Yeni, sofistike bir kimlik avı kiti olan Salty2fa, MFA’yı atlamak ve güvenilir markaları taklit etmek için gelişmiş taktikleri kullanıyor. Bu “kimlik avı 2.0” saldırılarının geleneksel güvenlik savunmalarına nasıl meydan okuduğuna dair uzman analizini okuyun.
Bir kimlik avı kiti tarafından yönetilen yeni bir siber saldırı dönemi ortaya çıktı, bu kadar ileri, meşru yazılım şirketlerinin geliştirme uygulamalarını taklit ediyor. Sadece hackread.com ile paylaşılan yeni araştırmalarda, OnTinue Siber Savunma Merkezi, Salty2FA olarak bilinen yeni bir çerçeve kullanan ve kimlik avı taktiklerinde en gelişmiş güvenlik savunmalarından kaçan dramatik bir evrim gösteren sofistike bir kimlik avı kampanyasını ortaya çıkardı.
Kampanya, kurbanları meşru bir platformda barındırılan sahte bir belge paylaşım sayfasına götüren aldatıcı bir e-posta ile başlıyor. Aha.io. Bu hesabın 3 Eylül 2025’te oluşturulduğu ve ücretsiz deneme esasına göre çalıştığı bildirildi.
Bu ilk cazibe, bir kullanıcının iyi bilinen bir hizmete olan güvenini kullanacak şekilde tasarlanmıştır. Tıkladıktan sonra çok aşamalı bir saldırı zincirine maruz kalırlar. Bu işlem, botları durduran, otomatik güvenlik araçlarını ve kum havuzlarını ironik bir şekilde filtreleyen ve savunucuların tehdidi analiz etmesini zorlaştıran bir güvenlik özelliği olan bir Cloudflare Turnstile Captcha’yı içerir.
İlginç bir şekilde, kimlik avı kitinin altyapısı geleneksel engelleme yöntemlerinden kaçınmak için inşa edilmiştir. Oturum tabanlı dönen alt alanlar kullanır, bu nedenle her yeni kurban için yeni, benzersiz bir adres oluşturulur, bu da güvenlik ekiplerinin kötü amaçlı siteyi izlemesini ve engellemesini çok zorlaştırır.
Taklit etme sanatı
Raporlarında OnTinue araştırmacıları, saldırganların kimliğe bürünme sanatına hakim olduklarını belirtti. SALTY2FA kiti, bir kurbanın e -posta alanına göre hileli oturum sayfalarını otomatik olarak özelleştirir. Bu “dinamik kurumsal markalaşma” işlevselliği, bir şirketin giriş portalının logosu, renkleri ve stiliyle birlikte otantik görünümlü bir kopyasını oluşturur.
Araştırma, sosyal mühendislik çabalarını geliştirmek için sistematik bir yaklaşımı temsil eden sağlık, finans, teknoloji ve enerji gibi sektörler arasında bu geniş hedeflemeyi doğruladı.
Daha da kötüsü, kit, SMS, kimlik doğrulayıcı uygulamaları ve telefon görüşmeleri dahil olmak üzere altı farklı çok faktörlü kimlik doğrulama türünü bile simüle eder. Bu, kurbanları gerçek, güvenli bir sitede olduklarına ikna eder, çünkü kit kritik bir güvenlik katmanını atlar. Kötü amaçlı yazılım ayrıca güvenlik araştırmacılarını engellemek için karmaşık kod gizlemesi ve anti-tahsis etme teknikleri kullanır.
Daha büyük resim
Bu kampanyanın karmaşıklığı, yerleşik bir suç grubunun arkasında olduğunu gösterse de, araştırmacılar saldırıyı kesin olarak belirli bir tehdit aktörüne bağlayamadılar. Kanıtlar, benzersiz dijital parmak izleri veya altyapı değil, benzer taktik ve tekniklerden oluşuyor, bu da bu saldırganların kimliklerini gizleme konusunda ne kadar yetenekli olduklarını gösteriyor.
Araştırmacılar, bu kampanyanın siber güvenlikte artan bir krizi vurgulayan daha büyük bir trendin parçası olduğuna inanıyorlar. Menlo Security’den gelen yeni verilere göre, tarayıcı tabanlı kimlik avı saldırıları 2023’e kıyasla% 140 artış gördü ve bunlardan önce güvenlik açıklarını kullanan sıfır saatlik kimlik avı saldırıları, aynı dönemde% 130 arttı. Bu artış, gelişmiş kimlik avı kitlerinin standart güvenlik araçlarını nasıl geçtiğini ve kullanıcı farkındalığını ana savunma olarak bıraktığını gösteriyor.
Uzmanlar Yorumları
Birkaç güvenlik uzmanı bu yeni tehdidi analiz etti ve içgörülerini hackread.com ile paylaştı. Kıdemli Başkan Yardımcısı Nicole Carignan, Güvenlik ve AI Stratejisi ve Darktrace Field Ciso, birçok güvenlik aracının yeni tehditleri tanımadığına dikkat çekti. Örgütlerin son savunma hattı olarak çalışanlara güvenemeyeceğini vurguladı. Bunun yerine, “şüpheli etkinliği doğru bir şekilde tanımak” için normal kullanıcı etkinliğinin bir profilini oluşturabilecek makine öğrenme araçlarını kullanmalıdırlar.
Sectigo kıdemli üyesi Jason Soroko, tüm çok faktörlü kimlik doğrulamasının eşit yaratılmadığını açıkladı. MFA saldırganlar için zorluğu artırırken, “paylaşılan sırlara” dayanan zayıf formların, bir kerelik bir şifre gibi, sahte kimlik doğrulama sayfalarına normal şifreler kadar savunmasız olabileceğini açıkladı. Eğitim ve farkındalığın MFA’nın etkinliğini desteklemek için çok önemli olduğunu vurguladı.