Siber suçlular, e-posta kimlik avı cephaneliklerini geliştirmeye devam ediyor, eski taktikleri yeniden canlandırırken, otomatik filtreleri ve insan incelemesini aşmak için gelişmiş saldırılardan yararlanıyor.
2025’te saldırganların, QR kodları, çok aşamalı doğrulama zincirleri ve canlı API entegrasyonları gibi yeni değişikliklerle şifre korumalı ekler ve takvim davetleri gibi denenmiş ve doğrulanmış yaklaşımlarla dikkat çekeceği belirtiliyor.
Bu iyileştirmeler yalnızca saldırı yaşam döngüsünü uzatmakla kalmıyor, aynı zamanda tarama araçlarındaki boşluklardan ve kullanıcıların görünüşte meşru güvenlik önlemlerine olan güveninden de yararlanıyor.
PDF ekleri içeren kimlik avı e-postaları, hem toplu hem de hedefli kampanyaların temelini oluşturmaya devam ediyor.
Tehdit aktörleri artık tıklanabilir bağlantıları doğrudan yerleştirmek yerine PDF’lerin içindeki QR kodlarını tercih ediyor. Alıcılar, kodları genellikle iş istasyonlarıyla aynı kurumsal düzeyde güvenlik kontrollerine sahip olmayan mobil cihazlarında tarar.
Bu taktik, e-posta gövdelerine QR kodları ekleme yönündeki daha önceki eğilimi yeniden canlandırıyor ancak kimlik avı URL’lerini ekstra bir dosya işleme katmanının arkasında koruyarak bunu daha da ileri götürüyor.
Saldırganlar ayrıca otomatik taramayı daha da engellemek için parola korumalı PDF’leri de benimsiyor. Şifre, gerçek güvenli iletişimi taklit edecek şekilde aynı e-postayla veya ayrı bir mesajla gelebilir.
Hassas belgelerle uğraştıklarına inanan kullanıcılar, bu e-postalara güvenme eğiliminde oluyor ve bu da, yanlışlıkla saldırganlara, güvenlik ekiplerinin içeriği incelemesinden önce kimlik bilgilerini toplaması veya kötü amaçlı yazılım dağıtması için zaman tanıyor.
Eski Takvim Taktikleri
Uzun süredir aktif olmayan kimlik avı yöntemleri geri dönüyor. Bir zamanlar Google Takvim kullanıcılarını hedef alan toplu spam gönderenler arasında popüler olan takvim tabanlı kimlik avı, B2B kampanyalarına odaklanılarak yeniden gün yüzüne çıktı.
Boş bir e-postanın açıklamasında kötü amaçlı bağlantılar içeren bir takvim daveti bulunur. Şüphelenmeyen ofis çalışanları etkinliği kabul ettiğinde, takvim uygulamasından gelen hatırlatıcılar onları günler sonra bağlantılara tıklamaya yönlendiriyor ve orijinal e-posta göz ardı edilse bile tehlikeye girme olasılığı artıyor.
Teslimat yeniliklerinin ötesinde, kimlik avı web siteleri de karmaşık güncellemelerden geçiyor. Basit “sesli mesaj” kampanyaları, sahte bir giriş formu sunmadan önce mağdurları CAPTCHA geçitli bir doğrulama zincirinden geçiriyor.
Bu katmanlı yaklaşım, statik bir kimlik avı sayfasını işaretleyebilecek otomatik güvenlik taramalarını ortadan kaldırır. Saldırganlar, sayfaları zincirleyerek ve tekrarlanan insan girdilerine ihtiyaç duyarak, kimlik bilgisi toplama arayüzüne yalnızca gerçek kullanıcıların erişmesini sağlar.
Gelişmiş MFA Bypass Yöntemleri
Çok faktörlü kimlik doğrulama (MFA), yalnızca parola içeren saldırılara karşı uzun süredir bir siper olmuştur, ancak kimlik avcıları tek seferlik kodları çalmak için canlı proxy tekniklerini benimsemiştir. Yakın tarihli bir kampanyada, bir bulut depolama sağlayıcısını taklit eden e-postalar, kullanıcıları hizmet kalitesini incelemeye davet ediyor.
Bağlantılar, tüm etkileşimleri API çağrıları aracılığıyla gerçek hizmete proxy olarak yönlendiren benzer bir alana yönlendirir. Alıcılar e-posta adreslerini girdiklerinde site, bunları gerçek kullanıcı veritabanıyla karşılaştırarak doğruluyor ve ardından saldırganın altyapısına gerçek zamanlı olarak iletilen bir OTP istiyor.
Kurban, meşru hizmetle etkileşime girdiğine inanarak kodu girdikten sonra, kimlik avcıları hem şifreyi hem de dinamik olarak oluşturulan ikinci faktörü ele geçirerek onlara tam hesap erişimi sağlıyor.
Bu yüksek kaliteli taklit, genellikle varsayılan klasörleri veya tanıdık kullanıcı arayüzü öğelerini içerir, meşruiyet yanılsamasını genişletir ve kullanıcının şüphesini geciktirir. Saldırganlar, her girdiyi gerçek hizmet üzerinden ileterek hem URL kontrollerini hem de etki alanı tabanlı savunma araçlarını atlayarak geleneksel e-posta filtrelerini büyük ölçüde etkisiz hale getiriyor.
2025’teki e-posta kimlik avı, geçmişe dönük canlanmayı son teknoloji aldatmacayla birleştiriyor. Tehdit aktörleri, QR yüklü PDF’lerden parola korumalı eklere, takvim tabanlı teslimattan API odaklı MFA bypass’ına kadar sürekli olarak taktiklerini geliştiriyor.
Bu gelişen taktiklere karşı savunma yapmak için kuruluşlar ve kullanıcılar olağandışı eklere şüpheyle yaklaşmalı, tıklamadan önce bağlantıları ve alan adlarını doğrulamalı ve şifrelenmiş dosyaları ve çok aşamalı web etkileşimlerini inceleyebilen gelişmiş tehdit avlama araçlarını kullanmalıdır.
Savunmacılar, yalnızca bu saldırıların ısrarcı ve uyarlanabilir doğasını anlayarak, becerikliliği giderek artan rakiplerden bir adım önde kalabilirler.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.