İşte anında özelleştirilmiş giriş sayfalarını otomatik olarak oluşturmak için özel kimlik avı kitlerinden yararlanan saldırıların bulanık sularına kısa bir dalış.
Kimlik avı, siber güvenlik ortamında özellikle inatçı bir tehdit olmaya devam ediyor. Bunun nedeni, kötü adamların her zaman aynı ödülün (insanların oturum açma bilgileri ve diğer hassas bilgileri) peşinde olmasına rağmen taktiklerini geliştirmekten ve uyarlamaktan asla vazgeçmemeleridir.
Son yıllarda ilgi gören tekniklerden biri de dinamik olarak oluşturulan kimlik avı sayfalarının kullanılmasıdır. Saldırganlar, özel hizmet olarak kimlik avı (PhaaS) araç setlerini kullanarak hedefledikleri kişi için ziyaret ettiği sayfayı özelleştirir ve gerçek görünümlü kimlik avı sayfalarını anında oluşturabilirler.
Hedef web sitesini zahmetli bir şekilde klonlamak yerine teknoloji konusunda daha az bilgili saldırganların bile kullanabileceği araç setlerinin ağır işleri yapmasını sağlayabilirler hem de gerçek zamanlı olarak ve kitlesel ölçekte. LogoKit adı verilen bu tür bir araç setinin iyi bilinen bir örneği, ilk olarak 2021’de manşetlere çıktı ve görünüşe göre o zamandan beri hiçbir yere gitmedi.
Bu kimlik avı farklı kimlik avı
Peki, bu numaralar gerçekte nasıl oynanıyor?
Tahmin edilebileceği gibi, yem genellikle aciliyet veya merak duygusu yaratmayı amaçlayan bir e-posta ile başlar; bu, iki kez düşünmeden hızlıca tıklamanızı sağlamak için tasarlanmış bir şeydir.
Bağlantıya tıkladığınızda Clearbit gibi yasal bir üçüncü taraf pazarlama hizmetinin API’sini (Uygulama Programlama Arayüzü) kötüye kullanırken kimliğine bürünülen şirketin logosunu otomatik olarak alabilen bir web sitesine yönlendirilirsiniz.
Başka bir deyişle, kimlik bilgisi toplama sayfası, taklit edilen şirketin logosunu ve diğer marka unsurlarını almak için ticari veri toplayıcıları ve basit site simgesi arama hizmetleri gibi kaynakları sorgular, hatta bazen taktiğin özgünlük havasını daha da artıran ince görsel ipuçları veya bağlamsal ayrıntılar ekler.
Aldatmacaya ek olarak, saldırganlar adınızı veya e-posta adresinizi önceden siteyi daha önce ziyaret etmişsiniz gibi görünmenizi de sağlayabilir.
Giriş bilgileri bir AJAX POST isteği aracılığıyla saldırganlara gerçek zamanlı olarak gönderilir. Sayfa sonunda sizi en başından beri ziyaret etmeyi amaçladığınız gerçek meşru web sitesine yönlendirir ve çok geç olana kadar hiçbir şeyden haberdar olmamanıza neden olur.
Denizde balık, karşınızda kimlik avı
Muhtemelen şimdiye kadar anlaşılmıştır ancak bu teknik birkaç nedenden dolayı saldırganlar için bir nimettir:
- Gerçek zamanlı özelleştirme: Saldırganlar sayfanın görünümünü herhangi bir hedef için anında uyarlayabilir, logoları ve diğer marka öğelerini kamu hizmetlerinden anında temin edebilir.
- Geliştirilmiş kaçınma: Saldırıları meşru görsel öğelerle maskelemek, birçok kişi ve bazı spam filtreleri tarafından tespit edilmekten kaçınmaya yardımcı olur.
- Ölçeklenebilir ve çevik dağıtım: Saldırı altyapısı genellikle hafiftir ve Firebase, Oracle Cloud, GitHub gibi bulut platformlarında kolayca konuşlandırılabilir. Bu da bu kampanyaların ölçeklendirilmesini kolaylaştırır ve savunucuların hızlı bir şekilde tespit edip ortadan kaldırmasını zorlaştırır.
- Giriş engellerinin azaltılması: LogoKit gibi araç setleri yeraltı forumlarında kolayca bulunabiliyor ve teknoloji konusunda daha az bilgili kişilere bile saldırı başlatmak için gereken araçları sağlıyor.
Kancadan uzak durun
Gelişen kimlik avı taktiklerine karşı savunma, sürekli kişisel farkındalık ve sağlam teknik kontrollerin bir kombinasyonunu gerektirir. Bununla birlikte, denenmiş ve doğru birkaç kural sizi güvende tutmak için uzun bir yol kat edecektir.
Bir e-posta, metin veya arama sizden bir bağlantıya tıklamanızı, bir dosya indirmenizi veya bilgi vermenizi isterse duraklayın ve bağımsız olarak doğrulayın. Şüpheli mesajlardaki bağlantılara doğrudan tıklamayın. Bunun yerine, yasal web sitesine gidin veya güvenilir, bilinen bir telefon numarası veya e-posta adresi aracılığıyla kuruluşla iletişime geçin.
En önemlisi, başta değerli hesaplarınız olmak üzere tüm çevrimiçi hesaplarınızda güçlü ve benzersiz bir parola veya şifre kullanın. Bunu mümkün olan her yerde iki faktörlü kimlik doğrulama (2FA) ile tamamlamak da tartışılmaz bir savunma hattıdır. 2FA, saldırganların parolanızı çalmayı başarsalar veya veri sızıntılarından elde etseler bile hesaplarınıza erişmelerini engelleyebilecek kritik bir ikinci güvenlik katmanı ekler. En iyisi, genellikle SMS kodlarından daha güvenli olan uygulama tabanlı veya donanım belirteci 2FA seçeneklerini arayın ve kullanın.
Ayrıca tüm cihazlarınızda gelişmiş kimlik avı korumalarına sahip sağlam, çok katmanlı güvenlik çözümleri kullanın.
Kimlik avı deyip geçmeyin
Amaç (insanların hassas bilgilerini çalmak) genellikle aynı olsa da siber suçlular tarafından kullanılan taktikler durağan değildir. Yukarıda gösterilen şekil değiştiren yaklaşım, siber suçluların meşru teknolojileri bile hain amaçlar için yeniden kullanma becerisini örneklemektedir.
Yapay zekâ destekli dolandırıcılıkların ve diğer tehditlerin yükselişi suları daha da bulandırıyor. Suçluların elindeki yapay zekâ araçlarıyla kimlik avı e-postaları şablonlaştırılmış anlamsızlığın ötesine geçebilir ve hiper- kişiselleştirilmiş hâle gelebilir. Dikkatli farkındalığı güçlü teknik savunmalarla birleştirmek, sürekli şekil değiştiren kimlik avını uzak tutmak için uzun bir yol kat edecektir.
Paralı otoyol dolandırıcılığı nasıl engellenir?
