Siber güvenlik araştırmacıları, “Quinging” olarak bilinen bir taktik olan QR kodlarından yararlanan kimlik avı saldırılarında artan bir eğilim belirlediler.
Bu saldırılar, kullanıcıları özellikle Microsoft hesaplarını hedefleyen hassas kimlik bilgilerini ortaya çıkarmak için aldatmak için akıllı telefonların yaygın kullanımından yararlanmaktadır.
Son bulgulara göre, saldırganlar geleneksel güvenlik önlemlerini atlamak ve kurbanları kimlik avı sitelerine yönlendirmek için QR kodlarına kötü amaçlı URL’leri yerleştiriyorlar.
Tıklanabilir bağlantılar içeren geleneksel kimlik avı e -postalarının aksine, QRing, akıllı telefonlarıyla QR kodlarını tarayan kullanıcılara dayanır.
Bu yaklaşım sadece e -posta ağ geçidi korumalarını yapmakla kalmaz, aynı zamanda kişisel cihazlarda bulunan daha zayıf güvenlik kontrollerinden de yararlanır.
Kimlik avı kampanyaları, sağlık hizmetleri, otomotiv, enerji ve eğitim dahil olmak üzere çeşitli endüstrilerde ABD ve Avrupa’da önemli bir mevcudiyetle gözlemlenmiştir.
Saldırı Mekanizmaları
Quinging saldırıları, kötü niyetli niyetlerini gizlemek için sofistike teknikler kullanır. Saldırganlar genellikle meşru web sitelerinin yeniden yönlendirme mekanizmalarını kullanır veya nihai kimlik avı hedefini maskelemek için yönlendirme güvenlik açıklarını kullanırlar.
Örneğin, QR kodlarından çıkarılan URL’ler sıklıkla güvenilir görünen ancak sonuçta kullanıcıları kimlik avı sayfalarına yönlendiren alanlar içerir.
Bu yönlendirmeler, güvenlik tarayıcılar tarafından algılamadan kaçınmak ve kullanıcıların kötü amaçlı bağlantıları tanımlamasını zorlaştırmak için tasarlanmıştır.
Bir başka dikkate değer taktik, yeniden yönlendirme işlemi sırasında Cloudflare Turnstile gibi insan doğrulama mekanizmalarının entegre edilmesini içerir.
Rapora göre, bu adım sadece kimlik avı girişimine meşruiyet katmakla kalmaz, aynı zamanda otomatik algılama sistemlerini de karmaşıklaştırır.
Yeniden yönlendirildikten sonra, kurbanlara Microsoft 365 veya SharePoint gibi meşru hizmetleri taklit eden sahte oturum açma sayfaları sunulur.
Bu sayfalar genellikle bir özgünlük yanılsaması oluşturmak ve kullanıcıları şifrelerini girmeleri için istemek için e-posta adresleri gibi kullanıcı bilgilerini doldurur.
Bu saldırılarla ilişkili uzlaşma göstergeleri (IOC’ler) şunlardır:
- Kötü amaçlı URL’lere bağlı gömülü QR kodları içeren PDF’ler
- Meşru alanlardan yararlanan URL’leri yeniden yönlendirin (örn. Google Rehirects)
- Kullanıcı hesabı ayrıntılarıyla önceden nüfuslu sahte oturum açma sayfaları
Uzaklaştırılmış dosyaların karmaları ve kimlik avı URL’leri örnekleri, araştırmacılar tarafından daha fazla analiz ve azaltma çabaları için belgelenmiştir.
Hedeflenen Kimlik Bilgisi Hasat
Bu saldırıların ilgili bir yönü, hedefleme ve özelleştirme düzeyidir.
Araştırmacılar, saldırganların saldırı öncesi keşiflere dayalı olarak kimlik bilgilerini seçici olarak topladıklarını gözlemlediler.
Sahte oturum açma sayfalarında yanlış kimlik bilgileri giren mağdurlar hata mesajlarıyla karşılanır, bu da saldırganların önceden tanımlanmış bir hedef listesine karşı girdileri doğruladığını gösterir.
Bu sofistike düzeyde, kimlik avı girişimlerinin belirlenmesinde uyanıklığın önemini vurgulamaktadır.
Quing saldırılarıyla mücadele etmek için kuruluşlar, kötü niyetli yönlendirmeleri tespit edebilen URL filtreleme ve DNS güvenlik çözümleri gibi gelişmiş güvenlik önlemleri uygulamalıdır.
Çalışan eğitim programları, bilinmeyen kaynaklardan QR kodlarını tararken dikkatli olunmalı ve hassas bilgilere girmeden önce URL’lerin doğrulanmasını teşvik etmelidir.
Ayrıca, kuruluşlar kurumsal kaynaklara erişmek için kullanılan kişisel cihazları izlemek için uç nokta güvenlik araçları dağıtabilir.
Bireyler ve organizasyonlar, yetersiz bireyler ve kuruluşlar gibi gelişen tehditler hakkında bilgilendirilerek kendilerini kimlik hırsızlığı ve diğer siber risklere karşı daha iyi koruyabilirler.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!