Kaspersky, siber saldırganların makûs niyetli emelleri için yasal bir hizmeti daha suistimal etmeye başladığını tespit etti. Saldırganlar bu sefer, web uygulamaları oluşturma ve barındırma platformu olan Tencent EdgeOne Pages’in özelliklerini berbata kullanarak kurumsal kullanıcıları gaye alan kimlik avı (phishing) e-postaları üretiyor. Kaspersky daha evvel de Google hizmetleri ile yapay zekâ takviyeli uygulama geliştirme platformu Bubble üzerinden oluşturulan web uygulamalarının kurumsal hesap bilgilerini ele geçirmek maksadıyla kullanıldığı benzer saldırıları ortaya koymuştu.
Başta endüstriyel dal, satış ve kamu olmak üzere pek çok farklı iş kolundan çalışanlar bu hücumların amacında yer alıyor. Taarruzun temel maksadı, kurumsal kaynaklara ilişkin kullanıcı giriş bilgilerini çalmak. Kaspersky uzmanları, son 30 gün içinde bu prosedürün kullanıldığı; İngilizce, Korece ve Rusça lisanlarında yazılmış 8.000’den fazla kimlik avı e-postası tespit etti.
Tencent EdgeOne Pages, yapay zekâ takviyesiyle süratli bir biçimde web uygulamaları tasarlama ve yayına alma platformu olarak konumlandırılıyor. Dolandırıcılar ise bu platformu suistimal ederek, neredeyse hiç web geliştirme hünerine gereksinim duymadan, dakikalar içinde kimlik avı sayfaları oluşturup yayımlayabiliyor.
Saldırganlar, düzmece sayfaları EdgeOne’ın resmi bulut altyapısında barındırıyor ve muteber alan isimleri (domain) kullanıyor. Bunun bir sonucu olarak, kelam konusu siteler birçok güvenlik yazılımı tarafından kurumsal ve inançlı olarak algılanıyor; bu da akınların tespit edilmesini önemli halde zorlaştırıyor.
Saldırı Nasıl Başlıyor?
Kullanıcıya birinci olarak, kelamda “kurumsal e-posta dayanak ekibi”nden gelmiş üzere görünen bir e-posta ulaşıyor. Bildiride, hesap giriş bilgilerinin geçerlilik mühletinin 48 saat içinde dolacağı, bilgilerin güncellenmemesi durumunda e-posta alımında yahut gönderiminde meseleler yaşanabileceği belirtiliyor. Muhtemel kısıtlamaların önüne geçmek için kullanıcının bir ilişkiye tıklaması ve gerekli bilgileri girmesi isteniyor. Elbette kimlik avı e-postaları yalnızca bu senaryoyla sonlu kalmıyor; İK departmanından gelen bir bilgilendirme yahut indirilmesi gereken bir evrak bildirimi üzere rastgele bir kurumsal senaryo da bu atağa alet edilebiliyor.
E-postadaki temasa tıklandığında, kurbanın ismini, e-posta adresini ve şifresini girmesi için tasarlanmış bir form sayfası açılıyor. Bu sayfa, neredeyse hiçbir ek görsel öge barındırmayan epey sade bir dizayna sahip oluyor.
Saldırganların kimlik bilgilerini ele geçirmek için kurduğu sayfa
Kullanıcı ismini ve şifresini girdikten sonra, bu bilgiler direkt saldırganların denetimindeki bir sunucuya aktarılıyor.
Kaspersky Anti-Spam Uzmanı Roman Dedenok konuya ait şu değerlendirmelerde bulunuyor:
“Saldırganların, kimlik avı altyapılarının bir modülü olarak yapay zekâ ve kodsuz (no-code) platformları kullanma eğiliminin devam ettiğini görüyoruz. Daha evvel Bubble platformunu kullanan misal bir usule şahit olmuştuk, artık ise karşımızda bunun bir öbür örneği var. Bu kimlik avı hücumlarında kullanılan bağlantı lisanı geçmişte tekraren gördüğümüz klasik bir senaryo olsa da, atak tekniğinin kendisi hatalılar için giriş bariyerini değerli ölçüde düşürüyor ve uydurma kaynakların oluşturulma sürecini hızlandırıyor. Evvelden bu iş için en azından temel seviyede web geliştirme mahareti gerekirken, artık dolandırıcılık maksatlı e-posta altyapısı dakikalar içinde kurulabiliyor.”
Kaspersky, İnançta Kalmak İçin Şunları Öneriyor:
- Çalışanlarınızı Eğitin: Personelin, kurumsal kimlik bilgilerinin sırf şirkete ilişkin doğrulanmış ve resmi platformlara girilmesi gerektiği konusunda bilinçlenmesini sağlayın.
- Güçlü Güvenlik Çözümleri Kullanın: Bilinen ve kuşkulu kimlik avı adreslerine erişimi engellemek için kurumsal ağınızda güçlü güvenlik tahlilleri devreye alın.
- E-posta Ağ Geçitlerini Garantiye Alın: Zararlı bildirilere maruz kalma riskini azaltmak için e-posta ağ geçidi gateway) düzeyinde gelişmiş anti-phishing teknolojileri uygulayın.
- Tehdit İstihbaratından Yararlanın: Evrilen saldırgan tekniklerinden daima haberdar olun ve threat intelligence güvenlik operasyonlarınıza entegre edin.
Kaynak: (BYZHA) Beyaz Haber Ajansı
