Taklit Etme ve Hedef Odaklı Kimlik Avı Saldırıları Nedir?

Kimlik avı/Oltalama Saldırıları (Phishing), dijital tehdit ortamında baskın bir rol oynamaya devam ediyor. Örneğin Verizon Enterprise , 2020 Veri İhlali İnceleme Raporunda (DBIR), Kimlik avı/Oltalama saldırılarının güvenlik olaylarında ikinci en büyük tehdit çeşidi olduğunu açıkladı.

Bu nedenle, Verizon Enterprise’ın araştırmacıları tarafından analiz edilen veri ihlallerinin beşte birinden fazlasının (% 22) bir şekilde kimlik avı içermesi şaşırtıcı değildir.

Dijital dolandırıcılar da 2020’de kimlik avı etkinliklerini yavaşlatacak gibi durmuyor. Çünkü, Google’dan gelen bir rapor , kimlik avı web sitelerinin Ocak 2020’deki 149.195‘ten sadece iki ay sonra 522.495‘e %350 arttığını açıkladı. Bu web sitelerinin çoğu büyük olasılıkla Corona virüsü bir (COVID-19) yem olarak kullandı.

Gerçekten de, Barracuda Networks , salgını tema olarak kullanan kimlik avı e-postalarının Ocak 2020‘de 137‘den Mart ayı sonunda 9.116‘ya yükseldiğini gözlemledi.

Kimlik avı saldırılarının artması, tüm kuruluşlar için önemli bir tehdit oluşturuyor. Şirketler, kurumsal bilgilerini korumak istiyorlarsa, en yaygın kimlik avı dolandırıcılıklarından bazılarını nasıl tespit edeceklerini bilmeleri önemlidir.

Kimlik Avı/Oltalama Saldırısı (Phishing) Çeşitleri ve Alınacak Önlemler

1. Taklit Etme

Taklit etme, açık ara en yaygın kimlik avı dolandırıcılığı türüdür. Dolandırıcılar, kişilerin kişisel verilerini veya oturum açma kimlik bilgilerini çalmak amacıyla meşru bir şirketi veya kişiyi taklit eder. Bu e-postalar, kullanıcıları, saldırganların istediklerini yapmaları için sıklıkla tehdit ve aciliyet duygusunu kullanır.

Taklit Kimlik Avında Kullanılan Teknikler

Vade Secure , bu saldırı tütünde kullanılan en yaygın tekniklerden bazılarını paylaştı:

• Meşru bağlantılar : Birçok saldırgan, e-postalarına çoğu kullanıcın bildiği bağlantılar ekleyerek e-posta filtrelerinin engellemelerinden kaçmaya çalışır. Bunu, sahte bir kuruluşun iletişim bilgilerini ekleyerek yapabilirler.
• Kötü niyetli ve zararsız kodu birleşimi: Kimlik avı ana sayfaları oluşturmaktan sorumlu olanlar, genellikle Exchange Online Protection’ı (EOP) kandırmak için kötü niyetli ve zararsız kodları harmanlar. Bu sayfalar, tıpa tıp Facebook, Linkedin, Instagram veya Gmail gibi olup sayfaya giren kullanıcılarda şüphe uyandırmamasını hedefler.
• Yönlendirmeler ve kısaltılmış bağlantılar : Yukarıdaki maddede belirtiğimiz gibi saldırganlar, kurbanlarını ürkütmek yani şüphe uyandırmak istemezler . Bu nedenle, kimlik avı kampanyalarını, Güvenli E-posta Ağ Geçitlerindeki (SEG’ler) engellemeleri kandırmak kısaltılmış URL’leri kullanırlar. Kullanıcı engelleri geçen bu e-postalara daha çok güvenir.
• Marka logolarını değiştirin : Bazı e-posta filtreleri, kötü niyetli kişilerin, kuruluşların logolarını çaldığını ve bunları saldırı e-postalarına veya kimlik avı ana sayfalarına dahil ettiklerini fark edebilir. Bunu logoların HTML özelliklerine bakarak algılar. Kötü niyetli kişiler, bu algılama araçlarını kandırmak için örnek olarak HTML element renklerini değiştirirler.
• Minimum e-posta içeriği : Saldırganlar, s e-postalarına minimum içerik ekleyerek tespit edilmekten kaçmaya çalışır. Örneğin, metin yerine bir resim ekleyerek bunu yapmayı seçebilirler.

Aldatıcı Kimlik Avı Saldırılarının Güncel Örnekleri

Örnek olarak, PayPal dolandırıcıları , alıcılara hesaplarındaki bir uyuşmazlığı gidermek için bir bağlantıya tıklamalarını söyleyen bir saldırı e-postası gönderebilirler. Gerçekte, bağlantı PayPal’ın oturum açma sayfasını taklit etmek için tasarlanmış bir web sitesine yönlendiriyor olabilir. Bu web sitesi, mağdurun kimliğini doğrulamaya çalıştığında, oturum açma kimlik bilgilerini toplar ve bu verileri saldırganlara gönderir.

