Menlo Security’de Çözüm Mimarı Tom McVey tarafından
Sosyal mühendislik saldırıları, günümüzde küresel olarak kuruluşların karşı karşıya olduğu en yaygın ve tehlikeli tehditler arasındadır.
Bir çalışma, kuruluşların %83’ünün 2021’de başarılı bir e-posta tabanlı kimlik avı saldırısı yaşadığını ve bir kullanıcının kötü bir bağlantıya tıklamak, kötü amaçlı yazılım indirmek, kimlik bilgilerini sağlamak ve hatta bir banka havalesi yürütmek gibi riskli eylemlere kandırıldığını gördü. Cisco’nun 2021 Siber Güvenlik tehdidi eğilimleri raporu, kuruluşların yaklaşık %86’sında en az bir kişinin bir kimlik avı bağlantısını tıkladığını ve firma ayrıca her 10 veri ihlalinden dokuzunu kimlik avı saldırılarına bağladığını öne sürüyor.
Birçok firma için insan, siber güvenlik savunmalarındaki en zayıf halkadır ve tehdit aktörleri de bunu biliyor ve her yıl çeşitli biçimlerde oltalama kampanyaları başlatmaya devam ediyor. Kimlik bilgilerimizi girmemiz için bizi kandırarak, içsel bilişsel önyargılarımızdan yararlanırlar. Bu önyargıyı saldırganların kullandığı taktiklerle birleştirdiğinizde bu saldırıları çok başarılı kılıyor.
Saldırganların çoğu, mümkün olduğu kadar çok sayıda potansiyel kurbana ulaşmak için ağlarını her yere yaymak isteyen bir ‘püskürt ve dua et’ yaklaşımını tercih ediyor. Bununla birlikte, diğerleri, daha büyük başarı elde etmek amacıyla belirli kuruluşları veya bireyleri titizlikle hedef alan yüksek düzeyde uyarlanmış saldırılar başlatarak, hedef odaklı kimlik avı şeklinde daha tehlikeli bir yaklaşım izler.
Menlo Labs’deki ekibimiz, kullanıcı adları ve şifrelerle dolu açık bir dizini keşfettikten sonra yakın zamanda tespit etti.
Web sunucusunun içeriğini analiz ettikten sonra, tek bir hedef odaklı kimlik avı kampanyasının, çeşitli şirketlerdeki 164 kullanıcının kimlik bilgilerini 147 benzersiz yem kullanarak başarıyla tehlikeye attığını ve siber güvenlik şirketlerinden finansal hizmetlere kadar organizasyonları ve bunların arasındaki her şeyi hedeflediğini gördük.
Kiti analiz ederken benzersiz bir dizi tespit ettik: “DH4 VIP3R L337”. Bunu daha önce görmediğimiz için biraz daha derine inmeye karar verdik.
Kurban kimlik bilgilerini doğrulamanın benzersiz bir yolu
Saldırı sırasını analiz ederken, saldırganların hedef kurbanlarına özelleştirilmiş bir HTML ek yükü göndererek başlayacağını gördük. Kötü niyetli amacını tespit edemezlerse ve eki açarlarsa, genellikle kullanacakları bir hizmetin kimliğine bürünen bir kimlik avı sayfasıyla karşılaşırlar.
Saldırganlar neden bir HTML eki kullanmayı tercih etti? Çoğu güvenli e-posta ağ geçidinin (SEG) belirli dosya türleri için varsayılan blokları olsa da, HTML ekleri bu savunmalardan muaftır. Bunun nedeni, birçok büyük finans şirketinin, mesajı güvenli bir şekilde görüntülemek için önce kaydolmanızı ve bir hesap oluşturmanızı gerektiren şifreli e-postalar göndermesidir ve bu şifreli e-postalar genellikle HTML ekleri biçimindedir.
Kurban kimlik bilgilerini gönderdikten sonra, sunucu tarafında şifrenin doğrulanması ve doğrulanması gerçekleşir ve buna göre bir yanıt gönderilir. Sürecin bu kısmı, kurbanın kullanıcı adı ve şifresini içeren bir e-postayı doğrudan saldırgan tarafından kontrol edilen bir e-posta adresine göndererek PHPMailer kitaplığı kullanılarak gerçekleştirilebilir.
E-posta başarısız olursa (yani, şifrenin doğrulanması başarısız olursa), tarayıcı aracılığıyla kullanıcıya “json yanıtı” şeklinde bir hata mesajı gönderilir ve kullanıcı daha sonra cazibenin yasal web sitesine yönlendirilir. . Ancak, e-posta gönderildiyse ve parola doğrulaması başarılı olursa, istemci Microsoft OneDrive’da barındırılan bir pdf’ye yönlendirilir.
Bu şekilde saldırgan, kurban tarafından gönderilen kimlik bilgilerini doğrulamanın benzersiz bir yolunu yarattı.
Menlo Labs ekibi, bu HTML eklerinin bir yük oluşturucu kiti kullanılarak otomatik olarak oluşturulduğu sonucuna varmıştır. Onu aramak için çok zaman harcadıktan sonra, şu anda onu bulamadık. Bu nedenle, daha fazla bilgi bulana kadar onu “VIP3R_L33T Jeneratör” olarak takip edeceğiz.
Aşamalı kimlik avı tehditleriyle mücadele
Kimlik bilgileri phishing, müşterilerimizin karşılaştığını gördüğümüz en yaygın saldırı biçimi olmaya devam ediyor. Coğrafyalar, sektör dikeyleri ve farklı büyüklükteki kuruluşlar arasında… herkes etkilenir.
Platformumuzda gördüğümüz saldırıların beşte birinden fazlası, %7’si eski URL itibar motorları tarafından algılanmamakla birlikte, kimlik bilgisi phishing saldırılarıdır. Eski URL itibar kaçırma tekniklerinin bu şekilde kaçırılması (Menlo Labs ekibi tarafından LURE olarak adlandırılır), Yüksek Derecede Kaçınma Uyarlamalı Tehditlerde (HEAT) bulunan dört kaçınma tekniğinden birine atfedilebilir.
Kritik olarak, HEAT saldırılarında belirgin bir artış gördük.
Ekip, yarım milyondan fazla kötü amaçlı URL’yi analiz ettikten sonra, bunların %69’unun HEAT taktiklerinden yararlandığını belirledi. Ayrıca, 2021’in ikinci yarısında HEAT saldırılarında %224’lük bir artış gözlemlendi.
Kimlik avına karşı korunmak için kuruluşlar her zaman önce eğitim ve öğretim girişimleri yoluyla siber güvenlik bilincini geliştirmeye çalışmalıdır. Bununla birlikte, kaçınma tehditleri tehdidini azaltmak için modern işletmelerin daha da ileri gitmeleri ve güvenliğe Sıfır Güven yaklaşımını benimsemeleri ve Güvenli Erişim Hizmeti Kenarı (SASE) çerçevesini benimsemeleri gerekecektir.
yazar hakkında
Tom, EMEA bölgesi için Menlo Security’de Çözüm Mimarıdır. Farklı sektörlerdeki kuruluşlar için teknik gereksinimlerini ve mimarların web ve e-posta izolasyon dağıtımlarını karşılamak için müşterilerle yakın bir şekilde çalışır. Menlo Security’den önce Tom daha önce LogRhythm ve Varonis için çalıştı.