Bilgisayar korsanları, Delta Airlines ve perakende satıcısı Kohl’s’ün gösterişli reklam fotoğraflarına dayanarak kullanıcıları kimlik bilgileri toplama sitelerini ziyaret etmeleri ve kişisel bilgilerini vermeleri için kandırma taktiklerine yöneliyor.
Avanan tarafından analiz edilen yakın tarihli bir kampanya, tehdit aktörlerinin bu tür güvenilir markalardan hediye kartları ve sadakat programları sunan inandırıcı fotoğrafların arkasına kötü niyetli bağlantıları nasıl gizlediğini gösterdi. Daha genel olarak, kampanya, siber suçluların eski taktikleri kimlik avlarını daha inandırıcı hale getiren yapay zeka gibi yeni araçlarla güncellediği daha büyük bir eğilimin parçası.
Gizleme tekniğini “resim içinde resim” olarak adlandıran Avanan araştırmacıları, saldırıların arkasındaki siber suçluların yalnızca pazarlama fotoğraflarını kötü amaçlı URL’lere bağladığını belirtti. Bu, bir görüntüdeki piksel düzeyinde kötü amaçlı yükleri kodlayan steganografi ile karıştırılmamalıdır.
Avanan’da siber güvenlik araştırmacısı ve analisti olan Jeremy Fuchs, steganografinin genellikle aşırı derecede karmaşık olduğunu ve “bunun, aynı etkiye sahip olabilecek şeyleri yapmanın çok daha basit bir yolu olduğunu ve bilgisayar korsanlarının geniş ölçekte kopyalamasının daha kolay olduğunu” belirtiyor.
Resim Gizlemesiyle Engellenen Kurumsal URL Filtreleri
Avanan araştırmacıları, basit olsa da resim içinde resim yaklaşımının URL filtrelerinin tehdidi algılamasını zorlaştırdığını belirtti.
“[The email will] temiz görün [to filters] Analize göre görüntü içinde tarama yapmıyorlarsa, bilgisayar korsanları genellikle bir dosyayı, görüntüyü veya QR kodunu kötü amaçlı bir şeye mutlu bir şekilde bağlar. Görüntüleri metne dönüştürmek için OCR’yi kullanarak veya QR kodlarını ayrıştırıp kodunu çözerek gerçek niyeti görebilirsiniz. Ancak birçok güvenlik servisi bunu yapmıyor veya yapamıyor.”
Fuchs, yaklaşımın diğer önemli yararının, kötü niyetliliği hedefler için daha az görünür hale getirmek olduğunu açıklıyor.
“Sosyal mühendisliği şaşırtmaya bağlayarak, potansiyel olarak son kullanıcılara tıklamaları ve harekete geçmeleri için çok cazip bir şey sunabilirsiniz” diyor ve kullanıcılar görüntünün üzerine geldiklerinde URL bağlantısının açıkça ilgili olmadığı uyarısını ekliyor. sahte marka. “Bu saldırı oldukça karmaşık, ancak hacker muhtemelen daha orijinal bir URL kullanmayarak puan kaybediyor” dedi.
Kimlik avı geniş bir tüketici ağı oluştursa da, havayolu sadakat programı iletişimlerinin genellikle kurumsal gelen kutularına gittiği göz önüne alındığında işletmeler farkında olmalıdır; ve uzaktan çalışma çağında, birçok çalışan iş için kişisel cihazlar kullanıyor veya kişisel hizmetlere (Gmail gibi) kurumsal dizüstü bilgisayarlardan erişiyor.
“Etki açısından, [the campaign] birden çok bölgede çok sayıda müşteriyi hedefliyordu” diye ekliyor Fuchs. “Failin kim olduğunu bilmek zor olsa da, bunun gibi şeyler genellikle kullanıma hazır kitler olarak kolayca indirilebilir.”
Eski Taktikleri Güncellemek İçin Yapay Zeka Kuşağını Kullanma
Fuchs, kampanyanın kimlik avı ortamında görülen yükselen trendlerden birine uyduğunu söylüyor: yasal sürümlerden neredeyse ayırt edilemeyen sahtekarlıklar. İleriye dönük olarak, görüntü tabanlı kimlik avı saldırıları söz konusu olduğunda şaşırtma taktiklerine yardımcı olmak için üretken yapay zekanın (ChatGPT gibi) kullanılması bunların tespit edilmesini yalnızca zorlaştıracaktır, diye ekliyor.
