Egress’e göre siber suçlular, güvenli e-posta ağ geçitleri de dahil olmak üzere geleneksel çevre güvenliğini ihlal etmek için tasarlanmış, gelişen saldırı metodolojilerini kullanıyor.
Tehdit Başkan Yardımcısı Jack Chapman, “Hiç şüphesiz sohbet robotları veya büyük dil modelleri (LLM), siber suçlara giriş engelini azaltarak, iyi yazılmış kimlik avı kampanyaları oluşturmayı ve daha az yetenekli kodlayıcıların tek başına üretemeyeceği kötü amaçlı yazılımlar üretmeyi mümkün kılıyor” dedi. İstihbarat, Çıkış.
“Ancak, yüksek lisans uygulamalarının en endişe verici, ancak en az konuşulan uygulamalarından biri, yüksek hedefli saldırılara yönelik keşiftir. Bir sohbet robotu, giderek yaygınlaşan sosyal mühendislik kampanyaları için bahane olarak kullanılabilecek, seçilen bir hedef hakkında açık kaynaklı bilgi edinmek için saniyeler içinde interneti tarayabilir. Bana sık sık Yüksek Lisans’ın oyunu gerçekten değiştirip değiştirmediği soruluyor, ancak sonuçta bu, sahip olduğunuz savunmaya bağlı. İmza tabanlı ve itibara dayalı algılamayı kullanan geleneksel çevre algılamaya güveniyorsanız, bir e-postanın yasal olup olmadığını belirlemek için tanım kitaplıklarına ve etki alanı kontrollerine dayanmayan entegre bulut e-posta güvenliği çözümlerini acilen değerlendirmeniz gerekir. Olumsuz!”
Gelişen saldırı teknikleri
Tehditler geliştikçe siber güvenlik sektörünün e-postadaki insan riskini yönetmeye devam etmek için birlikte çalışması gerekiyor.
RingCentral’dan takma ad kimliğine bürünme saldırılarına ve sosyal medyadan yararlanarak güvenlik yazılımı kimliğine bürünme ve cinsel şantajlara kadar, 2023’te kimlik avı saldırılarında hiç eksiklik yaşanmadı. Bir numaralı kimlik avı konusu, gözden kaçan sesli mesajlardı ve bu, Ocak-Eylül ayları arasındaki kimlik avı saldırılarının %18,4’ünü oluşturuyordu. 2023, bu da onları yılın şu ana kadar en çok kimlik avı yapılan konusu haline getiriyor. Bu saldırıların çoğu, yüklerini gizlemek için HTML kaçakçılığını kullanıyor.
Siber suçluların kimlik avı kampanyaları ve kötü amaçlı yazılımlar oluşturmak için sohbet robotlarını kullanma potansiyeli endişe kaynağı olmuştur, ancak bir kimlik avı e-postasının bir sohbet robotu tarafından yazıp yazmadığını söylemek mümkün mü? Raporda, hiçbir kişinin veya aracın, bir saldırının bir chatbot tarafından yazıp yazmadığını kesin olarak söyleyemediği ortaya çıktı. Büyük dil modellerini (LLM’ler) kullandıklarından, çoğu dedektör aracının doğruluğu, daha uzun örnek boyutlarıyla artar ve genellikle çalışmak için en az 250 karakter gerektirir. Kimlik avı e-postalarının %44,9’u 250 karakter sınırını karşılamazken ve %26,5’i de 500 karakterin altına düşerken, şu anda yapay zeka dedektörleri saldırıların %71,4’ünde ya güvenilir şekilde çalışmıyor ya da hiç çalışmıyor.
Gizleme teknikleri kullanan kimlik avı e-postalarının oranı 2023’te %24,4 artarak %55,2’ye yükseldi. Gizleme, siber suçluların saldırılarını belirli tespit mekanizmalarından gizlemelerine olanak tanır. Egress, gizleme kullanan kimlik avı e-postalarının %47’sinin, hedef alıcıya başarılı bir şekilde teslim edilmesini sağlamak amacıyla e-posta güvenlik savunmalarını atlama şansını artırmak için iki katman içerdiğini buldu. %31’i yalnızca tek bir teknik kullanıyor. HTML kaçakçılığı, vakaların %34’ünü oluşturan en popüler gizleme tekniği olduğunu kanıtladı.
Graymail parçalara ayrıldı
Graymail’in siber güvenliği nasıl etkilediğini anlamak için Egress araştırmacıları, kuruluşların dört hafta boyunca aldığı 63,8 milyon e-postayı analiz etti. Ortalama olarak posta akışının %34’ünün gri posta (bildirimler, güncellemeler ve tanıtım mesajları gibi toplu ancak talep edilen e-postalar) olarak sınıflandırılabileceğini buldular. Ayrıca Çarşamba ve Cuma, Graymail göndermek veya almak için haftanın en popüler günleridir. Araştırma, Graymail’in hacmi ile alınan kimlik avı e-postalarının hacmi arasında doğrudan bir ilişki olduğunu buldu; Gelen kutuları daha yoğun olan kişilerin kimlik avı kampanyaları tarafından hedef alınma olasılığı daha yüksektir.
Geleneksel çevre tespiti yetersiz kalıyor
Geleneksel çevre tespitinden geçen kimlik avı e-postalarının sayısı artıyor; bu nedenle genel hacim artmasa da, saldırıların karmaşıklığı artıyor ve siber suçlular, çevre e-posta güvenliğini başarılı bir şekilde aşmak için çok sayıda taktik kullanıyor.
Microsoft savunmasından geçen e-postaların yüzdesi 2022’den 2023’e %25 arttı. Aynı şekilde, güvenli e-posta ağ geçitlerinden (SEG’ler) geçen e-postaların yüzdesi de 2022’den 2023’e %29 arttı.
Ayrıca, 2023 yılında ele geçirilen hesaplardan gönderilen kimlik avı saldırılarında %11’lik bir artış oldu. Güvenliği ihlal edilen hesaplar güvenilir alan adlarıdır, dolayısıyla bu saldırılar genellikle geleneksel çevre tespitinden geçer. Microsoft’un tespit ettiği kimlik avı saldırılarının %47,7’si güvenliği ihlal edilmiş hesaplardan gönderildi. En yaygın veri yükü türü, web sitelerine yönelik kimlik avı bağlantılarıdır (%45). Bu oran 2022’de %35’ti. Ayrıca tüm veriler, imza tabanlı algılamayı bir dereceye kadar atladı.
Jack Chapman şunları ekliyor: “Bu raporu, siber güvenlik profesyonellerine gelişmiş saldırılara ilişkin içgörü sağlamak için hazırladık ve gerçek zamanlı öğretilebilir anların, insanların kimlik avı e-postalarını doğru bir şekilde tanımlama yeteneğini gerçekten geliştirdiğini gördük. E-posta güvenliğine yönelik eski yaklaşımlar, büyük ölçüde son kullanıcıların kimlik avı e-postalarını görmesini engelleyen karantinaya dayanır, ancak raporumuzun da vurguladığı gibi, kimlik avı e-postaları kaçınılmaz olarak başarılı olacaktır. Gelen kutusundaki tehditleri etkisiz hale getirmek için dinamik bannerlar ekleyerek karantina modelini tersine çevirmemizin nedenlerinden biri de budur. Bu banner’lar, kullanıcıyı eğiten öğretilebilir anlar görevi görerek, riski anlaşılması kolay, zamanında ve konuyla ilgili bir şekilde açık bir şekilde açıklamak üzere tasarlanmıştır. Sonuçta birine kimlik avını yakalamayı öğretmek, uzun vadeli dayanıklılık açısından daha sürdürülebilir bir yaklaşımdır.”