VIPRE raporuna göre, kimlik avı e-postalarının %85’i e-posta içeriğindeki kötü amaçlı bağlantıları kullandı ve spam e-postalar 2023’ün 1. çeyreğinden 2. çeyreğine kadar %30 arttı.
VIPRE’nin önceki üç aylık raporuyla karşılaştırıldığında, bilgi teknolojisi kuruluşları, ikinci çeyrekte kimlik avı için en çok hedeflenen sektör olarak finansal kuruluşları (%9) geride bıraktı.
Yeni makro içermeyen malspam e-posta kampanyası
- Kötü amaçlı e-postaların %58’i sahte içerik kullandı
- İkinci çeyrekteki spam e-postaların %67’si ABD’den geldi
- Qakbot, 2023’ün 2. çeyreğinde en iyi kötü amaçlı yazılım ailesi oldu
VIPRE, analizinde ayrıca sahte bir “.docx” içeren yeni, makrosuz bir malspam e-posta kampanyası keşfetti; makrosuz olması, saldırganın geleneksel makro kötü amaçlı yazılımlara yanıt olarak Microsoft Office programlarına eklenen güvenlik uyarılarını atlaması anlamına gelir. Bu özel kampanya, kurban dosyayı açtığında çağrılan kötü amaçlı bir harici kaynak sayfası içeriyordu.
Daha önce bilinmeyen bir malspam e-posta kampanyası, CVE-2022-30190 (veya “Follina) güvenlik açığından yararlanıyor ve Microsoft Destek Teşhis Aracından (MSDT) yararlanarak kurbanın sisteminde uzaktan kod yürütülmesini (RCE) kolaylaştırıyor.
Ayrıca, 2023’ün ikinci çeyreğinde, VIPRE’nin tespit ettiği yaklaşık 230 milyon kötü amaçlı e-postanın %58’i (~130 milyon) kötü niyetli içerikten yararlandı. Benzer şekilde, bu e-postaların %42’si (~95,7 milyon) kötü amaçlı bağlantılar içeriyordu ve en ilginci, VIPRE davranış odaklı izlemeyle 5 milyon kötü amaçlı ekten 90.000’ini tespit etti.
Kötü amaçlı içerik
Kötü amaçlı içerik muhtemelen 2023’ün 2. çeyreği listesinin başında yer alıyor çünkü güvenlik farkındalığı programlarının giderek yaygınlaşmasıyla birlikte kullanıcıların şüpheli bağlantıları veya ekleri açma olasılıkları azalıyor. Siber suçlular, kurbanları bir ödemeyi onaylama veya gönderme gibi bir eylemi gerçekleştirmeye kandırmak için kötü amaçlı içerik kullanır; bu da tespit edilmesi çok daha zordur.
Kötü amaçlı içeriğin etkisi aynı zamanda ikinci çeyrekte neden bu kadar çok dolandırıcılık e-postasının (%48) BEC dolandırıcılığı olduğunu da açıklıyor çünkü bunlar genellikle içeriği bağlantılara veya eklere tercih ediyor.
Rapora göre, en önemli e-posta tehdidi saldırı hedefleri 2023’ün birinci çeyreğinden ikinci çeyreğine önemli ölçüde değişti; finansal kuruluşların oranı ilk çeyrekteki %25’ten ikinci çeyrekte yalnızca %9’a düştü. Bu düşüş muhtemelen finans kurumlarının bu saldırıları önlemek için kaynak ayırmaya devam etmesinden kaynaklanıyor; bu da siber suçluların daha düşük başarı oranı anlamına geliyor.
Anahtar kimlik avı saldırısı vektörü olarak QR kodları
Değerlendirme sırasında VIPRE ayrıca birçok kimlik avı e-postasının birincil saldırı yöntemi olarak QR kodlarını kullandığını ve bunun kullanıcıları kimlik avı sayfasına yönlendirdiğini keşfetti. QR kodlarının artan kullanımı, kullanıcıların kötü amaçlı bağlantılar veya ekler gibi geleneksel e-posta tabanlı saldırı tekniklerinin giderek daha fazla farkına vardığını ve tehdit aktörlerini daha alışılmadık yöntemlere geçmeye zorladığını gösteriyor.
Spam e-postaların çoğu (%67) ABD’den gelse de, siber suçlular tespit edilmekten kaçınmak için menşe konumlarını gizler.
VIPRE ürün ve teknoloji sorumlusu Usman Choudhary, “Çok az sayıda tedarikçi, e-posta tehdidi ortamını doğru bir şekilde analiz edecek deneyime, uzmanlığa ve kaynaklara sahiptir” dedi. “Müşterilerimizin geniş ve çeşitli iş ortamlarında bize sunulan milyarlarca veri noktasına dayanarak, doğru ve eyleme dönüştürülebilir e-posta tehdidi araştırması sunmak için yirmi yılı aşkın veri ve deneyimden yararlanabiliyoruz.”