Yakın tarihli bir kimlik avı kampanyası, Microsoft Outlook’un kurumsal kullanıcılardan kötü niyetli bağlantıları gizlemek için HTML e -postalarını benzersiz bir şekilde ele alan sofistike bir teknik ortaya koydu.
Başlangıçta bir Çek bankasını taklit eden standart bir kimlik avı denemesi olarak görünen saldırı, mesajı açmak için kullanılan e -posta istemcisine bağlı olarak farklı içerik görüntülemek için şartlı HTML yorumlarından yararlanır.
Bu yöntem, saldırganların Outlook kullanıcılarına meşru bir banka URL’si göstermesine izin verirken, diğer herkesi kimlik bilgisi hasat sitesine yönlendirir.
.png
)
Rapora göre, bu kaçırma tekniğinin çekirdeği Microsoft’un “MSO koşullu etiketleri” olarak bilinen tescilli koşullu yorumlarında yatmaktadır.
Bu etiketler, geliştiricilerin yalnızca Outlook’un tanıdığı özel yorumlarda HTML kodunu sararak Outlook’un belirli sürümlerini hedeflemelerine olanak tanır.
Sözdizimi şuna benziyor:
xml
Update Your Info
: Bu bloğun içindeki içerik yalnızca Outlook tarafından oluşturulur....: Bu bloğun içindeki içerik Outlook hariç tüm istemciler tarafından oluşturulur.
Bu kimlik avı kampanyasında, saldırganlar bu koşullu ifadeleri, genellikle kurumsal ortamlarda görünüm kullanan güvenlik ekiplerinin yalnızca güvenli, meşru bağlantıya bakmasını sağlamak için kullanırlar.
Bununla birlikte, diğer e -posta istemcilerini (Gmail veya Thunderbird gibi) kullanan alıcılar, başarılı bir kimlik bilgisi hırsızlığı şansını artırarak kötü niyetli bağlantı gösterilir.
E -posta istemcileri kimlik avı e -postasını nasıl oluşturur?
| E -posta İstemcisi | Görüntülenen bağlantı | Oluşturulan kod bloğu |
|---|---|---|
| Outlook (Masaüstü) | https://benign-bank.com | |
Güvenlik etkileri ve azaltma stratejileri
Bu teknik özellikle tehlikelidir, çünkü birçok geleneksel e -posta güvenlik ağ geçitlerini atlayabilir.
Bu ağ geçitleri genellikle HTML yorumları içindeki içeriği göz ardı ederek, uygulanamaz olduğu varsayılarak, ancak Outlook’un koşullu yorumları bir istisnadır.
Sonuç olarak, kötü niyetli yük, güvenlik filtrelerini geçebilir ve ilk analizden gizlenebilir.
Azaltma önerileri:
- MSO koşullu yorumları ayrıştırma ve etkisiz hale getirebilen gelişmiş e -posta güvenlik ağ geçitlerini dağıtın.
- Kullanıcıları, bağlantı Outlook’ta meşru görünse bile, özellikle hassas bilgiler isteyenler, acil eylem çağrısında bulunan e -postalar konusunda temkinli olmalarını sağlayın.
- Gizli kötü amaçlı içeriği ortaya çıkarmak için birden fazla istemciye şüpheli e -postaları açan sanal alan kümesi araçları kullanın.
Örnek algılama kuralı (sözde kod):
pythonif "" in email_html:
flag_as_suspicious(email)
Outlook’un kimlik avı için koşullu yorumlarının kötüye kullanılması yeni olmasa da-2019 gibi erken bir tarihte belgelenmiştir-gerçek dünya saldırılarında ortaya çıkıyor.
Bu yöntem, güvenlik ekiplerinin tercih ettikleri e -posta istemcisinde görünen şeyin ötesine bakma ve platformlar arasında HTML oluşturma nüanslarını anlaması gerektiğinin altını çizmektedir.
Saldırganlar yenilik yapmaya devam ettikçe, farkındalık ve teknik uyanıklık gelişen kimlik avı tehditlerine karşı en iyi savunmalar olmaya devam ediyor.
Bilgilendirilmiş ve savunmaları güncelleyerek, kuruluşlar bu nüanslı ve teknik olarak gelişmiş kimlik avı kampanyalarına karşı kendilerini daha iyi koruyabilirler.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun