Kimlik avı, kalıcı bir tehlike olmaya devam ediyor. Tehdit aktörlerinin hassas kullanıcı kimlik bilgilerini hedef aldığı ve kötü amaçlı yazılım dağıttığı e-posta tabanlı bir siber tehdittir.
APWG’nin 2024’ün 1. çeyreğine ilişkin Kimlik Avı Etkinliği Trendleri Raporu’nda son dönemde 963.000’den fazla saldırı tespit edildi.
Ticari E-posta Tehlikeye Atma (BEC) dolandırıcılığında, işlem başına ortalama havale talebinde %50 artışla 84.000 ABD Doları görüldü.
Bu artış, siber suç ekonomisinde kimlik avının rolünü vurguluyor ve kimlik avına karşı yenilikçi önlemlere ihtiyaç duyulduğunu gösteriyor.
LevelBlue Labs’daki siber güvenlik araştırmacıları yakın zamanda kimlik avı mesajlarının e-posta filtrelerini nasıl aştığını açıkladı.
Teknik Analiz
Güvenlik önlemlerinden kaçınmak için tehdit aktörleri karmaşık kaçınma teknikleri kullanırlar ve bunlar arasında şunlar gibi çok adımlı planlar bulunur:
- E-posta ile sesli dolandırıcılık (vishing).
- Kötü amaçlı OneNote belgelerini dağıtmak için tehlikeye atılmış SharePoint hesaplarının kullanılması.
- (@yahoo.com) gibi meşru kişisel hesaplardan hedefli kimlik avı e-postaları göndermek.
Sadece bunlar da değil, aynı zamanda sosyal mühendislik kullanıyorlar, aciliyet duygusu yaratıyorlar ve meşru görünmek için güvenilir alan adlarından yararlanıyorlar.
Teknik açıdan SEG’lerin sınırlamalarından yararlanıldı, SPF/DKIM/DMARC kontrollerinden geçildi, geçerli SSL sertifikaları kullanıldı ve hacim tabanlı filtreler tarafından tespit edilmekten kaçınmak için küçük gruplar hedeflendi.
Bunun yanı sıra, OSINT teknikleri tehdit aktörleri tarafından da kullanılabilir, çünkü bu onların saldırılarını kişiselleştirmelerine olanak tanır ve veri aracısı kaldırma hizmetlerini potansiyel kurbanlar için değerli hale getirir. Tehdit aktörleri, gelişmiş TTP’lerin yardımıyla e-posta güvenlik ağ geçitlerini (SEG’ler) atlatır.
Bunlardan biri, bir yerine iki “Merkezi Dizin Sonu” (EOCD) girişi içeren ZIP arşivlerinin düzenlenmesini içeriyor.
Bu sayede zararlı içerikleri masum görünen bir dosyanın içine gizleyebiliyorlar.
Bunun yanı sıra, bazı SEG’ler yalnızca bilgi çalan kötü amaçlı yazılımların kurbanlarının sistemlerine bulaşmasını sağlayan zararsız “sahte” öğeyi inceler.
Bir diğer taktik ise e-postanın kaynak kodundaki metni tersine çevirmek, böylece son görüntünün daha da güzelleşmesini sağlamak.
Şimdi bu noktada, metni tersine çevirmek için farklı yön akışlarını (soldan sağa veya sağdan sola) kullanan bu yaklaşım, Latin ve Arap alfabelerini birleştirmek için CSS’yi kullanabilir.
Tüm bu yöntemler, bilinen kimlik avı şablonlarıyla eşleşmeyerek kötü amaçlı içeriğin tespit edilmekten kaçmasına olanak tanır ve bu senaryo, kullanıcıları gelişen kimlik avı girişimlerini tespit etmede dikkatli olmaya teşvik eder.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial