Abnormal Security’ye göre QR kodu saldırıları veya “susturma” saldırıları, siber suçlular arasında herhangi bir yavaşlama belirtisi olmaksızın popüler bir taktik olarak ortaya çıktı.
Kimlik avı e-postaları zaman içinde giderek karmaşıklaşsa da nihai amaç aynı kaldı: Hedefleri hassas bilgileri ifşa edecek şekilde kandırmak. QR kodu saldırıları, tehdit aktörlerinin sosyal mühendisliği kullanarak hedefleri kötü amaçlı QR kodlarıyla etkileşime girecek şekilde manipüle ettiği geleneksel kimlik avının en son evrimidir. Bunu yaparken, farkında olmadan saldırganın hesapların güvenliğini aşmasına ve daha fazla saldırı başlatmasına olanak tanıyan ayrıntılar sağlayabilirler.
2023’ün ikinci yarısında toplanan verileri inceleyen Abnormal, saldırganların tercih ettiği öldürme hedeflerini belirledi. Her çalışan risk altında olsa da, C-Suite yöneticilerinin QR kod saldırılarına maruz kalma olasılığı ortalama çalışana göre 42 kat daha fazlaydı.
QR kodları yeni ortaya çıkan ve daha az bilinen kötü amaçlı bir taktiktir
Siber suçluların hedef alabilecekleri favori bir sektör de var gibi görünüyor; inşaat ve mühendislik sektörü, diğer sektörlere göre 19 kat daha yüksek oranda söndürme saldırılarına maruz kalıyor. Ayrıca, 500 veya daha az posta kutusuna sahip küçük kuruluşlar da bu saldırılara diğer büyüklükteki şirketlerden 19 kat daha yüksek oranda maruz kalıyor.
Araştırma raporunda Abnormal, siber suçluların QR kodlu kimlik avı saldırıları gerçekleştirmek için kullandığı temel temaları da belirledi. En popüler olanları, çok faktörlü kimlik doğrulama ve paylaşılan belgelere erişimle ilgilidir; bu yaklaşımlar, tüm QR kodu saldırılarının sırasıyla %27 ve %21’ini oluşturur.
Bu örneklerin her birinde, tehdit aktörleri, alıcıları sahte bir e-postanın içindeki QR kodunu taramaya zorlamaya çalışır; bu e-posta, görünüşte meşru bir web sitesine bağlantılıdır ve daha sonra kurbandan oturum açma kimlik bilgilerini veya diğer hassas ayrıntıları girmesini ister. Fail daha sonra sağlanan kimlik bilgilerini hedefin hesabını tehlikeye atmak ve verileri çalmak, ek saldırılar başlatmak veya bağlı uygulamalara yanal olarak geçmek için kullanabilir.
Abnormal’ın CISO’su Mike Britton, “QR kodlarından yararlanmak, tehdit aktörleri için çekici bir saldırı tekniği haline geldi çünkü bunlar hem insan hem de teknoloji tabanlı tespitten kaçma konusunda etkili” dedi. “Çalışanlar uzun süredir şüpheli bağlantılara tıklamaktan kaçınmak için eğitilmiş olsa da, QR kodları yeni ortaya çıkan ve daha az bilinen, aynı düzeyde alarmı tetiklemesi muhtemel olmayan kötü niyetli bir taktiktir. Geleneksel e-posta tehditlerinden farklı olarak, sonlandırma saldırıları minimum düzeyde metin içeriği içeriyor ve belirgin bir URL içermiyor; bu da eski güvenlik araçlarının bir saldırıyı tespit etmek için analiz edip kullanabileceği sinyallerin sayısını önemli ölçüde azaltıyor.”
BEC ve VEC saldırıları artmaya devam ediyor
Raporda ayrıca iş e-postası ihlali (BEC) ve satıcı e-postası ihlali (VEC) saldırılarının önemli ölçüde arttığı, BEC sıklığının iki katına çıktığı ve VEC’nin yıldan yıla %50 arttığı ortaya çıktı.
BEC saldırıları 2022’den 2023’e yüzde 108 arttı. Bu saldırıların oranı, 1.000 posta kutusu başına aylık ortalama 14,57 saldırı ile Ekim ayında zirveye ulaştı.
Daha büyük kuruluşlar en yüksek BEC saldırı olasılığına sahiptir. 50.000’den fazla çalışanı olan kuruluşların her hafta en az bir BEC saldırısı yaşama şansı neredeyse %100’dür. Ancak her büyüklükteki kuruluş risk altındadır; 1.000’den az çalışanı olan kuruluşların bile haftada en az bir BEC saldırısına uğrama olasılığı %70’tir.
İnşaat ve perakende sektörleri VEC’in en çok hedef aldığı sektörler. İnşaat ve mühendislik sektöründeki kuruluşların %76’sı 2023’ün ikinci yarısında en az bir VEC saldırısına maruz kalırken, aynı dönemde perakendecilerin ve tüketim malları üreticilerinin %66’sı hedef alındı.
2023’te her ay VEC tarafından hedef alınan kuruluşların yüzdesi hiçbir zaman %32’nin altına düşmedi; bu da tehdit aktörlerinin gelişmiş saldırılarda üçüncü tarafları taklit ederek başarı elde etmeye devam ettiğini gösteriyor.
Britton şöyle devam etti: “Günümüzün kuruluşları, hem kötü amaçlı QR kodları gibi yeni ortaya çıkan taktiklerin artmasıyla, hem de sosyal mühendislik ürünü BEC ve VEC saldırılarının devam eden büyümesiyle, gelişmiş saldırıların baskısını hissediyor. Bu tehditler yalnızca artmakla kalmıyor, aynı zamanda sürekli gelişiyor ve kuruluşları ve çalışanlarını hiç beklemedikleri şekillerde hedef alıyor. Ne yazık ki, güvenlik farkındalığı eğitimi yeterli değil çünkü bu taktikler daha hızlı gelişiyor ve siber suçlular insan davranışlarını hedef almak için yeni yöntemler buluyor. Bu nedenle, güvenlik liderlerinin modern siber suçlara ayak uydurmak ve bir adım önde olmak için kuruluşlarını en gelişmiş ve uyarlanabilir tehdit algılama araçlarıyla donatmaları her zamankinden daha önemli.”