DMARC, alan adı sahiplerinin “e-posta sahteciliği” ve “kimlik avı saldırıları” gibi yetkisiz kullanıma karşı korunmasına yardımcı olan bir e-posta kimlik doğrulama protokolüdür.
DMARC, “SPF” ve “DKIM” gibi mevcut protokollerden yararlanarak, alan sahiplerinin “DNS kayıtlarında”, alıcı sunucuların “kimlik doğrulama kontrollerinde başarısız olan” “e-postaları nasıl ele alması gerektiğini” belirleyen politikalar yayınlamasına olanak tanır.
Barracuda araştırmacıları yakın zamanda Kuzey Koreli APT bilgisayar korsanlarının kimlik avı saldırıları için DMARC yanlış yapılandırmalarından aktif olarak yararlandığını tespit etti.
Bilgisayar korsanları DMARC yanlış yapılandırmalarından yararlanıyor
Siber güvenlik ortamı, Kuzey Koreli bilgisayar korsanlığı grubu Kimsuky’nin, özellikle yanlış yapılandırılmış DMARC protokollerini hedef alarak, e-posta güvenliği açıklarından ileri düzeyde yararlanması nedeniyle yakın zamanda şoka uğradı.
Kuzey Kore’nin Genel Keşif Bürosu altında faaliyet gösteren bu APT grubu, “SPF” ve “DKIM” kontrolleri de dahil olmak üzere zayıf e-posta kimlik doğrulama sistemlerini atlayarak stratejik hedef odaklı kimlik avı kampanyaları başlattı.
Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free
Saldırıları öncelikle “düşünce kuruluşları”, “medya kuruluşları” ve “akademik kurumlar” ile uzlaşmaya odaklandı.
“Alan adı sahtekarlığı” teknikleri nedeniyle “meşru görünen” kötü amaçlı e-postalar hazırlayarak bunları hedeflerler.
.webp)
Bu kötü niyetli e-postalar, birçok kuruluşun katı ‘karantina’ veya ‘reddetme’ ayarları kullanmak yerine yetersiz DMARC politikaları (ya ‘yok’ olarak ayarlanmış ya da yanlış yapılandırılmış) uyguladığı için standart güvenlik önlemlerini başarıyla atlattı.
Bu güvenlik gözetimi, “Kimsuky”nin zararlı olabilecek içeriği doğrudan kullanıcıların gelen kutularına sunmasına olanak tanıdı.
Özellikle “dış politika” ve “nükleer konular” ile ilgili hassas bilgileri hedef aldıkları kaydedildi.
Bu olay, e-posta kimlik doğrulama protokollerindeki ‘teknik yanlış yapılandırmaların’, görünüşte “iyi korunan sistemlerde” bile nasıl önemli güvenlik açıkları yaratabileceğini gösteriyor.
Kimsuky grubu, kimlik avı saldırılarını hesaplanmış iki aşamalı bir e-posta stratejisi aracılığıyla gerçekleştiriyor.
Başlangıçta, hedefleriyle güven oluşturmak için “güvenilir kurumlar” gibi davranarak görünüşte meşru e-postalar gönderiyorlar.
Güven kazanıldığında, “virüslü ekler” veya “kötü amaçlı köprüler” yoluyla “kötü amaçlı yükler” içeren “takip e-postaları” göndererek “ikinci aşamayı” başlatırlar.
Saldırıları meşru e-posta sistemlerine başarıyla sızdıklarında özellikle güçlü hale gelir. Bu onların temel e-posta kimlik doğrulama protokollerinden kaçmalarını sağlar.
Bir örnekte, saldırıya uğramış yasal bir e-posta sistemi kullanmaları nedeniyle ‘SPF’ ve ‘DKIM’ doğrulamasını geçebilen bir “hedef kimlik avı e-postası” göndererek hedefleri “Kuzey Kore politika konferansına” davet ettiler.
Birçok kuruluş, tehditleri aktif olarak engellemeden yalnızca günlüğe kaydeden “yalnızca izleme” politikasını kolaylaştıran “DMARC” işlevini yanlış kullanıyor.
Bu, operasyonel e-posta adresleri etrafında “tehlikeli bir yanlış güvenlik algısı” yaratır ve bu tür kutuları, yasa dışı ve zararlı spam postaların tespit edilemeyeceği saldırılara açar.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Başarısız e-postalar için “karantinaya al” veya “reddet” seçeneğini kullanın.
- DMARC’nin gözden kaçırabileceği karmaşık tehditleri tespit etmek için yapay zeka odaklı e-posta korumasını kullanın.
- Düzenli kimlik avı simülasyonları gerçekleştirin.
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar