Kimlik avı, bir saldırganın bir organizasyona sızması için en etkili yöntemdir. Bir saldırganın kimlik avı e-postası göndermesi için çeşitli saldırı yöntemleri ve teknikleri mevcuttur.
Öte yandan Outlook veya Gmail gibi e-posta istemcileri de kullanıcıları bilinmeyen bir e-posta aldıklarında uyarmak için güvenlik önlemlerine sahiptir.
Bu güvenlik önlemlerinden biri de, Outlook kullanıcılarının bilinmeyen bir göndericiden e-posta aldıklarında onları uyaran “İlk Temas Güvenlik İpucu”dur.
Bu uyarı kullanıcıyı şu şekilde uyarır: “Sık sık e-posta almazsınız.” [email protected]. Bunun neden önemli olduğunu öğrenin.”
Bu e-posta, birçok kullanıcının bilinmeyen göndericilerden veya kimlik avı e-postalarından kaçınmasına yardımcı olur. Bu özellik, Office 365 kullanan kuruluşlar tarafından kullanılabilen Exchange Online ve Microsoft Defender’da kimlik avına karşı koruma için kullanılabilen birçok yöntemden biridir.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access
Ancak araştırmacılar, bu uyarıyı aşmanın bir yolunu keşfettiler; bu yöntem, kimlik avı e-postasını daha meşru hale getirecek ve böylece kullanıcının içerik veya eklerle etkileşime girmesine olanak tanıyacak.
Outlook, bir HTML e-postasının gövdesine “İlk Temas Güvenlik İpucu”nu ekler. Bu, bir saldırganın CSS tarzı etiketler kullanarak kurban kullanıcıya görüntülenme biçimini değiştirebileceği anlamına gelir.
Kavram kanıtı, HTML e-postasındaki “İlk Temas Güvenlik İpucu” mesajını gizlemeyi içeriyordu. Araştırmacılar ayrıca arka plan ve yazı tipi renklerini beyaza çevirebilirdi, bu da uyarıyı son kullanıcıdan gizlerdi.
...[SNIP]...
Ayrıca araştırmacılar, Microsoft Outlook’un şifrelenmiş ve/veya imzalanmış e-postalara eklediği simgeleri de taklit edebildiler. Aşağıdaki kod, imzalanmış simgeleri taklit etmek için başka bir kavram kanıtıdır.
...[SNIP]...
#mainTable {
width: 100%;
z-index: 1;
margin-bottom: 1em;
}
#signedBy {
font-size: 0.9em;
}
.badge {
width: 2.8em;
text-align: right;
}
Signed By nimmerrichtermarc@gmail․com |
Aslında, “İmzalayan” dizesi [email protected]” normal bir nokta (.) kullanmaz. Bunun yerine, meşru resimlerin eklendiği Unicode karakteri U+2024’ü kullanır.
Bu unicode karakterinin kullanılması, Outlook’un bunu bir e-posta adresi olarak algılamasını ve bir süt Muhtemelen taklit etmeye çalıştığımız orijinal metinden farklı olan bir bağlantı.
Ancak dikkatli kullanıcıların biçimlendirmedeki farkı fark etme olasılığı oldukça yüksektir. Birçok kullanıcı buna fazla dikkat etmez ve kimlik avı saldırılarının kurbanı olur.
Microsoft’un cevabına göre Microsoft bu davranışa şimdilik bir çözüm getirmedi.
Microsoft’un araştırmacılara 14 Şubat 2024 tarihli cevabında, “Bulgunuzun geçerli olduğunu ancak bunun esas olarak kimlik avı saldırıları için geçerli olduğunu düşünürsek, anında hizmet verme çıtamızı karşılamadığını belirledik. Ancak, bulgunuzu yine de ürünlerimizi iyileştirmek için bir fırsat olarak gelecekteki inceleme için işaretledik.” denmektedir.
Tüm kullanıcıların kimlik avı e-postalarına daha fazla dikkat etmesi ve e-postalarda alınan biçim değişikliklerini veya kötü amaçlı bağlantıları araması önemlidir. Bilinmeyen bağlantılara tıklamayın veya bilinmeyen göndericilerden gelen ekleri indirmeyin.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide