin anatomisi nedir? Genel olarak, kolayca bir web sunucusuna kopyalanabilen ve çok az yapılandırmayla neredeyse olduğu gibi kullanılabilen, konuşlandırmaya hazır bir dizi dosyadan oluşur. Tipik bir kimlik avı kitinin bileşimi, kaynaklara ve belgelere, birincil dosyalara ve komut dosyalarına, temel/gelişmiş özelliklere ve tespitten kaçınmaya bölünebilir.
Bu kullanıma hazır kitler, bilgisayar korsanlarının kimlik avı saldırıları gerçekleştirmek için dosyaları etkili bir şekilde kullanmasına yardımcı olmak için genellikle kimlik avı kitinin kök klasöründe bulunan eksiksiz bir kılavuzlar, belgeler ve ayrıntılı talimatlar paketi sağlar. Talimatlar çok açık ve anlaşılması kolay: potansiyel bir kimlik avcısına sanal özel sunucunun (VPS) nasıl kurulacağını ve aktarım katmanı güvenliği (TLS) sertifikasının nasıl alınacağını açıklayacaklar. Ayrıca kimlik avı kitinin nasıl kurulacağı, varsayılan oturum açma kimlik bilgileri ve kiti oluşturan kişiye referanslar hakkında bir açıklama da olacaktır. Bu nedenle bu yeni dolandırıcılık sistemi, bir yandan daha az deneyimli dolandırıcıların bir siber suçludan karmaşık bir kod satın almasına izin verdiği için çok tehlikelidir, diğer yandan saldırı anında her iki taraf da kurbanın verilerini aldığı için. Bu kitlerin çoğu için, aslında, kötü bir aktörün yapması gereken tek şey, bırakılan e-posta adresini kimlik avcısı tarafından kontrol edilen bir hesaba yapılandırmak.
Kitler, çoğu sunucuda tutarlı bir şekilde çalışmasını sağlamak için genellikle arka uç programlama dili olarak PHP kullanır. Dosyalar ayrıca, sonunda potansiyel kurbanlara sunulacak kimlik avı ön uç web sayfalarını oluşturmak için gerekli tüm CSS, HTML, JavaScript ve resimleri içerir. Bu ön uç sayfalar genellikle hedeflenen markalar, bankalar ve diğer kurumlar için orijinal oturum açma ekranlarının kimliğine bürünür. Kimlik avı kitleri ayrıca toplanan hassas verilerin dışarı sızması sürecini otomatikleştiren komut dosyaları da sağlar. Çoğu durumda, sağlanan veriler e-posta ile bir “düşük adrese” gönderilecek veya yerel bir metin dosyasına kaydedilecektir.
Kimlik avı kitleri ayrıca, kolluk kuvvetleri veya bağımsız araştırmacılar tarafından tespit edilmeyi önleyecek şekilde yapılandırılabilen tespit önleme sistemlerini içerecek kadar karmaşık hale geldi. Ayrıca, otomatik kimlik avı önleme çözümlerinin algılamasını önlemek için hafif veya yoğun şekilde gizlenebilen kodlar içerirler. Dizine alınmamak için güvenliğe, kimlik avı önleme şirketlerine veya arama motorlarına ait bilinen botlardan gelen bağlantıları reddedecek şekilde bile yapılandırılabilirler. Hatta bazı kitler, coğrafi konum belirlemeden yararlanan karşı önlemler kullanabilir. Bu kitler ayrıca verileri dışarı sızmadan önce şifreleme ve hatta bazı kimlik avcılarının diğer kimlik avcılarının ganimetlerini gizlice toplamasının bir yolu olarak veya bir önlem olarak toplanan verileri ikincil bir konuma gönderme yeteneğine de sahiptir.
Ancak tüm bunlarda iyi haberler var: Kit, kimlik avı saldırıları için kullanılan teknikler hakkında bilgi sağladığından ve bu nedenle Kimlik Avı Kiti analizi suçluların belirlenmesine de yol açabileceğinden, aslında harika bir veri kaynağıdır. Bununla birlikte, kitler kullanıcı tarafından tanınamaz: daha dikkatli olanlar için Kimlik Avı sayfasının kendisini tanımak mümkündür, ancak sayfanın arkasına gizlenmiş kiti tespit etmek için özel araçlara ihtiyaç vardır.
Araştırmacıların İtalyan Siber güvenlik mükemmelliği olan Ermes – Cybersecurity liderliğindeki analizi, Kit yazmanın evriminde, saldırganların diğer Kitlerdeki kod parçalarını kendi ihtiyaçlarına göre uyarlayarak nasıl kopyalayıp yapıştırdıklarını vurguluyor. Bu nedenle, çok az orijinal kit vardır ve bu, ilişkili kitlerin tüm Kümelerinin tanımlanabileceği anlamına gelir. Ermes, tanınmış markaları hedef alan yaklaşık 6.000 kiti belirlemek için on binlerce kimlik avı kitini analiz etti. Ermes, özellikle kimlik avı kitlerini kullananlar olmak üzere, kimlik avı saldırıları için istihbarat toplama ve algılamaya önemli ölçüde öncelik vermiştir. Kimlik avı tehditleriyle mücadele etmek için Ermes, tespit edilen kimlik avı sitelerine saldırganlar tarafından bırakılan kimlik avı kitlerini indirerek sürekli olarak artırılan on binlerce kimlik avı kiti içeren benzersiz ve tescilli bir veri kümesi oluşturmuştur. Ermes, müşterilere kritik içgörüler ve istihbarat sağlamak amacıyla araştırma yapmak ve yeni keşfedilen kimlik avı sitelerini bir kimlik avı kiti ailesiyle eşleştirmek için bu değerli kaynağı düzenli olarak kullanır.
yazar hakkında
Lorenzo Asuni, Cagliari Üniversitesi ve Universidad Complutense de Madrid’de Yönetim bölümünden mezun oldu. Pazarlama ve Satış Direktörü olarak açılan başlangıç ve ölçeklendirmede 10 yılı aşkın deneyime sahiptir. Geçmişte AirHelp’i kurdu, YCombinator startup’ı 2016’da dünyanın en iyi 100 startup’ı arasında yer aldı Lunii, bir Fransız ölçekli ve İtalyan Enuan’ın büyümesine öncülük etti. Growth Hacking ve Dijital Pazarlama konusunda uzmanlaşmış, ABD ve Avrupa arasında uluslararası bir deneyime sahiptir. Ayrıca son zamanlarda spor pazarlaması ve sağlık teknolojisi alanında iki proje başlattı: sırasıyla Teda ve son yıllarda hızla yaygınlaşan bir gerçeklik olan Sağlıklı Virtüöz.
Şubat 2022’de Ermes ekibine Baş Pazarlama Sorumlusu olarak katıldı ve şirketin yenilikçi güvenlik sistemiyle ilgili bilgi ve farkındalığı yaymayı amaçlayan girişimlerine liderlik etti ve şirketin yakın zamanda üstlendiği uluslararası büyüme yönüne yanıt vermek için kurumsal pazarlamanın büyük ölçekli genişlemesini teşvik edecek.
https://www.linkedin.com/in/lorenzo-asuni/?originalSubdomain=it