Netcraft yakın zamanda bir Japon finans kurumu olan GDO Aozora Bank’ı hedef alan şüpheli bir URL’yi ortaya çıkardı. URL, görsel olarak bankanın kimliğine bürünmek ve müşterileri kandırmak için eski bir web tekniği olan Temel Kimlik Doğrulama URL’si biçimlendirmesinden yararlanıyordu.
Bu keşif, hala bu eski ama etkili tekniğe dayanan kimlik avı etkinliğinin daha geniş bir incelemesine yol açtı ve tehdit aktörlerinin gündelik denetimi atlatmak için kullanımdan kaldırılmış web standartlarını nasıl yeniden kullanabileceğini ortaya çıkardı.
Temel Kimlik Doğrulama, şu biçimi kullanarak bir URL’deki kimlik bilgilerini iletmek için onlarca yıllık bir yöntemdir: hxxps://username:[email protected].
Başlangıçta eski web sunucularında basit erişim kontrolü için tasarlanan bu özellik, kimlik bilgilerinin URL’lere yerleştirilmesi, bunların tarayıcı geçmişinde, günlüklerde ve yönlendiren başlıklarında açığa çıkmasına neden olduğundan günümüzde nadiren kullanılmaktadır. Bununla birlikte, modern tarayıcılar bu sözdizimini desteklemeye devam ederek saldırganların görsel yanıltma amacıyla bu sözdiziminden yararlanmasına olanak tanıyor.
Kimlik avı senaryolarında, saldırgan URL’nin “kullanıcı adı” kısmına güvenilen bir alan adı yerleştirir ve hemen ardından @ sembol ve gerçek, kötü amaçlı etki alanı.
Kesilmiş bir bağlantıyı gözden geçiren veya görüntüleyen bir kullanıcı, önce güvenilen markayı görür ve tarayıcının aslında alan adına ondan sonra bağlandığını fark etmeden tıklayabilir. @.
Bu teknik özellikle URL’lerin önizlendiği veya kısaltıldığı ortamlarda (e-posta istemcileri, mesajlaşma uygulamaları ve mobil tarayıcılar gibi) etkilidir çünkü yalnızca başlangıçtaki tanıdık metin görünür.
GDO Aozora Kimlik Avı Kampanyası Ayrıntıları
GDO Aozora Bank’ın kimliğine bürünen ilk Temel Kimlik Doğrulama URL’sinin tanımlanmasının ardından araştırmacılar, benzer yapılandırılmış bağlantılardan oluşan koordineli bir kampanya keşfettiler.
Gömülü her URL gmo-aozora.com (veya bir varyantı) öncesinde @ ve aynı kimlik avı sayfalarını barındıran ilgisiz alanlara işaret etti. İlk URL şuydu:
texthxxps://gmo-aozora.com%25Z9IQ7POD%25b5r14s6j%[email protected]/sKgdiq
Alanlar coylums.com, blitzfest.comVe pavelrehurek.com hepsi yol altında aynı kimlik avı içeriğini sundu /sKgdiq.
Geçmiş DNS ve barındırma kayıtları, bu alan adlarının bir zamanlar, kullanıcılardan robot olmadıklarını onaylamalarını ve “Ben robot değilim” kutusunu tıklamalarını isteyen “Güvenlik Kontrolü” etiketli Japonca bir CAPTCHA sayfası görüntülediğini ve sahte giriş formunu sunmadan önce sahte güvenilirlik sağladığını ortaya koyuyor.
Daha Geniş Kimlik Avı Eğilimleri
Temel Kimlik Doğrulama kimlik avının yaygınlığını ölçmek için araştırmacılar 14 günlük bir süre boyunca gözlemlenen URL’leri örnekledi ve en az 214 benzersiz örnek belirledi.
Amazon ve Google’dan Facebook, Yahoo, LinkedIn, Netflix, DHL, FedEx, Bank of America ve SoftBank’a kadar büyük küresel markalar hedef alındı. Örnekler şunları içerir:
- Amazon:
hxxps://amazon.jp-bghqtjbe%2Fufeuxoj…@lyfak.com/xekqxdyfj/rovglb… - Google:
hxxps://accounts.google.com+signin=secure…@lzx.enj.mybluehost.me/wp-admin… - Facebook:
hxxps://[email protected]/link/114903467869602196
Dikkat çekici bir şekilde, 214 URL’den 153’ü (yaklaşık %71,5’i) özellikle Japon kullanıcılarını ve kuruluşlarını hedef aldı. .jp üst düzey alan adı veya Japonya’ya özgü alan adları gibi docomo.co.jp Ve ocn.ne.jp.
Kimlik avı e-postaları genellikle hesap kapatma, güvenlik uyarıları veya faturalandırma sorunları gibi acil bildirimler gibi görünerek kullanıcıları yanıltıcı bağlantıya tıklamaya ve sahte bir giriş veya doğrulama işlemini tamamlamaya teşvik eder.
Bu araştırma, Temel Kimlik Doğrulama URL’si biçimlendirmesi gibi eski web özelliklerinin, bir tehdit aktörünün cephaneliğindeki güçlü araçlar olmaya devam ettiğinin altını çiziyor.
Güvenli kullanım açısından kullanımdan kaldırılmış olsa da tekniğin modern tarayıcılarla uyumluluğu ve kullanıcıları görsel olarak yanıltma yeteneği etkinliğini sürdürüyor.
Japon finans ve tüketici markalarına karşı yürütülen bu kampanyanın gösterdiği gibi, görünüşte arkaik işlevler bile, hedefe yönelik sosyal mühendislikle birleştirildiğinde karmaşık kimlik avı operasyonlarını ateşleyebilir.
Bağlantı incelemesinde dikkatli olmak ve iyileştirilmiş tarayıcı kullanıcı arayüzü ipuçları, bu aldatıcı derecede basit ama etkili saldırıları azaltmak için çok önemlidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.