Kaspersky, siber saldırganların kötü niyetli amaçları için meşru bir hizmeti daha suistimal etmeye başladığını tespit etti. Saldırganlar bu kez, web uygulamaları oluşturma ve barındırma platformu olan Tencent EdgeOne Pages’in özelliklerini kötüye kullanarak kurumsal kullanıcıları hedef alan kimlik avı (phishing) e-postaları üretiyor. Kaspersky daha önce de Google hizmetleri ile yapay zekâ destekli uygulama geliştirme platformu Bubble üzerinden oluşturulan web uygulamalarının kurumsal hesap bilgilerini ele geçirmek amacıyla kullanıldığı benzer saldırıları ortaya koymuştu.
Başta endüstriyel sektör, satış ve kamu olmak üzere pek çok farklı iş kolundan çalışanlar bu saldırıların hedefinde yer alıyor. Saldırının temel amacı, kurumsal kaynaklara ait kullanıcı giriş bilgilerini çalmak. Kaspersky uzmanları, son 30 gün içinde bu yöntemin kullanıldığı; İngilizce, Korece ve Rusça dillerinde yazılmış 8.000’den fazla kimlik avı e-postası tespit etti.
Tencent EdgeOne Pages, yapay zekâ desteğiyle hızlı bir şekilde web uygulamaları tasarlama ve yayına alma platformu olarak konumlandırılıyor. Dolandırıcılar ise bu platformu suistimal ederek, neredeyse hiç web geliştirme becerisine ihtiyaç duymadan, dakikalar içinde kimlik avı sayfaları oluşturup yayımlayabiliyor.
Saldırganlar, sahte sayfaları EdgeOne’ın resmi bulut altyapısında barındırıyor ve güvenilir alan adları (domain) kullanıyor. Bunun bir sonucu olarak, söz konusu siteler birçok güvenlik yazılımı tarafından kurumsal ve güvenli olarak algılanıyor; bu da saldırıların tespit edilmesini ciddi şekilde zorlaştırıyor.
Saldırı Nasıl Başlıyor?
Kullanıcıya ilk olarak, sözde “kurumsal e-posta destek ekibi”nden gelmiş gibi görünen bir e-posta ulaşıyor. Mesajda, hesap giriş bilgilerinin geçerlilik süresinin 48 saat içinde dolacağı, bilgilerin güncellenmemesi durumunda e-posta alımında veya gönderiminde sorunlar yaşanabileceği belirtiliyor. Olası kısıtlamaların önüne geçmek için kullanıcının bir bağlantıya tıklaması ve gerekli bilgileri girmesi isteniyor. Elbette kimlik avı e-postaları sadece bu senaryoyla sınırlı kalmıyor; İK departmanından gelen bir bilgilendirme veya indirilmesi gereken bir belge bildirimi gibi herhangi bir kurumsal senaryo da bu saldırıya alet edilebiliyor.
E-postadaki bağlantıya tıklandığında, kurbanın adını, e-posta adresini ve şifresini girmesi için tasarlanmış bir form sayfası açılıyor. Bu sayfa, neredeyse hiçbir ek görsel unsur barındırmayan oldukça sade bir tasarıma sahip oluyor.
Saldırganların kimlik bilgilerini ele geçirmek için kurduğu sayfa
Kullanıcı adını ve şifresini girdikten sonra, bu veriler doğrudan saldırganların kontrolündeki bir sunucuya aktarılıyor.
Kaspersky Anti-Spam Uzmanı Roman Dedenok konuya ilişkin şu değerlendirmelerde bulunuyor:
“Saldırganların, kimlik avı altyapılarının bir parçası olarak yapay zekâ ve kodsuz (no-code) platformları kullanma eğiliminin devam ettiğini görüyoruz. Daha önce Bubble platformunu kullanan benzer bir yönteme şahit olmuştuk, şimdi ise karşımızda bunun bir başka örneği var. Bu kimlik avı saldırılarında kullanılan iletişim dili geçmişte defalarca gördüğümüz klasik bir senaryo olsa da, saldırı tekniğinin kendisi suçlular için giriş bariyerini önemli ölçüde düşürüyor ve sahte kaynakların oluşturulma sürecini hızlandırıyor. Eskiden bu iş için en azından temel düzeyde web geliştirme becerisi gerekirken, artık dolandırıcılık amaçlı e-posta altyapısı dakikalar içinde kurulabiliyor.”
Kaspersky, Güvende Kalmak İçin Şunları Öneriyor:
- