Güvenlik araştırmacıları, oturum çerezlerini çalmak ve çok faktörlü kimlik doğrulama (MFA) korumalarını atlatmak için oturum açma akışlarını kesen, ortadaki saldırgan kimlik avı araç seti Evilginx’ten yararlanan artan siber saldırı dalgası hakkında acil uyarılarda bulunuyor.
Tehdit özellikle saldırganların endişe verici başarı oranları gösterdiği eğitim kurumlarında ciddi boyutlara ulaşıyor.
Evilginx, kendisini gerçek zamanlı olarak kullanıcılar ve meşru web siteleri arasında konumlandırarak cerrahi hassasiyetle çalışır.
Araç seti, kurbanları kaba sahte sitelere yönlendirmek yerine gerçek oturum açma akışını aktararak hiçbir alarm tetiklemeyen kusursuz bir deneyim yaratıyor.
Kullanıcılar, bankalarıyla, e-posta sağlayıcılarıyla veya şirketlerinin tek oturum açma portalıyla doğrudan iletişim kurduklarını düşünerek kimlik bilgilerini ve MFA kodlarını girerler.
Gerçekte, MFA’nın başarılı bir şekilde tamamlanmasından sonra web sitelerinin yayınladığı oturum çerezi de dahil olmak üzere her tuş vuruşu yakalanıyor.
Oturum Çerezi Sorunu
Oturum çerezleri kolaylık sağlamak üzere tasarlandıkları için cazip bir hedefi temsil ederler. Bu geçici kimlik doğrulama belirteçleri, göz atma oturumu süresince geçerli kalır ve tekrarlanan oturum açma ihtiyacını ortadan kaldırır.
Saldırganlar, Evilginx tarafından yakalandıktan sonra, ek MFA istemlerini tetiklemeden aktif oturumları sürdürmek için bu çerezleri yeniden kullanabilir.
Finansal platformlarda veya kurumsal sistemlerde bu, saldırganlara yetkisiz işlemler gerçekleştirmek, güvenlik ayarlarını değiştirmek, hassas verileri sızdırmak veya dahili ağlar üzerinden yanal olarak hareket etmek için kalıcı erişim sağlar.
Oturum çerezleri ile kalıcı çerezler arasındaki farkın burada pek önemi yoktur. Oturum çerezlerinin süresi tarayıcılar kapatıldığında teknik olarak sona ererken, saldırganlar oturumları doğal süre sonu veya manuel iptal gerçekleşene kadar süresiz olarak canlı tutabilir.
Bu fırsat penceresi yüksek etkili operasyonlar için yeterlidir.
Metodoloji basit ama etkilidir. Saldırganlar, meşru kimlik doğrulama platformlarını yansıtmak üzere tasarlanmış Evilginx proxy sayfalarına bağlantılar dağıtır.
Şüphelenmeyen kurbanlar tıklar, normal bir şekilde kimlik doğrulaması yapar ve yanlışlıkla yalnızca kullanıcı adlarını ve parolalarını değil, aynı zamanda kriptografik olarak geçerli oturum kimlik bilgilerini de teslim eder.
Bankalar ve ödeme işlemcileri, fon transferleri gibi yüksek riskli eylemlerden önce ek MFA doğrulaması gerektiren aşamalı kimlik doğrulama yoluyla bu durumu kısmen hafifletiyor.
Eğitim ortamları ve kurumsal ortamlar genellikle bu ikincil sürtüşme noktalarından yoksundur ve bu da onları sürekli tavizlere karşı savunmasız hale getirir.
Tespit İkilemi
Evilginx’in gelişmişliği geleneksel güvenlik tavsiyelerini alt ediyor. Şifreleme orijinal olduğundan asma kilit simgesi mevcuttur.
Trafik gerçek sunucular üzerinden yönlendirildiği için URL’ler doğru görünüyor. Otomatik güvenlik kontrolleri, davranışın yasal kullanımdan ayırt edilememesi nedeniyle zorluk çıkarıyor.
Dahası, saldırganlar sık sık kısa ömürlü bağlantılar kurarak, engellenenler listeleri doldurulmadan bunların ortadan kaybolmasını sağlar.
Kuruluşların ve bireylerin katmanlı savunmaları benimsemesi gerekiyor. Web bileşenleriyle gerçek zamanlı kötü amaçlı yazılımdan koruma, kusurlu olsa da davranışsal algılama yetenekleri sağlar. Evilginx oturum seviyesinde çalıştığı için şifre yöneticileri sınırlı koruma sağlar.
Kimlik avına karşı dirençli kimlik doğrulama, özellikle belirli cihazlara kriptografik olarak bağlanan donanım güvenlik anahtarları veya geçiş anahtarları, bunlar yalnızca yakalanan kimlik bilgileriyle yeniden yürütülemeyeceğinden en sağlam savunmayı temsil eder.
Bireyler beklenmedik kimlik doğrulama bağlantılarını incelemeli, tıklamadan önce gönderenin meşruiyetini doğrulamalı ve dolandırıcılık tespit araçlarını kullanmayı düşünmelidir.
Şüphelenilen güvenlik ihlali durumunda acil eylem şarttır: tüm etkin oturumları iptal edin, MFA ile yeniden kimlik doğrulama yapın, parolaları sıfırlayın ve hesap kurtarma ayarlarını denetleyin.
Evilginx tehdidi, MFA’nın güvenliği önemli ölçüde artırırken, kapsamlı çok katmanlı savunmalar ve kullanıcı dikkati olmadan eksik kaldığını gösteriyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.