Kimlik avı saldırıları giderek daha gelişmiş ve tespit edilmesi daha zor hale geliyor, ancak çok geç olmadan onları tespit etmenize yardımcı olabilecek belirgin işaretler hala mevcut. Güvenlik uzmanlarının kimlik avı bağlantılarını tespit etmek için kullandıkları bu temel göstergelere bakın:
1. Şüpheli URL’leri kontrol edin
Kimlik avı URL’leri genellikle uzun, kafa karıştırıcı veya rastgele karakterlerle doludur. Saldırganlar bunları bağlantının gerçek hedefini gizlemek ve kullanıcıları yanıltmak için kullanır.
Kendinizi korumanın ilk adımı URL’yi dikkatlice incelemektir. Her zaman “HTTPS” ile başladığından emin olun, çünkü “s” SSL sertifikası kullanan güvenli bir bağlantıyı belirtir.
Ancak, SSL sertifikalarının tek başına yeterli olmadığını unutmayın. Siber saldırganlar, kötü amaçlı içerikleri dağıtmak için giderek daha fazla meşru görünen HTTPS bağlantıları kullanıyor.
İşte bu yüzden aşırı karmaşık olan veya karakter karmaşası gibi görünen bağlantılara şüpheyle yaklaşmalısınız.
ANY.RUN’ın Safebrowsing gibi araçları, kullanıcıların URL’deki her karakteri manuel olarak incelemeye gerek kalmadan, şüpheli bağlantıları güvenli ve izole bir ortamda kontrol etmelerine olanak tanır.
Örnek:
Son vakalardan biri, Google’ın URL yönlendirmesinin gerçek kimlik avı bağlantısını maskelemek ve URL’nin gerçek hedefinin izlenmesini zorlaştırmak için birkaç kez kullanılmasıyla ilgiliydi.
Yönlendirmeli karmaşık URL |
Bu durumda, URL’deki başlangıçtaki “Google” kelimesinden sonra, “Google” kelimesinin 2 örneğini daha görüyorsunuz; bu, bir yönlendirme girişiminin ve platformun kötüye kullanıldığının açık bir işaretidir.
ANY.RUN’ın Güvenli Tarama özelliğini kullanarak şüpheli bağlantının analizi |
2. Yönlendirme Zincirlerine Dikkat Edin
Yukarıda belirtilen örnekten de görebileceğiniz gibi, yönlendirme siber saldırganların kullandığı başlıca taktiklerden biridir. URL’nin karmaşıklığını göz önünde bulundurmanın yanı sıra, bağlantının sizi nereye götürdüğünü bulun.
Bu taktik, teslimat zincirini uzatır ve kullanıcıları şaşırtır; bu da kötü niyetli kişilerin tespit edilmesini zorlaştırır.
Bir diğer yaygın senaryo ise saldırganların bir dosyanın indirilmesi gerektiğini iddia eden bir e-posta göndermesidir. Ancak bir ek veya doğrudan bağlantı yerine, yönlendirmeler yoluyla giden bir URL göndererek, nihayetinde dosyaya erişmek için oturum açma kimlik bilgilerini isterler.
Bunu güvenli bir şekilde araştırmak için şüpheli bağlantıyı kopyalayıp ANY.RUN’ın Güvenli Tarama aracına yapıştırın. Analiz oturumunu çalıştırdıktan sonra, bağlantıyla güvenli bir ortamda etkileşime girebilir ve tam olarak nereye yönlendirdiğini ve nasıl davrandığını görebilirsiniz.
Örnek:
ANY.RUN’ın VM’inde görüntülenen yönlendirme zinciri |
Bu örnekte, saldırganlar görünüşte zararsız bir dosya depolama sayfasına bağlantı paylaştı. Ancak, doğrudan amaçlanan belgeye yönlendirmek yerine, bağlantı kullanıcıları birden fazla kez yönlendirdi ve sonunda kimlik bilgilerini çalmak için tasarlanmış sahte bir oturum açma sayfasına ulaştı.
3. Garip Sayfa Başlıklarını ve Eksik Faviconları İnceleyin
Kimlik avı bağlantılarını tespit etmenin bir diğer yolu da sayfa başlıklarına ve faviconlara dikkat etmektir. Meşru bir sayfa, etkileşimde bulunduğunuz hizmetle eşleşen, garip semboller veya anlamsız ifadeler içermeyen bir başlığa sahip olmalıdır. Şüpheli, rastgele karakterler veya eksik başlıklar genellikle bir şeylerin yanlış olduğunun işaretleridir.
Sayfa başlığının yanı sıra, geçerli web sitelerinin hizmete karşılık gelen bir favicon’u vardır. Boş veya genel bir favicon, bir kimlik avı girişiminin göstergesidir.
Örnek:
ANY.RUN içinde şüpheli sayfa başlığı ve bozuk Microsoft favicon’u analiz edildi |
Bu Güvenli Tarama oturumunda, sayfa başlığının ve simgenin, meşru bir Microsoft Office oturum açma sayfasından bekleyeceğiniz şeylerle uyuşmadığını fark edeceksiniz.
