Gelişmiş bir kimlik avı kampanyası, kullanıcıları hassas oturum açma kimlik bilgilerini teslim etmeleri yönünde kandırmak için şu anda ince bir tipografik illüzyondan yararlanıyor.
Siber suçlular, Microsoft’un meşru alan adının neredeyse mükemmel bir görsel kopyasını oluşturmak için ‘m’ harfini stratejik olarak ‘r’ ve ‘n’ harf kombinasyonuyla değiştirerek “rnicrosoft.com” alan adını kaydettiler.
Bu aldatıcı taktik işe yarıyor çünkü modern tarayıcılar ve e-posta istemcileri yazı tiplerini farklı şekilde oluşturuyor. ‘r’ ve ‘n’ birbirine bitişik göründüğünde, bu harfler arasındaki karakter aralığı genellikle ‘m’ harfinin görünümünü taklit eder.
İnsan beyninin metin hatalarını otomatik olarak düzeltmeye yönelik doğal eğilimi, özellikle kullanıcılar e-postaları tararken veya mobil cihazlarda içerik görüntülerken bu görsel aldatmacayı özellikle etkili kılıyor.
Anagram CEO’su Harley Sugarman yakın zamanda bu özel saldırı vektörünü vurguladı ve sahte e-postaların genellikle resmi Microsoft logosunu, düzenini ve meşru yazışmaların tarzını yansıttığını belirtti.
Bu düzeydeki karmaşıklık, şüphelenmeyen kullanıcıların kötü amaçlı içerikle etkileşime girme olasılığını artırır.
Girişleri Çalmak İçin Görsel Aldatma
CyberSecurity News’e göre bu saldırının gücü, olağanüstü inceliğinde yatıyor. Yüksek çözünürlüklü masaüstü monitörlerde, dikkatli gözlemciler düzensizliği fark edebilir, ancak çoğu kullanıcı bunu gözden kaçıracaktır.
Ekran alanı sınırlamaları, adres çubuklarının tam URL’leri kesmesine ve kötü amaçlı etki alanını tamamen gizlemesine neden olduğundan, mobil cihazlar riski önemli ölçüde artırır.
Kullanıcılar güvenilir bir varlıkla iletişim kurduklarına inandıklarında, kötü amaçlı bağlantılara tıklamaya veya silah niteliğindeki eklentileri indirmeye karşı çok daha duyarlı hale gelirler.
Saldırganlar, kimlik bilgilerine yönelik kimlik avı, satıcı faturası dolandırıcılığı ve şirket içi İK kimliğine bürünme kampanyalarını kolaylaştırmak için bu teknikten yararlanır.
Güvenliği ihlal edilmiş kimlik bilgileri yetkisiz erişime, veri hırsızlığına ve daha fazla ağ sızmasına yol açabileceğinden riskler yüksektir.
‘rn’ takası, saldırganın araç setindeki birçok varyasyondan yalnızca birini temsil eder. Diğer yaygın taktikler arasında ‘o’ harfini ‘0’ rakamı ile değiştirmek (“micros0ft.com” oluşturmak) veya yasal marka adlarına kısa çizgi eklemek (“microsoft-support.com” gibi) yer alır.
Hatta bazı kampanyalarda “microsoft.com” yerine “microsoft.co” gibi alternatif üst düzey alanlar bile kullanılıyor.
Bu homoglif ve yazım hatası saldırılarına karşı savunma yapmak, kullanıcı davranışında temel bir değişiklik gerektirir.
Güvenlik uzmanları, kullanıcıların herhangi bir istenmeyen e-postayla etkileşime geçmeden önce tam gönderen adresini genişletmelerini şiddetle tavsiye eder.
Köprü bağlantılarının üzerine gelindiğinde basit bir hareket, gerçek hedef URL’yi ortaya çıkarırken, mobil cihazlarda bağlantılara uzun süre basmak, bağlantı kurulmadan önce aldatmacayı ortaya çıkarır.
E-posta başlıklarını, özellikle de “Yanıtla” alanını analiz etmek, dolandırıcıların yanıtları harici, kontrolsüz gelen kutularına yönlendirip yönlendirmediğini ortaya çıkarabilir.
Beklenmedik şifre sıfırlama isteklerini içeren senaryolarda en güvenli yaklaşım, e-posta bağlantısını tamamen göz ardı etmek ve yeni bir tarayıcı sekmesi aracılığıyla doğrudan resmi hizmete gitmektir.
Kuruluşların bu tehditle etkili bir şekilde mücadele etmek için kullanıcı eğitimine ve simülasyon çalışmalarına yatırım yapması gerekir.
Bu yazım hatası varyasyonlarını içeren düzenli kimlik avı tatbikatları, ekiplerin tanıdık görünen bildirimlere tıklama yönündeki refleksif dürtüyü fark etmelerine ve direnmelerine yardımcı olur.
Güvenlik farkındalığı eğitimi, dikkatle hazırlanmış bu sosyal mühendislik saldırılarına karşı en güvenilir savunma olmaya devam ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak olarak ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.