Cisco’nun Talos Güvenlik ekibi, Microsoft, DocuSign ve Dropbox gibi güvenilir markaları taklit etmek için kötü niyetli PDF yüklerinden yararlanan sofistike kimlik avı kampanyalarında bir artış gösterdi.
Cisco’nun marka kimliğine bürünme algılama motoruna yönelik yakın tarihli bir güncellemeye göre, bu saldırılar kapsamda genişledi ve kullanıcı güvenini kullanmak için tasarlanmış aldatıcı e-postalarla daha geniş bir dizi tanınmış kuruluş hedefledi.
Genellikle meşru belgeler olarak gizlenmiş olan PDF’ler, alıcıları hassas bilgileri ifşa etmek veya doğrudan saldırganlarla etkileşim kurmak için alıcıları kandırmak için marka logolarını, QR kodlarını ve köprüleri yerleştirir.
Yükselişte sofistike markalı taktik taktikleri
Talos verileri, Microsoft ve DocUSign’ı PDF eklerine sahip kimlik avı e-postalarında en sık taklit edilen markalar olarak ortaya çıkarırken, NortonLifelock, PayPal ve Geek Squad, telefon odaklı saldırı teslimatı (TOAD) dolandırıcılığı için listenin tepesinde yer aldı.
Talos tarafından vurgulanan özellikle endişe verici bir eğilim, kurbanların PDF ekleri içinde listelenen düşman kontrollü telefon numaralarını çağırmaya çekildiği geri arama kimlik avı olarak da bilinen kurbağa kullanımıdır.
Sahte web sitelerine dayanan geleneksel kimlik avının aksine, Toad sesli iletişimin algılanan güvenliğini kullanır.
Saldırganlar, genellikle anonimlik için İnternet Protokolü (VoIP) numaraları üzerinden ses kullanan saldırganlar, kurbanları gizli verileri paylaşmak veya kötü amaçlı yazılım yüklemek için manipüle etmek için meşru temsilciler olarak poz verir.
QR kodu aldatma
Talos, muhtemelen bu tür uzlaşma göstergeleri (IOC’ler) ve dolandırıcılar için lojistik faydalar üzerindeki daha yavaş istihbarat paylaşımı nedeniyle, ardışık günlerde telefon numarasının yeniden kullanıldığını kaydetti.
Ek olarak, QR kodu kimlik avı güçlü bir vektör olarak ortaya çıkmıştır ve PDF’lere gömülü kötü amaçlı kodlar kullanıcıları, genellikle Captcha mekanizmaları tarafından korunan kimlik avı sayfalarına yönlendirir.
Bu PDF’ler, optik karakter tanıma (OCR) özelliklerine sahip olmayan e -posta filtrelerini atlayarak içeriği ek açıklamalar veya gizli katmanlar içine yerleştirerek algılamadan kaçınır.
Talos ayrıca, PayPal gibi tüm kötü niyetli PDF’lerin yüklendiği ve doğrudan kurbanlara gönderildiği Adobe’nin e-imza hizmeti gibi platformların kötüye kullanılmasını tespit etti.
Bu tür taktikler, saldırının etkinliğini artırarak yaygın olarak kullanılan araçlara doğal güvenden yararlanır.
Kimlik avı kampanyaları genellikle promosyon mevsimlerinde “maaş artışı” gibi konu çizgileri ve dropbox gibi hizmetleri taklit eden sahte sayfalara yol açan gömülü logolara veya köprü ile zanaat e -postaları gibi stratejik zamanlama kullanır.
Metin, görüntü ve ek açıklamalar gibi yapısal bileşenler de dahil olmak üzere PDF’lerin çok katmanlı doğası, saldırganların kötü amaçlı URL’leri gizlemesine veya spam filtrelerinden kaçmak için alakasız “gürültü” eklemelerini sağlar.
Talos, QR kodlarının güven oluşturmak için meşru sayfalara bağlandığı vakalar gözlemlerken, ek açıklamalar genellikle URL kısaltmaları tarafından gizlenen kimlik avı sitelerine doğrudan doğrudan.
Cisco’nun algılama motorunu geliştirme çabaları, kapsamı genişleterek ve IOC’ler gibi telefon numaralarında istihbarat toplayarak bu gelişen tehditlere karşı koymayı amaçlamaktadır.
Siber suçlular sosyal mühendislik tekniklerini geliştirerek, hem teknik güvenlik açıklarından hem de insan psikolojisini sömürdüğü için organizasyonlar ve bireyler uyanık kalmalıdır.
PDF yükleri içindeki marka kimliğine bürünme, kurbağa ve QR kod kimlik avının kesişimi, bu yaygın ve aldatıcı siber tehditleri azaltmak için güçlü e -posta güvenlik çözümlerine ve kullanıcı farkındalığına duyulan ihtiyacın altını çizmektedir.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt