Tehdit aktörleri, geleneksel e-posta savunmalarını tamamen atlatan gelişmiş tekniklerden yararlanarak Outlook ve Google posta kutularını sistematik olarak endişe verici bir başarıyla ele geçiriyor.
VIPRE’nin 2025 3. Çeyrek E-posta Tehdit Raporuna göre, kimlik avı saldırılarının %90’ından fazlası özellikle bu iki baskın e-posta ekosistemini hedef alıyor; bu, operasyonel karmaşıklığı en aza indirirken etkiyi en üst düzeye çıkarmak isteyen saldırganların hesaplanmış bir stratejik değişimini temsil ediyor.
Veriler rahatsız edici bir gerçeği ortaya koyuyor: Teknik savunmalar güçlendikçe saldırganlar güvenilir altyapıyı kendilerine karşı silahlandırarak adapte oldular.
Siber suçlular, en son teknolojiye sahip kötü amaçlı yazılımları veya sıfır gün saldırılarını dağıtmak yerine, benzeri görülmemiş bir karmaşıklıkla uygulanan aldatıcı derecede basit taktikler kullanıyor.
Gmail ve Outlook dahil olmak üzere ücretsiz e-posta hizmetleri, 3. çeyrekte gözlemlenen tüm spam kampanyalarının %32’sini oluşturuyordu. Saldırganlar, yüksek teslim edilebilirlik oranlarını korumak için bu platformların doğal güvenilirliğinden ve kolay hesap rotasyonundan yararlanıyordu.
Kaçınma Taktikleri
En endişe verici trend, açık yönlendirmeler olarak çalışan, güvenliği ihlal edilmiş URL’leri içeriyor. Bu saldırılar meşru alan adlarıyla başlar ancak sunuculara kullanıcıları kötü amaçlı hedeflere yönlendirme talimatı veren parametreler eklenir.
Rapora göre, kimlik avı bağlantılarının %90,5’i bu açık yönlendirme tekniğini kullanırken, yalnızca %7,3’ü doğrudan kötü amaçlı bağlantıları kullanıyor.
Bu ayrım önemli ölçüde önemlidir: Açık yönlendirmeler, meşru alan adlarının güvenilir itibarından yararlanır ve onları yalnızca yüzey düzeyindeki URL’leri tarayan standart e-posta güvenlik araçları için neredeyse görünmez hale getirir.
Kimlik Avı, Dolandırıcılık ve Kötü Amaçlı Yazılım.
Ayrıca, tehdit aktörleri 3. çeyrekte benzeri görülmemiş oranlarda yeni alan adları kaydettirdi; Temmuz ve Ağustos ayları arasında yeni kaydedilen alan adı oluşturma sayısında üç kat artış yaşandı.
Bu tek kullanımlık altyapı öğeleri, kampanyaların hızlı başlatılmasını ve ardından güvenlik ekiplerinin reddetme listelerini uygulamaya koymasıyla hızlı bir şekilde devre dışı bırakılmasını sağlar; saldırganların reaktif savunmalardan bir adım önde olmasının klasik bir örneği.
İş E-posta Güvenliği (BEC) saldırıları, tüm kötü amaçlı e-postaların %51’ini oluşturarak en tehlikeli tehdit kategorisi konumunu koruyor.
Yan yana bir karşılaştırma, her üç ayda bir takip ettiğimiz temel kimlik avı ölçümlerindeki eğilimleri en iyi şekilde gösterir.
BEC’i özellikle sinsi yapan şey, sosyal mühendislik bileşenidir: Kimliğe bürünme taktikleri, BEC girişimlerinin %63’ünü oluşturur; saldırganlar, e-posta tabanlı tespit sistemlerinden tamamen kaçınmak için konuşmaları giderek daha fazla WhatsApp gibi izlenmeyen kanallara aktarır.