Kısa bir süre önce, Cofense’deki araştırmacılar, bir güvenlik eğitim firmasından geliyormuş gibi görünen bir e-posta saldırısı tespit ettiler. Saldırganlar bu e-posta da sundukları eğitim fırsatlarının son günü olduğu yazdı. Kurbanların bu saldırıya inanması durumda, sahte bir OWA oturum açma sayfasına yönlendirilip saldırganlar tarafından Microsoft kimlik bilgileri çalındı.

Taklit İçeren Kimlik Avına Karşı Nasıl Önlem Alınır?

Taklit içeren kimlik avının başarası, saldırı e-postasının kötüye kullanılan şirketten gelen resmi bir yazışmaya ne kadar benzediğine bağlıdır. Sonuç olarak, kullanıcılar bilinmeyen veya şüpheli bir web sitesine yönlendirme yapıp yapmadıklarını görmek için tüm URL’leri dikkatlice incelemelidir. Ayrıca e-postada bulunan dilbilgisi ve yazım hatalarına oldukça dikkat etmeleri gerekir.

2. Hedef Odaklı Kimlik Avı(Spear Phishing)

Saldırganların tümü “herkese gönder ve bekle” tekniği ile hareket etmez. Saldırganlar da bizim gibi düşünür çünkü vakit nakittir. Bir saldırının hedefi ne kadar belli ise başarı şansı o kadar yüksek olur ki bu çok önemlidir çünkü belli hedeflere ayrılan kaynak(zaman) daha fazladır.

Hedef odaklı kimlik avında, dolandırıcılar, alıcıyı göndericiyle bir bağlantısı olduğuna inandırmak için e-postalarını hedefin adı, pozisyonu, şirketi, iş telefonu numarası ve diğer bilgilerle donatır.

Amaç taklit içeren kimlik avı ile aynıdır. Saldırganlar, kurbanı kandırarak kötü niyetli bir URL’yi veya e-posta ekini tıklatarak kişisel verilerini vermelerini sağlar. İkna edici bir saldırı girişimi gerçekleştirmek için gereken bilgi miktarı göz önüne alındığında, saldırganların hedef odaklı e-posta oluşturmak için birden fazla veri kaynağı kullanır. Tahmin edebileceğiniz gibi bu kaynaklar sosyal medya platformlarıdır.

Hedef Odaklı Kimlik Avında Kullanılan Teknikler

Hedef odaklı kimlik avında kullanılan en yaygın tekniklerden bazıları aşağıda verilmiştir:

• Bulut ortamında kötü amaçlı belgeleri barındırma : CSO Online , saldırganların kötü amaçlı belgelerini Dropbox, Box, Google Drive ve diğer bulut hizmetlerinde giderek daha fazla barındırdığını rapor etti. Varsayılan olarak, BT’nin bu hizmetleri engellemesi olası değildir, bu da kuruluşun e-posta filtrelerinin silah haline getirilmiş belgeleri engelleyemiceği anlamına gelmektedir.
• Sosyal medyayı keşfedin : Saldırganların, hedeflenen bir şirkette kimin çalıştığını öğrenmesi gerekir. Bunu, organizasyonun yapısını araştırmak ve hedeflenen saldırıları için kimi seçmek istediklerine karar verirler. Bu durum için aktif olarak sosyal medyayı kullanırlar.

Hedef Odaklı Kimlik Avı Saldırılarına Örnekler

Proofpoint , Eylül 2020’nin başında, Çin merkezli APT grubu TA413 tarafından düzenlenen 2 saldırı düzenlediğini raporladı. İlki Mart ayında gerçekleşti ve DSÖ’nün “Critical preparedness, readiness and response actions for COVID-19, Interim guidance” belgesini yayınlayarak Avrupa devlet kurumlarını, kar amacı gütmeyen araştırma kuruluşlarını ve ekonomik ilişkilerle ilgili küresel şirketleri hedef aldı. İkincisi, PowerPoint sunumu ile Tibetli muhalifleri hedef aldı.

Bir haftadan kısa bir süre sonra Armorblox , 2019’da dünyanın en yenilikçi 50 şirketinin arasında gösterilen bir şirketin kimlik avı saldırısına maruz kaldığını açıkladı. E-posta, alıcıyı dahili bir finansal rapor içerdiği konusunda kandırmayı amaçlamış.

Hedef Odaklı Kimlik Avına Karşı Ne Gibi Önlemler Alınabilir?

Bu türde bir saldırıya karşı korunmak isteyen kuruluşlar, diğer güvenlik önlemlerine ek olarak çalışanlarına sosyal medya eğitimi vermeli ve hassas bilgilerin paylaşılmasının önüne geçmelidir.

Şirketler ayrıca bilinen kötü amaçlı bağlantılar / e-posta ekleri için gelen e-postaları analiz eden çözümlere yatırım yapmalıdır.

Bu çözüm , hem bilinen kötü amaçlı yazılımlara hem de sıfır gün(zero day) tehditlerine ilişkin göstergeleri yakalayabilmelidir.