Siber suçlular, otomatik güvenlik filtrelerinden kaçmak için e-posta konu satırlarına yerleştirilmiş görünmez karakterlerden yararlanan karmaşık bir kimlik avı tekniği geliştirdi.
Bu saldırı yöntemi, insan okuyucular için meşru görünürken kötü niyetli niyeti gizlemek için Unicode yumuşak tirelerle birleştirilmiş MIME kodlamasından yararlanır.
Bu teknik, anahtar kelime tespitine ve kalıp eşleştirmeye dayanan e-posta filtreleme mekanizmalarını hedef alan, sosyal mühendislik taktiklerinde bir evrimi temsil ediyor.
Saldırı, güvenlik araştırmacılarının, e-posta istemcilerinde olağandışı davranışlar sergileyen konu satırlarına sahip kimlik avı mesajları keşfetmesiyle ortaya çıktı. Mesaj listesinde görüntülendiğinde konu bozuk veya eksik görünüyordu, ancak e-posta açıldığında metin normal, okunabilir içerik olarak görüntülendi.
Bu tutarsızlık, tanınabilir anahtar kelimeleri ve kalıpları bölmek için konu satırı boyunca stratejik olarak yerleştirilmiş görünmez karakterlerin varlığını gösterdi.
Kampanya öncelikle sahte web posta giriş sayfaları aracılığıyla kimlik bilgileri hırsızlığını hedefliyor. Mağdurlar, genellikle güvenlik sistemlerini uyaran bu tetikleyici sözcükleri görünmez karakterlerin parçaladığı “Şifrenizin Süresi Dolmak Üzere” gibi konuları içeren e-postalar alıyor.
.webp)
Kimlik avı mesajları, alıcıları, oturum açma bilgilerini yakalamak için tasarlanmış genel kimlik bilgileri toplama portallarını barındıran, güvenliği ihlal edilmiş alanlara yönlendirir.
Internet Storm Center analistleri, işleyici gelen kutularına gönderilen kötü amaçlı mesajları incelerken bu tekniği tespit etti.
Bu keşif, yalnızca mesaj gövdeleri yerine, özellikle e-posta konu satırlarında, nispeten nadir görülen görünmez karakter gizleme uygulamasının altını çizdi.
Teknik Uygulama ve Kaçınma Mekanizması
Saldırganlar bu tekniği RFC 2047’de belirtildiği gibi MIME kodlu kelime formatı aracılığıyla uygular.
Konu satırı yapısı kodlanmış kelime = “=?” modelini takip eder. karakter kümesi “?” “?” kodlaması kodlanmış metin; burada içerik, Base64 biçiminde kodlanmış UTF-8 karakter kümesi verileridir.
Yakalanan örneklerin analizi, şu şekilde biçimlendirilmiş konu başlıklarını ortaya çıkardı: –
Konu: =?UTF-8?B?WcKtb3XCrXIgUMKtYXPCrXN3wq1vwq1yZCBpwq
=?UTF-8?B?dMKtbyBFwq14wq1wwq1pcsKtZQ==?=
Kodu çözüldüğünde dizeler, tek tek harfler arasına eklenen yumuşak kısa çizgi karakterlerini (Unicode U+00AD, HTML varlığı) içerir.
.webp)
Bu karakterler, Outlook da dahil olmak üzere çoğu e-posta istemcisinde görünmez kalır ve kullanıcılara normal şekilde görüntülenirken “şifre” gibi anahtar kelimeleri kod düzeyinde “şifre”ye etkili bir şekilde böler.
Bu teknik, konu satırlarının ötesine geçerek, yumuşak kısa çizgilerin içerik tarama motorlarını alt etmek için tüm kelimeleri böldüğü mesaj gövdelerine kadar uzanıyor.
Yakalanan kimlik avı URL’leri, genel web postası oturum açma arayüzleri olarak biçimlendirilmiş kimlik bilgileri hırsızlığı sayfalarını barındıran, güvenliği ihlal edilmiş meşru alanlara işaret ediyordu.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
