Yeni Kimlik Avı Saldırısı Cloudflare R2 Barındırma Hizmetinden Yararlanıyor


Yeni Kimlik Avı Saldırısı, Bulut Parolalarını Çalmak için Cloudflare R2 Barındırma Hizmetinden Yararlanıyor

Çıkış bant genişliği ücreti ödemeden geliştiricilere uygun maliyetli, büyük ölçekli bir veri depolama platformu sağlayan aşağıdaki platformlar gibi Cloudflare R2 barındırma hizmeti:-

  • Amazon S3
  • Google GCS’si
  • Azure Blob Depolama

Beta testi için Cloudflare R2, ilk olarak Mayıs 2022’de piyasaya sürüldü ve Ağustos 2022’de Cloudflare, R2 bulut barındırma hizmetini herkese açık olarak başlattı.

Netskope Threat Labs’deki siber güvenlik analistleri, kısa bir süre önce, Şubat’tan Temmuz 2023’e kadar Cloudflare R2 tarafından barındırılan kimlik avı sayfalarına yönelik trafikte 61 kat şok edici bir artış kaydetti.

Çoğunlukla Microsoft kimlik bilgilerine odaklanan bu kimlik avı kampanyaları, aşağıdakiler gibi diğer bulut uygulamalarını da kapsar: –

Bununla birlikte, bu kimlik avı kampanyalarının ana hedefleri, aşağıdakiler gibi çeşitli sektörler ve sektörlerden öncelikli olarak Kuzey Amerika ve Asya’dandır:-

  • teknoloji
  • Finansal hizmetler
  • bankacılık sektörleri

Kimlik avı sayfaları

Kimlik avı sayfalarının dağıtımı için, bu kimlik avı kampanyalarının arkasındaki tehdit aktörleri, Cloudflare R2’nin ücretsiz barındırma hizmetinden yararlanır. Bunun dışında, iki istisnai teknik yardımıyla, operatörler tarayıcılardan ve URL analizörlerinden kurtulur.

İstenmeyen erişimi engellemek ve sayfaları korumak için Cloudflare Turnstile yardımıyla bir CAPTCHA uyguluyorlar.

Ayrıca, kötü amaçlı içerik yalnızca belirli kurbanları hedefleyen başka bir zararlı kaynak tarafından desteklendiğinde yüklenir.

Cloudflare Turnike (Kaynak – Netskope)

Tehdit aktörleri Clouflare’in ücretsiz alt etki alanından yararlandığından, kullanıcıların aşağıdaki modele sahip URL’leri aramaları istendi:-

  • https[:]//yayın-<32_alphanumeric_string>.r2.dev/web sayfası[.]htm
Microsoft kimlik avı sayfası (Kaynak – Netskope)

Cloudflare R2 ile Kimlik Avı Sayfası

Bazı kimlik avı siteleri, Cloudflare Turnike’yi kötüye kullanmanın yanı sıra belirli kriterleri karşılayana kadar sayfanın sunumunu geciktirir.

Yönlendiren sitenin URL’sindeki bir karmadan sonraki zaman damgası, “google.com”a yönlendiren bir parametre eksikken sayfayı gösterir.

Dolayısıyla bu ikili eylem, tarayıcılara karşı koruma sağlayarak ve kurbanları tam olarak hedeflemelerini sağlayarak tehdit aktörünün kötü niyetli niyetini gizler.

Doğrudan erişim özel bir hata mesajı gösterdiğinden, gerçek kimlik avı sayfası için yönlendirenden gelen bir zaman damgası şarttır.

Hata Mesajı (Kaynak – Netskope)

Kimlik avı sitesi, bot tarafından taranan kimlik avı sayfalarını tanımlamak için açık kaynaklı bir bot algılama kitaplığı olan “Parmak İzi BotD”yi kullanır. Sayfada bot tespit edildiğinde, aşağıdaki özel hata mesajı gönderilir: –

öneriler

Aşağıda, Netskope uzmanları tarafından sağlanan tüm önerilerden bahsetmiştik:-

  • Kötü amaçlı site ziyaretlerini önlemek için, tüm HTTP ve HTTPS trafiğini düzgün bir şekilde izlediğinizden emin olun.
  • Bilinen kimlik avı ve dolandırıcılık sitelerini engellemek için sağlam bir URL filtreleme politikası uygulayın.
  • Uygun bir tehdit koruma politikasının uygulanmasını sağlayın.
  • Ek bir koruma katmanı için RBI (Uzaktan Tarayıcı İzolasyonu) teknolojisini kullandığınızdan emin olun.

Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.





Source link