Kimlik avı saldırıları eskisi gibi değil. Bilgisayar korsanları artık kaba yazım hatalarına veya kabataslak e -posta adreslerine güvenmiyor. Bunun yerine, algılama araçlarını atlatmak ve temkinli kullanıcıları bile kandırmak için akıllı hileler kullanıyorlar.
Yakın zamanda çekilen gerçek örneklerle kimlik avı kampanyalarında giderek daha yaygın olan üç kaçırma tekniğini parçalayalım Any.Run Sandbox analizler.
1. QR kodlarında kötü niyetli bağlantıları gizleme
Doğrudan kimlik avı bağlantısı göndermek yerine, saldırganlar artık bağlantıyı bir QR kodunun içine yerleştirir, genellikle bir giriş istemi, ödeme bildirimi veya teslimat güncellemesi gibi zararsız bir şey olarak gizlenir.
.png
)
E -posta tarayıcılar için temiz görünebilir, ancak kullanıcı kodu telefonlarıyla taradığında, doğrudan bir kimlik avı sitesine götürülür.
İşte bu taktik bu kadar etkili ve tehlikelidir:
- E -posta filtreleri bağlantıyı “görmez” – QR kodları görüntüdür ve birçok tarayıcı içeriklerini çözmez veya analiz etmez. Dolayısıyla, gömülü bağlantı bir kimlik avı sayfasına yol açsa bile, tespit edilmemiş geçer.
- Mobil kullanıcılar daha savunmasız – Telefonunuzda bir QR kodunu taramak, bir masaüstünde bir bağlantının üzerinde gezinmek gibi tam URL’yi göstermez. Çoğu kullanıcı sadece dokunur ve devam eder.
- Kimlik avı sitesi son derece ikna edici görünebilir – Mağdurlar, kimlik bilgileri, kredi kartı numaraları veya 2FA kodları girmek için kandırılabilir, saldırganlara işletme e -posta hesaplarına, ödeme sistemlerine, dahili ağlara, kişisel ve kurumsal verilere erişim sağlar.
Neyse ki, tam olarak bu tür bir kaçak hile ile başa çıkabilen herhangi bir şey gibi çözümler var.
Bir QR kodu içeren bir kimlik avı e -postası veya dosya yüklediğinizde, sanal alan görüntüyü otomatik olarak algılar, kod çözer ve bağlantıyı çıkarır.
QR kodu ile analiz oturumunu görüntüleyin
Buraya oturuma başlamadan önce “otomatik etkileşim” seçeneğini etkinleştirdik. Bu, sanal alanının gerçek bir kullanıcı gibi davrandığı anlamına gelir.
QR’yi otomatik olarak tarar, gömülü bağlantıyı bir tarayıcıya açar ve manuel müdahaleniz olmadan captcha’yı çözer.
See through phishing tricks in seconds. Access ANY.RUN with your 14-day trial and catch what other tools can’t -> Start your 14-day trial now Sonuç olarak, kurban kimlik bilgileri hırsızlığı için sahte bir Microsoft giriş sayfasına yönlendirilir.
Sandbox’ın içinde, Tüm saldırı zinciri saniyeler içinde ortaya çıkar, QR kodunu tespit etmekten kimlik avı sayfasını açmaya ve davranışı etiketlemeye kadar.
Karar açıktır: kötü niyetli etkinlik mevcuttur.
Herhangi bir.run, saldırının temel öğelerini gibi etiketlerle otomatik olarak etiketler “QR kodu,” “kimlik avı,” ve hatta kampanyaya özgü göstergeler gibi “Tycoon” uygulanabilir olduğunda.
Bu, analistlere manuel kazmaya ihtiyaç duymadan anında bağlam verir.
Tam tehdit akışını gerçek zamanlı olarak ortaya çıkararak, Tespit süresi saatlerden saniyelere düşerGüvenlik Ekiplerine Yardım:
- Şüpheli e -postaları veya dosyaları hızlı bir şekilde doğrulayın
- Yanlış pozitifleri kovalamaktan kaçının
- Bir kullanıcı tuzağa düşmeden önce harekete geçin
Kısacası, normalde derin manuel analiz gerektiren şey artık kanıtlar, etiketler ve davranış anlayışlarıyla anında ortaya çıkıyor.
2. Coğrafi garaj ve yönlendirme zincirleri
Bazı kimlik avı kampanyaları hemen ellerini göstermez. Doğrudan kötü niyetli içeriği ortaya çıkarmak yerine, önce kurbanı dikkatlice profille profille – Konum, tarayıcı ayarları, sistem ayrıntılarıve daha fazlası.
Ziyaretçi saldırganın hedef kriterlerine uyuyorsa, sessizce bir kimlik avı sitesine yönlendirilirler. Değilse? Tesla web sitesi gibi başka bir yere gönderilirler.
Tycoon2fa gibi kampanyalarda sıklıkla kullanılan bu teknik, saldırganların gizli ve hiper hedefli kalmasına yardımcı olur.
Bir Son Tycoon2FA Kimlik Yardım Kampanyasıbu koşullu yeniden yönlendirme büyük etki için kullanıldı.
İşte böyle çalıştı:
Kullanıcı bir sayfayı ziyaret eder (Kempigd[.]com) bu durumda) sessizce arka planda bir parmak izi komut dosyası çalıştırır.
Ziyaretçinin saldırganın hedef profiliyle eşleşip eşleşmediğini belirlemek için ekran çözünürlüğü, WebGL oluşturucu, eklentiler ve saat dilimi gibi ayrıntıları toplar.
Parmak izi eşleşmiyorsa, ziyaretçi bu durumda Tesla’nın resmi web sitesine, meşru bir siteye yönlendirilir. Bu, kimlik avı sayfasının rahat veya otomatik inceleme sırasında zararsız görünmesine yardımcı olur.
Tesla Web Sitesi’nin herhangi birinde yeniden düzenlenmesini görüntüleyin. Run
Parmak izi eşleşirse, kullanıcı sessizce Microsoft 365 kimlik bilgilerini çalmak için tasarlanmış bir kimlik avı sayfasına yönlendirilir.
Microsoft Kimlik Yardım Sayfasıyla Analizi Görüntüle
RUN’un etkileşimli kum havuzu, analistlerin tehdidi patlatmak için hedeflenen GEO ile eşleşecek şekilde VM’nin IP ve diğer ağ ayarlarını hızla değiştirmesine olanak tanır.
Bu tür hızlı analiz, SOC takımlarının saatlerce manuel soruşturma tasarrufu sağlar:
- Bir yönlendirmenin tam olarak nasıl ve neden meydana geldiğini göstermek
- Standart tarama araçlarına görünmeyen kimlik avı denemelerini açığa çıkarma
- Bağlama özgü davranış etiketleriyle tehdidi onaylamak
3. Captcha tespiti geciktirmek için formlar
Kimlik avı sayfaları sadece gerçek siteleri taklit etmek için daha etkileşimli hale geliyor. Bazıları şimdi kullanıyor Captcha Zorlukları kasıtlı bir kaçış adımı olarak.
Bu formlar, botları, tarayıcıları ve otomatik güvenlik araçlarının gerçek kötü niyetli içeriğe ulaşmasını engellemek için tasarlanmıştır.
Saldırı zincirinin önüne bir captcha yerleştirerek, tehdit aktörleri tespiti geciktirebilir ve hatta tamamen önleyebilir.
Bu teknik şu şekilde çalışır:
- Bir kimlik avı e -postası veya belgesi görünüşte temiz bir bağlantıya yol açar.
- Açıldıktan sonra kullanıcıya bir CAPTCHA Mücadelesi sunulur.
- Sadece çözdükten sonra gerçek kimlik avı sayfası yükünü yapar, genellikle Microsoft 365 gibi hizmetleri taklit eder.
Captcha ile tam kum havuzu oturumunu görüntüleyin
Tam akışı simüle etmek için etkinleştirdik otomatik etkileşim herhangi birinde. Bu, kum havuzunun captcha’yı gerçek bir kullanıcının yaptığı gibi çözmesine izin verdi ve saldırının bir sonraki aşamasını manuel giriş olmadan ortaya çıkardı.
Form tamamlandıkça, kurban sessizce bir Sahte Microsoft Giriş Sayfası.
Özellikle, Arka plan görüntüsü de değişirsıklıkla ince tasarım kusurlarından otantiklik ve dikkat dağıtma yanılsamasını güçlendirmek için kullanılan bir taktik.
Otomatik araçlar genellikle statik analizde durduğundan bu tür gelişmiş analiz önemlidir. Captchas’ta gezinemezler, yani bundan sonra ne olduğunu asla görmezler. Ama herhangi biriyle. Run:
- Kapsül sonrası tam davranışı kaydedildi
- Kötü niyetli yönlendirmeler ve kimlik avı mantığı ortaya çıkarıldı
- Analistler akışı manuel olarak yeniden üretme zamanını boşa harcamıyor
Tek bir tıklamayla, ekipler kaçan kimlik avı girişimlerini doğrulayabilir ve o captcha duvarının arkasında ne gizli olduğunu tahmin etmeden yanıtta daha hızlı hareket edebilir.
Son Düşünceler: Saniyeler içinde maruz kalan kaçak taktikler
Kimlik avı saldırıları daha sofistike hale geldikçe, geleneksel algılama yöntemlerinin yeterli olmadığı açıktır.
QR kodu gizleme, coğrafi gerekçelenmiş yönlendirmeler ve captcha tabanlı gecikmeler gibi teknikler statik tarayıcıların ve atık analistlerinin zamanını geçecek şekilde tasarlanmıştır.
Ancak herhangi bir şey gibi çözümlerle, karmaşık saldırı akışlarını yeniden üreten saatleri tahmin etmek veya boşa harcamak zorunda değilsiniz.
- Kaçış Kimlik avı taktiklerini gerçek zamanlı olarak izleyin
- Kötü amaçlı bağlantılar, alanlar veya yeniden yönlendirme zincirleri gibi göstergeleri otomatik olarak çıkarın
- Ne kadar iyi olursa olsun, kimlik avı davranışını anında tespit ve etiketleyin
- Araştırma süresini saatlerden saniyelere azaltın
- Ekibinizin, karara tam olarak güvenerek daha hızlı yanıt vermesini sağlayın
14 günlük denemenize şimdi başlayın Ve kimlik avı için gerçek görünürlüğün nasıl göründüğünü deneyimleyin.