Rapor, CEO’ların en çok taklit edilen kişiler olmaya devam ettiğini, ardından BT personelinin, İK departmanlarının ve yöneticilerin geldiğini belgeliyor.
Saldırganlar, finansal süreçler, İK işlevleri ve gizli iletişimler etrafında yüksek hedefli senaryolar oluşturur; bunların tümü, baskı altındaki insan muhakemesini atlatmak için tasarlanmış yüksek acil senaryolardır.
Kimlik Bilgisi Toplama Operasyonu
Kimlik avı ekleri başka bir kritik güvenlik açığını ortaya çıkarıyor. Rapor, kimlik avı eklerinin %90’ının özellikle Outlook’u veya Google’ı hedef aldığını, saldırganların iş belgeleri olarak örtülü meşruiyet taşıdıkları için PDF eklerini tercih ettiğini ortaya çıkardı.
Analiz edilen e-postaların önemli bir kısmı yapay zeka tarafından oluşturuldu; bu da tehdit aktörlerinin spam ve kimlik avı mesajlarını daha inandırıcı hale getirmek için otomatik içerik oluşturmayı giderek daha fazla kullandığını gösteriyor.
Temmuz ile ağustos ayları arasında ve daha sonra ağustos ile eylül ayları arasında NRD yaratımında üç kat artış oldu.
Kimlik bilgisi toplama, bu kampanyaların tüm odağını oluşturuyor; tehdit aktörleri, standart POST yerine veri sızdırma için Fetch API yöntemini giderek daha fazla kullanıyor ve alana daha karmaşık tehdit aktörlerinin girdiğini gösteren teknik bir evrim talep ediyor.
Altyapı boşlukları oldukça derin. VIPRE’nin üç ayda bir 1,8 milyar e-postayı işlemesi ve 234 milyon e-postayı spam olarak tespit etmesiyle kötü amaçlı e-postalar geçen yıla göre %13 arttı.
Ancak, yalnızca korumalı alan oluşturma yoluyla yakalanan yaklaşık 150.000 yeni keşfedilen kötü amaçlı ekten oluşan gerçekten tehlikeli alt küme, geleneksel içeriği ve bağlantı tabanlı filtreleri atlayacak saldırıları temsil ediyor.
Tehdit aktörleri Apple’ın TestFlight beta dağıtım platformunu kullanarak
Hedeflenen kullanıcılara kötü amaçlı iOS yapıları dağıtın.
Coğrafi dağılım sorunu daha da karmaşık hale getiriyor. Spam’ların %60’ından fazlası ABD IP adreslerinden kaynaklanmaktadır; bunun nedeni saldırıların Amerika’dan gelmesi değil, saldırganların, şüpheli uluslararası kaynakları işaretlemek için tasarlanmış güvenlik filtrelerini atlayan güçlü itibar puanlarına sahip ABD merkezli sunucuları kasıtlı olarak kiralamasıdır.
Eski e-posta güvenlik araçlarına güvenen kuruluşlar rahatsız edici bir gerçekle karşı karşıyadır: imza tabanlı algılama ve statik reddetme listelerinin geçerliliğini yitirmiştir.
Saldırı ortamı artık davranışsal analiz, gerçek zamanlı korumalı alan oluşturma ve tehditleri tıklama anında tanımlayabilen yapay zeka odaklı tespit gerektiriyor.
Şirketler, saldırganların kurumsal sistemlere kalıcı erişim elde ettiği kritik başarısızlık noktasını ele geçirmeyi hesaba katarak kimlik bilgilerinin tehlikeye atılmasını önlemek için zorunlu çok faktörlü kimlik doğrulamayı uygulamalıdır.
Başarılı saldırıların teknik zayıflıklardan ziyade insan psikolojisinden yararlandığını gösteren 3. çeyrek verileriyle birlikte, teknoloji ve kullanıcı eğitimini birleştiren katmanlı savunma yaklaşımı, önerilen uygulamadan kurumsal gerekliliğe dönüştü.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.