Phish Olun: Saldırganlar Güvenlikten Kaçmak İçin HTML Dosyalarından Nasıl Yararlanır?


Müşteri Başarısı ve Olaylara Müdahaleden Sorumlu Başkan Yardımcısı Motti Elloul,

E-posta kimlik avı dolandırıcılıkları yeni bir şey değil. Ancak giderek daha yaygın ve karmaşık hale geliyorlar – her gün kimlik avı e-postaları gönderiliyor ve bunları gizlemek için kullanılan taktikler yalnızca daha sinsi hale geliyor.

Örnek bir durum: Perception Point adlı şirketimizin Olay Müdahale ekibi kısa bir süre önce, kötü amaçlı komut dosyalarını gizlemek için HTML dosyalarını kullanan, bundan şüphelenmeyen kullanıcıları kandırarak kimlik bilgilerini girmeye ve hassas kişisel verileri ifşa etmeye yönelik yeni bir kimlik avı kampanyası keşfetti.

Bu en son saldırı stratejisi, ilk savunma hattı olarak hareket eden e-posta güvenliğinin öneminin altını çiziyor ve kurumsal kullanıcıların gelen kutularına gelen son derece aldatıcı tehditleri tespit etmek ve düzeltmek için ne kadar kapsamlı çözümlerin gerekli olduğunu vurguluyor. Bu çözümler, çalışanların yükünü hafifleterek insan hatası olasılığını azaltabilir, ancak doğal olarak yine de genel olarak dikkatli olmaları gerekir.

Saldırı Nasıl Çalışır?

Bu yeni tanımlanan kimlik avı dolandırıcılığında, bir saldırgan şirketle ilgili acil bir ödeme talebi kılığında HTML eki içeren bir e-posta gönderir. HTML dosyasını açtıktan sonra kullanıcı, kimlik bilgilerini girmelerinin istendiği sahte bir Microsoft oturum açma sayfasına yönlendirilir.

Bu saldırı tipik bir kimlik avı modeli gibi görünse de, belki de göründüğünden daha akıllıdır, çünkü gelişmiş algılama yöntemlerini atlatabilir ve işte nedeni budur.

Standart e-posta güvenlik sistemleri HTML ekini taradığında, genellikle açıkta bıraktıkları tek şey Base64 kodlu nesnedir. Bununla birlikte, eki Perception Point’in çözümü aracılığıyla çalıştırırken, diğer platformların gözden kaçırabileceği içeriğin %100’ünü dinamik olarak tararken, nesnenin kodu çözüldükten sonra, nesnenin URL olarak kodlanmış bir SVG dosyasına yol açtığı keşfedildi. Yalnızca dosyanın kodu ikinci kez çözüldüğünde, kimlik bilgisi hırsızlığına yönelik gizlenmiş bir komut dosyası açığa çıktı.

Katmanları Geri Çekmek

Kodun içine giren Olay Müdahale ekibindeki araştırmacılar, yüklenen CSS’nin kaynağının yanı sıra URL’de kimlik bilgilerini çalma amaçlı gizlenmiş komut dosyasını bulmayı başardılar. Ekip, saldırının her adımından geçerek, yükün nereye gönderildiğini ve teslim yöntemini belirlemek için komut dosyasında kullanılan ilk URL’yi elde edebildi: saldırının, bilgisayara bir POST isteği göndermek için tasarlandığını keşfettiler. kurbanın kimlik bilgilerini bir JSON (JavaScript Object Notation) biçim dosyası olarak göndermeden önce çıkarılan URL.

Araştırmacılar ayrıca, saldırıda ‘b’ olarak işaretlenen değişkenin tüm CSS base64’ü kodladığını buldu. Araştırmacılar, kodu çözülmüş birkaç değişkeni daha inceledikten sonra oturum açmanın HTML’sini keşfettiler. Daha sonra, saldırının bu noktasında bilgisayar korsanının, Base64 kodlu bir “btype” değişkeni kullanarak girilen kimlik bilgilerini çalmak için bir komut dosyası kullanacağını belirlediler. Bir dizi kod çözme işleminden sonra URL adresinin biraz eksik olduğu ortaya çıksa da, araştırmacılar komut dosyasının onu tamamlamak için ‘h’ harfini ekleyerek telafi edeceğini gördüler. Bu, kimlik bilgilerini çalma amacını ifade eden, gizlenmiş bir komut dosyasını barındırmayı uygun hale getirdi.

Bu saldırının karmaşıklığı endişe verici olsa da, muhtemelen buna benzer sayısız saldırı vardır. Ne yazık ki, e-posta güvenlik sistemlerinin çoğu, bu karmaşık katmanları soyma kapasitesinden yoksundur.

Phish’i Yakala

Bu kimlik avı tehditlerinin ne kadar ele geçmez hale geleceğini bilemeyiz – bu en yeni saldırı kampanyası kesinlikle türünün son örneği olmayacak. Aslında, Perception Point’in son verilerine göre Siber Güvenlik Eğilimleri Raporugelişmiş kimlik avı saldırıları 2022’de %436 oranında fırladı.

Çalışanların e-posta tabanlı süreçlerine ve görevlerine dikkatli ve dikkatli bir şekilde yaklaşmaları hala iyi bir uygulama olsa da, en ince ayrıntıları bile algılamak için görüntü tanıma teknolojilerinden yararlananlar gibi çok katmanlı güvenlik çözümlerini proaktif olarak devreye almak kuruluşlarının çıkarınadır. kimlik avı dolandırıcılığı. Kuruluşlar, olay müdahale hizmetlerini siber güvenlik çözümlerine entegre ederek, kimlik avı saldırılarının faillerine etkili bir şekilde karşı koyarak saldırıları önleme ve düzeltme konusunda anında destekten yararlanır.

reklam



Source link