Normalde, Microsoft favicon’u net ve alakalı bir sayfa başlığıyla birlikte görürsünüz. Ancak bu örnekte, başlık rastgele sayılardan ve harflerden oluşuyor ve Microsoft favicon bozuk veya eksik. Bu önemli bir kırmızı bayraktır ve muhtemelen bir kimlik avı girişimini gösterir.
4. Kötüye kullanılan CAPTCHA ve Cloudflare kontrollerine dikkat edin
Kimlik avı bağlantılarında sıklıkla kullanılan taktiklerden biri de CAPTCHA sistemlerinin, özellikle de “Ben robot değilim” doğrulamasının kötüye kullanılmasıdır.
CAPTCHA’lar insan kullanıcıları doğrulamak ve botlara karşı koruma sağlamak için tasarlanmış olsa da, kimlik avı saldırganları kötü amaçlı web sitelerine gereksiz, tekrarlayan CAPTCHA zorlukları ekleyerek bunları suistimal edebilir.
Benzer bir taktik, Cloudflare gibi hizmetlerin kötüye kullanılmasıdır; saldırganlar, kullanıcıları yavaşlatmak ve kimlik avı girişimini maskelemek için Cloudflare’in güvenlik kontrollerini kullanabilir.
Örnek:
ANY.RUN’ın Güvenli Tarama oturumunda Cloudflare doğrulama kötüye kullanımı gözlemlendi |
Bu analiz oturumunda saldırganlar, kimlik avı planlarında meşruiyet sağlamak ve kötü niyetli niyetlerini gizlemek için aldatıcı bir katman olarak Cloudflare doğrulamasını kullanıyor.
5. Parolaları Girmeden Önce Microsoft Etki Alanlarını Doğrulayın
Kimlik avcıları genellikle kullanıcıları kimlik bilgilerini vermeye kandırmak için Microsoft gibi güvenilir hizmetleri taklit eden web siteleri oluşturur. Microsoft genellikle birkaç resmi etki alanında parolalar istese de dikkatli olmak önemlidir.
Parola isteklerinin gerçekleşebileceği bazı meşru Microsoft etki alanları şunlardır:
Kuruluşunuzun resmi etki alanı üzerinden de kimlik doğrulaması talep edebileceğini unutmayın. Bu nedenle, kimlik bilgilerini paylaşmadan önce bağlantıyı doğrulamak her zaman iyi bir fikirdir.
Herhangi bir hassas bilgi girmeden önce sitenin meşruiyetini doğrulamak için ANY.RUN’ın Güvenli Tarama özelliğini kullanın. Alan adını iki kez kontrol ederek kendinizi koruduğunuzdan emin olun.
6. Tanıdık Arayüz Öğeleriyle Bağlantıları Analiz Edin
Ayrıca programların arayüz öğelerini yakından inceleyerek de kimlik avı bağlantılarını tespit edebilirsiniz. Parola giriş formu bulunan bir tarayıcı sayfasındaki program arayüz öğelerinin önemli bir uyarı işareti olduğunu unutmayın.
Saldırganlar genellikle Adobe veya Microsoft gibi yazılımların bilindik arayüzlerini taklit ederek ve bunların içine parola giriş formları yerleştirerek kullanıcıların güvenini kazanmaya çalışırlar.
Bu, potansiyel kurbanların kendilerini daha rahat hissetmelerini ve savunmalarını düşürmelerini sağlar ve sonunda onları kimlik avı tuzağına sürükler. Hassas bilgileri girmeden önce bu tür öğeler içeren bağlantıları her zaman iki kez kontrol edin.
Örnek:
Adobe PDF Viewer’ı taklit eden arayüz öğeleri |
Bu Güvenli Tarama oturumunda saldırganlar, Adobe PDF Viewer’ı taklit ederek parola giriş formunu yerleştirdiler.
ANY.RUN’ın Güvenli Sanal Tarayıcısındaki Şüpheli Bağlantıları Keşfedin
Kimlik avı bağlantıları işletmeler için inanılmaz derecede zararlı olabilir ve çoğu zaman tek bir tıklamayla oturum açma kimlik bilgileri ve finansal veriler gibi hassas bilgilerin ele geçirilmesine yol açabilir.
ANY.RUN’ın Safebrowsing’i, sisteminizi riske atmadan, şüpheli bağlantıları gerçek zamanlı olarak güvenli bir şekilde analiz edebileceğiniz güvenli ve izole bir sanal tarayıcı sunar.
Şüpheli web sitelerini güvenli bir şekilde keşfedin, ağ etkinliğini denetleyin, kötü amaçlı davranışları tespit edin ve daha ayrıntılı analiz için Tehlikeye Atma Göstergelerini (IOC) toplayın.
Şüpheli bağlantılar veya dosyalar üzerinde daha derin bir analiz düzeyi için ANY.RUN’ın sanal alanı, tehdit tespiti için daha da gelişmiş yetenekler sunar.
ANY.RUN’ı bugün ücretsiz kullanmaya başlayın ve sınırsız Güvenli Tarama veya derin analiz oturumlarının keyfini çıkarın!