“Üretken yapay zeka ile çok kolay” diyor. “Bunu, tanıdık markaların veya hizmetlerin gerçekçi görüntülerini hızlı bir şekilde geliştirmek için kullanabilirler ve bunu herhangi bir tasarım veya kodlama bilgisi olmadan büyük ölçekte yapabilirler.”
Örneğin, bir Forcepoint araştırmacısı, yalnızca ChatGPT istemlerini kullanarak, kötü amaçlı istekleri reddetme yönergesine rağmen yapay zekayı kısa süre önce algılanamayan kötü amaçlı steganografi oluşturmaya ikna etti.
CardinalOps’ta siber savunma stratejisi başkan yardımcısı Phil Neray, AI trendinin büyüyen bir trend olduğunu söylüyor.
“Yeni olan, artık bu e-postaların meşru bir markadan alacağınız e-postalarla neredeyse aynı görünmesini sağlamak için uygulanabilecek karmaşıklık düzeyidir” diyor. “Yapay zeka tarafından oluşturulan derin sahtelerin kullanımı gibi, yapay zeka da meşru bir e-postayla aynı metin içeriğine, tona ve görüntüye sahip e-postalar oluşturmayı artık çok daha kolay hale getiriyor.”
Genel olarak, kimlik avcıları, Fuchs’un “meşruiyet içinde şaşırtma” dediği şeyi ikiye katlıyor.
“Bununla demek istediğim, kötü şeyleri iyi görünen şeylerde saklamak” diye açıklıyor. “PayPal gibi yasal hizmetlerin sahtekarlığına ilişkin pek çok örnek görmüş olsak da, bu, sahte ama inandırıcı görünen görüntüleri içeren daha denenmiş ve doğru sürümü kullanıyor.”
Veri Kaybından Korunmak için URL Korumasından Yararlanma
Saldırının işletmeler için olası sonuçları parasal kayıp ve veri kaybıdır ve kuruluşlar kendilerini savunmak için öncelikle kullanıcıları bu tür saldırılar konusunda eğitmeli, URL’lerin üzerine gelmenin ve tıklamadan önce tam bağlantıya bakmanın önemini vurgulamalıdır.
Fuchs, “Bunun ötesinde, bir saldırının göstergesi olarak bunun gibi kimlik avı tekniklerini kullanan URL korumasından yararlanmanın ve bir URL’nin tüm bileşenlerine bakan ve arkasındaki sayfayı taklit eden güvenlik uygulamaktan yararlanmanın önemli olduğunu düşünüyoruz.”
Mevcut e-posta güvenliğinin bu tür kimlik avlarını yakalama görevine uygun olmadığı konusunda herkes hemfikir değil. Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, birçok e-posta filtresinin bu kampanyaları yakalayacağını ve en kötü ihtimalle spam olarak işaretleyeceğini veya kötü amaçlı olarak işaretleyeceğini belirtiyor.
Spam gönderenlerin, spam filtrelerini atlamak umuduyla yıllardır metin yerine görseller kullandığını ve spam filtrelerinin bunlarla başa çıkmak için geliştiğini belirtiyor.
“Saldırı son zamanlarda oldukça yaygın olsa da, en azından kendi önemsiz posta klasörümdeki spam bir göstergeyse, bu özellikle karmaşık bir saldırı değil” diye ekliyor.
Yapay zeka özellikli saldırılar farklı bir hikaye olabilir. CardinalOps’tan Neray, bu daha gelişmiş görüntü tabanlı saldırılarla mücadele etmenin en iyi yolunun, yapay zeka tabanlı algoritmaları sahte e-postaları nasıl tanıyacaklarını eğitmek için büyük miktarda veri kullanmak olduğunu söylüyor – e-postaların içeriğini analiz etmenin yanı sıra hakkında bilgi toplayarak. diğer tüm kullanıcıların e-postalarla nasıl etkileşime girdiği.