Kaspersky, siber tehditlerin evrimini sürdürdüğünü ve meşru hizmetleri kötüye kullanarak kurumsal hedeflere ulaşan kimlik avı operasyonlarını artırdığını tespit etti. Bu sefer, web uygulamaları oluşturma ve barındırma hizmeti sunan Tencent EdgeOne Pages’in özelliklerinden yararlanılarak kurumsal kullanıcıları yanıltan e-posta akışları oluşturuluyor. Daha önce Google’ın Bubble platformunu kullanarak kurumsal hesap bilgisini ele geçirmeye yönelik benzer saldırılar ortaya koyan inceleme ekipleri, şu anda EdgeOne Pages’i istismar eden yeni bir yöntemle karşılaşıyor.
İş dünyasının farklı kollarından çalışanlar hedef ediliyor; özellikle sanayi, satış ve kamu sektörü gibi alanlardan gelen kullanıcılar risk altında. Amaç, kurumsal kaynaklara ait kullanıcı kimlik bilgilerini ele geçirmek. Kaspersky uzmanları, son 30 gün içinde bu yöntemin kullanıldığı 8.000’den fazla İngilizce, Korece ve Rusça dilinde yazılmış kimlik avı e-postası tespit etti. EdgeOne Pages, yapay zekâ destekli hızlı bir şekilde web uygulamaları tasarlamaya ve yayımlamaya olanak tanıyan bir platform olarak konumlanıyor. Dolandırıcılar, bu aracı kullanarak çok az teknik bilgiyle bile saniyeler içinde sahte sayfalar üretip kurumsal bir görünüm elde ediyor.
Saldırganlar, sahte sayfaları EdgeOne’ın güvenilir bulut altyapısında barındırıyor ve güvenilir alan adları kullanıyor. Böylece bu sahte siteler, çoğu güvenlik yazılımı tarafından güvenli olarak algılanabiliyor ve tespit edilmeleri güçleşiyor.
Saldırının başlangıç adımı, kullanıcıya “kurumsal e-posta destek ekibinden” gelmiş gibi görünen bir mesajla yapılıyor. Mesaj, hesap giriş bilgilerinin 48 saat içinde geçerlilik süresinin dolacağını veya güncellenmesi gerektiğini belirtiyor. Bu uyarıyı geçerli kılmak için kullanıcıdan ilgili bağlantıya tıklaması ve formu doldurması isteniyor. Bunun ötesinde, insan kaynakları departmanından gelen bir duyuru veya bir indirme bildirimi gibi kurumsal sahte senaryolar da saldırı için kullanılıyor.
Bağlantıya erişildiğinde, kullanıcıdan adını, e-posta adresini ve şifresini girmesi talep edilen sade bir formla karşılaşılıyor. Giriş bilgilerinin ardından bu veriler, doğrudan saldırganların kontrolündeki sunucuya iletiliyor. Kaspersky Anti-Spam Uzmanı Roman Dedenok, konuyla ilgili şu değerlendirmeyi yapıyor: “Dolandırıcılar, kimlik avı altyapılarını kurarken yapay zekâ ve no-code (kodsuz) platformlarını kullanma eğilimini sürdürdü. Bubble üzerinden benzer bir yöntemi gördükten sonra şimdi EdgeOne Pages ile karşılaşıyoruz. Bu tür saldırıların iletişim dili geçmişte sıkça görülen bir senaryo olsa da teknik olarak giriş engelini önemli ölçüde düşürüyor ve sahte kaynakların hızlıca oluşturulmasını sağlıyor. Eskiden en az temel web geliştirme becerisi gerekli iken, artık sahte e-posta altyapıları dakikalar içinde kurulabiliyor.”
Kaspersky, güvenlik konusunda şu adımları öneriyor:
– Çalışanları bilinçlendirin: Kurumsal kimlik bilgilerinin yalnızca doğrulanmış ve resmi platformlara girilmesi gerektiği konusunda farkındalık yaratın.
– Güçlü güvenlik çözümleri kullanın: Tanınmış ve şüpheli kimlik avı adreslerine erişimi engellemek için şirket ağında sağlam güvenlik önlemleri uygulayın.
– E-posta ağ geçitlerini güçlendirin: Zararlı mesajları azaltmak için kurumsal ağ geçitlerinde gelişmiş anti-phishing teknolojileri kullanın.
– Tehdit istihbaratını entegre edin: Saldırganların teknikleriyle ilgili güncel bilgiye sahip olun ve güvenlik operasyonlarınıza dahil edin.
Kaynak: (BYZHA) Beyaz Haber Ajansı
Leave a Reply