Abnormal Security’ye göre tehdit aktörleri, hedeflerini gizli bilgilerini ifşa etmeye veya kötü amaçlı yazılım indirmeye yönlendirmek için popüler dosya barındırma veya e-imza çözümlerini bir maske olarak kullanıyor.
Dosya paylaşımı kimlik avı saldırısı, siber suçlunun bilinen bir meslektaş veya bilindik bir dosya barındırma veya e-imza çözümü gibi davranarak hedef kişiye paylaşılan bir dosya veya belgeye bağlantı içeren kötü amaçlı bir e-posta gönderdiği benzersiz bir kimlik avı tehdidi türüdür.
Alıcı bağlantıya tıkladığında, siber suçlunun istediği sonuca (örneğin, oturum açma bilgilerini çalmak veya hedefin cihazını kötü amaçlı yazılımla enfekte etmek) bağlı olarak değişen saldırının ikinci aşaması başlar.
Dosya paylaşımı kimlik avı saldırıları da sosyal mühendisliği kapsamlı bir şekilde kullanır. Bu tehditlerin birincil bileşeni, hedefin kimliğine bürünülen taraf veya hizmete aşinalığını kullanarak savunmalarını düşürmektir.
Dosya paylaşımı yoluyla yapılan kimlik avı saldırıları, tek bir başarılı saldırının bile maliyetli sonuçlara yol açabileceği için, hacmi ne olursa olsun acil bir sorun olmaya devam edecektir.
Dosya paylaşımı kimlik avı saldırıları artıyor
Haziran 2023 ile Haziran 2024 arasında toplanan verileri inceleyen Abnormal, dosya paylaşımı kimlik avı hacminin üç katından fazla arttığını ve yıl boyunca %350 arttığını gördü. Bu saldırıların çoğu karmaşık nitelikteydi ve %60’ı meşru alan adlarını, en yaygın olarak Gmail, iCloud ve Outlook gibi web posta hesaplarını; üretkenlik ve iş birliği platformlarını; Dropbox gibi dosya depolama ve paylaşım platformlarını; ve Docusign gibi e-imza çözümlerini istismar ediyordu.
Abnormal Security’de CISO olan Mike Britton, “İnsanların bu tür hizmetlere, özellikle de tanınmış marka adlarına sahip olanlara duyduğu güven, onları kimlik avı saldırıları başlatmak için mükemmel bir araç haline getiriyor,” dedi. “Çok az şirket bu hizmetlerden gelen URL’leri engelliyor çünkü bunlar doğası gereği kötü amaçlı değil. Ve kimlik avı e-postalarını doğrudan hizmetlerden göndererek, saldırganlar açıkça gizleniyor ve hedeflerinin meşru ve kötü amaçlı iletişimleri ayırt etmesini zorlaştırıyor. Ve saldırganlar sosyal mühendislik tekniklerini katmanlara ayırdığında, bu saldırıları tespit etmek neredeyse imkansız hale geliyor.”
Finans sektörünün en çok risk altında olduğu, dosya paylaşımı kimlik avı saldırılarının on saldırıdan birini oluşturduğu bulundu. Finans kuruluşları belgeleri güvenli bir şekilde paylaşmak için dosya paylaşım platformlarına güvendikçe, saldırganların faturalar, sözleşmeler, yatırım teklifleri ve düzenleyici güncellemeler denizi arasında sahte bir dosya paylaşım bildirimi sızdırmak için bolca fırsatı var.
İkinci en savunmasız sektör inşaat ve mühendislikti, ardından gayrimenkul ve mülk yönetim şirketleri geliyordu. Bu sektörler yalnızca dosya paylaşım platformları üzerinden sık sık belge transferlerine güvenmekle kalmıyor, aynı zamanda büyük ödemeler içeren zamana duyarlı projeleri de içeriyor. Saldırganlar, bu alışverişlerin aciliyetinden yararlanarak, zaman açısından kritik görünen ve meşru e-postalarla sorunsuz bir şekilde uyum sağlayan dosya paylaşımı kimlik avı saldırıları gönderme fırsatına sahip oluyor.
BEC ve VEC kalıcı tehditler olmaya devam ediyor
İki yılda bir yayınlanan raporda ayrıca, ticari e-posta ihlali (BEC) ve satıcı e-posta ihlali (VEC) saldırılarının artmaya devam ettiği ortaya konuldu:
BEC saldırıları geçen yıl %50’den fazla artarken, daha küçük kuruluşlara yönelik saldırılar son yarıda neredeyse %60 arttı. 2024’ün ilk yarısında her hafta Anormal müşterilerin %41’i VEC tarafından hedef alındı; bu oran 2023’ün ikinci yarısında hedef alınan %37’ye göre hafif bir artış gösterdi.
İnşaat ve mühendislik firmaları, perakendeciler ve tüketim malları üreticileri VEC saldırılarına karşı en savunmasız olanlar oldu; kuruluşların %70’i yılın ilk yarısında en az bir VEC saldırısına uğradı.
Britton şöyle devam etti: “Siber suçlular, insan davranışlarını hedeflemek için e-posta kullanmaya devam ediyor ve bunu çeşitli tekniklerle yapıyor; ister BEC için sosyal mühendislik taktiklerinden yararlanıyor, ister kimlik avı planlarında meşru uygulamalar kisvesi kullanıyor olsun. Rapordaki bulgular, açık yüklerden ve tehdit imzalarından uzaklaşıp, davranışı manipüle etmek için tasarlanmış e-posta saldırılarına doğru bu kasıtlı kaymanın altını çiziyor. Bu tehditlerle başa çıkmak, kuruluşların buna göre uyum sağlamasını ve savunmalarını en savunmasız uç noktaları olarak insanları korumaya odaklamasını gerektirecek.”