Siber tehdit aktörleri, Google’ın Looker Studio veri görselleştirme aracını, sonuçta hem parayı hem de kimlik bilgilerini çalan ve e-posta savunmasını aşındıran kimlik avı tuzağına düşüren sayfalar sunmak için kötüye kullanıyor.
Google Looker Studio, bilgileri (slayt gösterileri, e-tablolar vb.) dönüştüren Web tabanlı bir araçtır. —tablolar ve grafikler gibi görselleştirilmiş verilere. Check Point’teki araştırmacılar tarafından keşfedilen ve son birkaç haftadır aktif olan iş e-postası ihlali (BEC) kampanyası, sosyal mühendislik saldırısında kripto para birimi temalı sayfalar oluşturmak için bu aracı kullanıyor. Saldırganlar, kripto para birimi yatırımına yönelik stratejiler sunan ve kullanıcıları daha fazla bilgi almak üzere hesaplarında oturum açmak üzere bir bağlantıya tıklamaya teşvik eden sözde raporlara bağlantılar içeren, doğrudan Google’dan geliyormuş gibi görünen e-postalar dağıtıyor.
Check Point’teki siber güvenlik araştırmacısı/analisti Jeremy Fuchs yakın tarihli bir blog yazısında “Bilgisayar korsanları, kullanıcı yanıtını almak ve kimlik bilgilerini kripto sitelerine aktarmak için tasarlanmış bir Google alanıyla sosyal mühendislik kullanıyor.” diye yazdı.
Kurbanlar yemi yutarlarsa, mağdurları nasıl daha fazla Bitcoin talep edebilecekleri konusunda bilgilendiren bir Google Slayt Gösterisi’ne ev sahipliği yapan bir Google Looker sayfasına yönlendiriliyorlar. Bu sayfa, kullanıcıları kimlik bilgilerini çalan bir giriş sayfasına yönlendirmek için aciliyet duygusunu kullanıyor.
Check Point araştırmacıları, bu vektörden yararlanan yüzden fazla saldırı gördüklerini ve kampanya hakkında Google’ı bilgilendirdiklerini söyledi.
E-posta Güvenliği Taramalarını Aldatmak
Fuchs, saldırının işe yaradığını, çünkü Google’ın çeşitli e-posta kimlik doğrulama protokollerini kopyalama yetkisinden yararlanarak gelen e-postaları kötü amaçlı etkinliklere karşı tarayan teknolojiyi başarılı bir şekilde atlatabildiğini açıkladı.
Örneğin mesajlar, alan adı için yetkili gönderen olarak listelenen bir gönderen IP adresini (yani data-studio.bounces.google.com) kullanarak Gönderen Politikası Çerçevesi (SPF) kontrollerini kandırır. SPF, belirli bir alan adı için hangi IP adreslerinin veya sunucuların e-posta göndermeye yetkili olduğunu belirterek e-posta sahteciliğini önlemek üzere tasarlanmış bir e-posta kimlik doğrulama yöntemidir.
Mesajlar ayrıca, e-postanın içeriğinin aktarım sırasında değiştirilmediğini ve gerçekten de belirtildiği alandan geldiğini doğrulamak için kriptografik imzalar kullanan DomainKeys Tanımlı Posta (DKIM) kimlik doğrulama aracını uyararak ortaya çıkabilecek tüm işaretleri de geçirir. Fuchs, mesajların yine bu protokol tarafından yapılan incelemeden geçtiğini çünkü meşru alan adı google.com için doğrulandığını yazdı.
Ayrıca, etki alanı sahiplerinin, SPF veya DKIM’de başarısız olan e-postalar için hangi eylemlerin gerçekleştirilmesi gerektiğini belirlemelerine olanak tanıyan bir politika çerçevesi olan Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC) da mesajları, google.com alan adı.
Fuchs, “Bir e-posta güvenlik hizmeti tüm bu faktörleri inceleyecek ve bunun bir kimlik avı e-postası olmadığına ve Google’dan geldiğine dair oldukça güven duyacaktır,” diye belirtti Fuchs, “çünkü saldırı çok derinlerde yer alıyor.”
Gerçekten de SPF, DKIM ve DMARC, güvenlik uzmanları tarafından karmaşık e-posta saldırı vektörleri için fazla geçirgen oldukları için eleştirildi; çünkü bunlar, kullanıcıları yalnızca korumak üzere tasarlandıkları tehditlerden koruyabiliyor ve saldırganların bulut kullanarak bunları atlatmasını kolaylaştırıyor. tabanlı hizmetler.
BEC Siber Saldırılarına Karşı Savunma
Yaklaşık 10 yıl önce ortaya çıkan BEC saldırıları, nispeten basit olmaları nedeniyle popüler bir kimlik avı yöntemi olmaya devam ediyor; ancak yine de e-posta kullanıcılarının, siber suçlulara maaş günü sağlayabilecek kimlik bilgilerini teslim etmelerini sağlamanın son derece etkili bir yolu olmaya devam ediyor.
Saldırganlar, kullanıcıların ilgisini çekecek ve kimlik bilgilerinin ele geçirilmesine yönelik saldırı tuzaklarıyla birlikte takip etmelerini sağlayacak ikna edici ve yaratıcı saldırılar oluşturmak için stratejilerini geliştirmeye ve yeni teknolojilerden (bu durumda Google Looker Studio gibi) yararlanmaya devam ediyor.
Check Point tarafından gözlemlenen kampanya, kötü niyetli girişimini gizlemek için meşru Google uygulamasını ve etki alanını kullandığından, araştırmacılar, işletmelerin karmaşık girişimleri proaktif olarak engellemek için çok sayıda kimlik avı göstergesini analiz edip tanımlayabilen, giderek yaygınlaşan yapay zeka (AI) destekli güvenlik teknolojisini benimsemelerini öneriyor. BEC saldırıyor.
Kuruluşlar ayrıca belge ve dosya tarama yeteneklerini içeren kapsamlı bir güvenlik çözümü dağıtmalıdır. Fuchs’un tavsiyesi şuydu: ve gelişmiş güvenlik için kapsamlı taramalar gerçekleştiren ve web sayfalarını taklit eden sağlam bir URL koruma sistemi kullanmalıdırlar.