Siber suçlular, Barracuda Networks’ün yakın zamanda yayınladığı Tehdit Gözlem Raporu’nda ayrıntılı olarak açıklandığı üzere, kimlik avı e-postalarındaki kötü amaçlı URL’leri maskelemek için meşru URL koruma hizmetlerini kullanıyor.
Mayıs 2024 ortasından itibaren Barracuda araştırmacıları, güvenilir, köklü markalar tarafından sağlanan üç farklı URL koruma hizmetini kullanan kimlik avı saldırıları tespit etti. Bu saldırılar yüzlerce şirketi etkiledi ve potansiyel olarak daha fazlasını etkiledi.
Saldırganlar URL Koruma Hizmetlerini Nasıl İstismar Ediyor?
URL koruma hizmetleri, e-postalarda bulunan URL bağlantılarını yeniden yazarak e-posta güvenliğini artırmak için tasarlanmıştır. Orijinal URL’yi kopyalar, yeniden yazılmış bir bağlantıya yerleştirir ve ardından alıcı tıkladığında bağlantıyı güvenlik tehditlerine karşı tarar. Tarama URL’nin güvenli olduğunu doğrularsa, kullanıcı orijinal siteye yönlendirilir. Ancak gözlemlenen saldırılarda, kullanıcılar hassas bilgileri çalmak için tasarlanmış kimlik avı sitelerine yönlendirilmiştir.
Barracuda’nın analizi, saldırganların bu URL koruma hizmetlerine erişmek için önce meşru kullanıcıların hesaplarını ele geçirdiğini öne sürüyor. Saldırganlar, ele geçirilen bir hesabın içine girdikten sonra hesap sahibini taklit edebilir ve e-posta iletişimlerini inceleyebilir, bu taktik iş e-postası ele geçirme (BEC) veya konuşma ele geçirme olarak bilinir. Saldırganlar, bu e-postaları inceleyerek, kullanılan belirli URL koruma hizmetini belirleyebilir.
Saldırganlar, ele geçirilen hesabı kullanarak kendilerine kötü amaçlı bağlantılarını içeren bir kimlik avı e-postası gönderirdi. Bu e-posta daha sonra URL koruma hizmeti tarafından işlenir ve saldırganların kimlik avı kampanyalarında kullanabilecekleri yeniden yazılmış bir bağlantıyla sonuçlanırdı.
Barracuda Tehdit Analisti Yöneticisi Saravanan Mohankumar, “Bu yaratıcı taktik, saldırganların güvenlik tespitinden kaçmasına yardımcı oluyor ve güvenilir, meşru güvenlik markalarının kötüye kullanılması, alıcıların kendilerini güvende hissetmeleri ve kötü amaçlı bağlantıya tıklama olasılıklarının daha yüksek olması anlamına geliyor” dedi.
“URL koruma sağlayıcısı, yönlendirme URL’sinin bir müşteri tarafından mı yoksa hesabı ele geçiren bir saldırgan tarafından mı kullanıldığını doğrulayamayabilir. Kimlik avı güçlü ve genellikle başarılı bir tehdittir ve siber suçlular bunu sürdürmek için araçlarını ve tekniklerini geliştirmeye devam edecektir. Güvenlik ekiplerinin hazırlıklı olması gerekir.”
Belgelenen vakalarda, wanbf gibi etki alanlarından gelen e-postalara kötü amaçlı URL bağlantıları dahil edildi[.]com ve clarelocke[.]DocuSign ve parola sıfırlama hatırlatıcılarını taklit eden com. Bu aldatıcı e-postalar meşru görünmek için tasarlanmıştır ve alıcıların bağlantılara tıklama olasılığını artırır.
Bunun Sonuçları ve Zorlukları Neler Olabilir?
Bu kimlik avı yöntemi, alıcıların iyi bilinen güvenlik hizmetlerine olan içsel güvenini kullandığı için özellikle sinsidir. Bilinen kötü amaçlı kalıpları veya davranışları tespit etmeye dayanan geleneksel e-posta güvenlik araçları, meşru URL koruma hizmetlerini kullanmaları nedeniyle bu saldırıları tespit etmekte zorluk çekebilir.
Meşru URL koruma hizmetlerinin kullanımı, alıcıların kötü amaçlı bağlantılara güvenme ve tıklama olasılığını artırarak bir gerçeklik örtüsü sağlar. Ayrıca, bağlantılar zaten bir güvenlik hizmeti tarafından işlendiği için, geleneksel güvenlik filtrelerini aşma olasılıkları daha yüksektir.
Savunma Stratejileri
Geleneksel e-posta güvenlik araçları bu karmaşık saldırıları tespit etmekte zorlanabilir. En etkili savunma, karmaşıklıktan bağımsız olarak alışılmadık veya beklenmeyen etkinlikleri tespit etmek ve engellemek için çeşitli güvenlik seviyelerini içeren çok katmanlı bir yaklaşımdır.
Barracuda, ne kadar karmaşık olursa olsun, olağandışı veya beklenmeyen aktiviteleri tespit edip engelleyebilen, çok katmanlı, yapay zeka destekli bir savunma yaklaşımını savunuyor. Bu, hem ağ geçidi düzeyinde hem de e-posta tesliminden sonra anormallikleri ve potansiyel tehditleri belirlemek için makine öğreniminden yararlanmayı içerir.
Ayrıca, çalışanlar için sürekli ve kapsamlı güvenlik farkındalığı eğitimi hayati önem taşır. Çalışanları en son kimlik avı taktikleri ve şüpheli e-postaların nasıl tespit edileceği konusunda eğitmek, başarılı kimlik avı saldırılarının riskini önemli ölçüde azaltabilir.
Savunmacılar kimlik avı saldırılarını tespit etme ve azaltma yeteneklerini geliştirdikçe, saldırganlar yöntemlerini sürekli olarak uyarlar. Yaygın bir teknik, saldırganların kötü amaçlı URL’leri gizlemek için meşru kısa bağlantı hizmetlerini kullandığı URL karartmadır. Bu yaklaşım artık markalı URL koruma hizmetlerinin itibarını ve güvenilirliğini istismar eden daha karmaşık bir stratejiye dönüştü.