Kaspersky, klasik güvenlik denetimlerini aşmayı hedefleyen ve kodsuz geliştirme platformu Bubble’ı istismar eden yeni bir oltalama (phishing) prosedürü tespit etti. Kullanıcıların rastgele bir kod yazmadan görsel bir arayüz üzerinden web ve taşınabilir uygulamalar geliştirmesine imkan tanıyan Bubble platformu, saldırganlar tarafından berbata kullanılarak oltalama kampanyalarının aktifliğini artırmak için yine kurgulanıyor.
Geleneksel kimlik avı taarruzları çoğunlukla ziyanlı ilişkiler yahut kolaylıkla tespit edilebilen yönlendirme formüllerine dayanırken, çağdaş güvenlik sistemleri bu çeşit teşebbüsleri çoklukla süratlice engelleyebiliyor. Fakat saldırganlar artık Bubble’ın kodsuz geliştirme ortamını kullanarak, emniyetli altyapı ve *.bubble.io üzere legal alan isimleri üzerinde barındırılan orta web uygulamaları oluşturuyor. Bu yaklaşım, taarruzların güvenilirliğini artırırken güvenlik filtrelerini de aşmalarını kolaylaştırıyor. Kelam konusu uygulamalar, görünürde temiz olan fakat kullanıcıyı fark ettirmeden kimlik bilgilerini ele geçirmeye yönelik ziyanlı sayfalara yönlendiren saklı birer aracı (redirector) olarak çalışıyor.
Gözlemlenen kampanyada kullanıcılar, kesin olarak Microsoft giriş sayfasının son epey inandırıcı bir taklidine yönlendirildi. Bu uydurma sayfa, makûs niyetli içeriği daha da gizlemek emeliyle Cloudflare doğrulama katmanıyla korunuyordu.
Kurumsal Kimlik Bilgilerini Ele Geçirmeye Yönelik Düzmece Formlar
Bu tekniğin, kapsamlı “Hizmet Olarak Kimlik Avı” (PhaaS) platformlarına ve oltalama kitlerine entegre edildiği düşünülüyor. Bu kitler; oturum çerezlerinin gerçek vakitli olarak ele geçirilmesi, Google Tasks ve Google Forms gibi yasal servisler aracılığıyla hücumların yürütülmesi ve çok faktörlü kimlik doğrulamayı (MFA) bypass edebilen “Ortadaki Saldırgan” (AiTM) hareketleri üzere gelişmiş imkanlar sunuyor. Ayrıyeten, yapay zeka yardımıyla kimlik avı e-postaları oluşturma, güvenlik tarayıcılarından kaçmak için coğrafik filtreleme ve tespit tedbire sistemleri kullanma üzere özelliklere sahip olan bu sistemler, kara listeye alınmamak için çoklukla AWS üzere saygın bulut servislerinde barındırılıyor.
Kaspersky Anti-Spam Uzmanı Roman Dedenok konuyla ilgili şu değerlendirmede bulundu: “Bubble üzere legal platformların bu halde kullanılması, inanç istismarını yeni bir boyuta taşıyor. Bu durum, hem kullanıcıların hem de otomatik sistemlerin inançlı içerik ile ziyanlı içeriği birbirinden ayırt etmesini zorlaştırıyor. Hasebiyle kimlik bilgilerinin çalınması, yetkisiz erişim ve muhtemel data ihlali riskleri kıymetli ölçüde artıyor.”
Kaspersky, bu cins tehditlere karşı kurumlara şu tedbirleri öneriyor:
- Çalışanların, kurumsal kimlik bilgilerini sırf doğrulanmış ve resmi platformlara girmeleri gerektiği konusunda bilinçlendirilmesi
- Bilinen ve kuşkulu oltalama amaçlarına erişimi engelleyecek güçlü güvenlik çözümlerinin devreye alınması
- E-posta ağ geçidinde gelişmiş anti-phishing teknolojilerinin kullanılarak ziyanlı bildirilere maruziyetin azaltılması
- Saldırganların gelişen yollarına karşı aktüel kalınması ve tehdit istihbaratının güvenlik operasyonlarına entegre edilmesi
Kaynak: (BYZHA) Beyaz Haber Ajansı
