Ekim 2025’in başlarında, kullanıcıları hassas kimlik bilgilerinin ifşa edilmesi yönünde kandırmak için eski Temel Kimlik Doğrulama URL’lerinden yararlanan retro kimlik avı tekniğinin yeniden canlandığı görüldü.
Tehdit aktörleri şu formatta bağlantılar hazırladı: https://username:[email protected]meşru hizmetleri görsel olarak taklit etmek için güvenilir bir kurumun etki alanını kullanıcı adı alanına yerleştirir.
Kullanıcılar bu bağlantılara tıkladığında tarayıcıları, belirtilen kötü amaçlı etki alanında kimlik doğrulaması yapar. @ sahte siteye yönelik kimlik bilgilerini sessizce topluyor.
Bu taktik özellikle uzun URL’leri kesen ve URL’den önce yalnızca aldatıcı kısmı gösteren mobil uygulamalarda ve e-posta istemcilerinde etkilidir. @ sembol.
Netcraft analistleri, bu saldırıların ilk dalgasının, saldırganların aşağıdaki URL’leri kaydettiği Japonya’daki GDO Aozora Bank müşterilerini hedef aldığını belirtti. hxxps://gmo-aozora.com%[email protected]/sKgdiq.
Kimlik avı e-postalarında bu bağlantılarla karşılaşan kurbanlardan, meşru bir güvenlik kontrolünü simüle etmek üzere tasarlanmış Japonca bir CAPTCHA sayfasını doldurmaları istendi.
.webp)
Modern tarayıcıların Temel Kimlik Doğrulama URL’lerini desteklemesine rağmen, bu biçim, güvenlik endişeleri nedeniyle gözden düştü ve bu da onu sıradan URL incelemesinden kaçan beklenmedik bir vektör haline getirdi.
İlk keşfin ardından Netcraft araştırmacıları, iki haftalık bir süre içinde 200’den fazla benzersiz Temel Kimlik Doğrulama kimlik avı URL’si tespit etti.
Saldırılar; Amazon, Google ve Netflix gibi büyük markaların kimliğine bürünerek genellikle kötü amaçlı etki alanlarını tanıdık adların arkasına gizledi.
Bunun bir örneği Netflix’i kandırarak alıcıları meşru görünen bir bağlantıya tıklamaya teşvik etti, ancak onları Netflix’te barındırılan kimlik bilgisi hırsızlığı yapan bir komut dosyasına yönlendirdi. themiran.net.
Birden fazla kötü amaçlı alanın ve kodlanmış belirteçlerin koordineli kullanımı, meşru kimlik doğrulama akışları yanılsamasını güçlendirdi.
Bu kimlik avı bağlantıları, basit kimlik bilgisi toplamanın ötesinde, otomatik kaldırma çabalarını geciktirmek ve kurbanlar arasındaki güveni güçlendirmek için insan doğrulama CAPTCHA’ları da uyguladı.
CAPTCHA sayfası, kullanıcıların sahte bir giriş formuna geçmeden önce “Ben robot değilim” seçeneğini tıklamasını gerektiren bir güvenlik kontrol noktasını taklit ediyordu. Bu ekstra adım, hem sayfanın algılanan meşruiyetini artırdı hem de saldırganlara kimlik bilgilerini ele geçirmeleri için ek süre kazandırdı.
Enfeksiyon Mekanizması ve Kimlik Bilgilerinin Süzülmesi
Güvenliği ihlal edilmiş bir Temel Kimlik Doğrulama URL’sine tıklandığında, kurbanın tarayıcısı, kimlik bilgileri alanının güvenilen etki alanı metnine ayarlandığı bir HTTP GET isteği yayınlar.
Örneğin:-
GET /sKgdiq HTTP/1.1
Host: coylums.com
Authorization: Basic Z21vLWFvem9yYS5jb206 Burada, Z21vLWFvem9ycmEuY29tOg== dizenin Base64 kodlu gösterimidir gmo-aozora.com:. Sunucu, gömülü “kullanıcı adının” varlığını doğrulamak için bu başlığın kodunu çözer ve ardından bankanın oturum açma arayüzünü taklit eden kimlik avı sayfasını sunar.
Gönderilen kimlik bilgileri, POST isteği aracılığıyla saldırganın arka uç noktasına gönderilir ve burada daha sonra kötüye kullanılmak üzere toplanır.
Bu mekanizma, yerleşik kimlik doğrulama belirteçleri yerine sorgu dizelerine odaklanan tipik URL filtrelerini atlar.
Saldırganlar, bu eski HTTP özelliğini yeniden canlandırarak eski standartların modern kimlik avı kampanyaları için nasıl yeniden kullanılabileceğini gösterdi.
Finansal kurumlar ve güvenlik ekipleri, bağlantılardaki Temel Kimlik Doğrulama belirteçlerini tespit etmek ve engellemek için URL inceleme kurallarını güncellemeli ve kullanıcıları bilinmeyen gömülü kimlik bilgilerinin tehlikeleri konusunda eğitmelidir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
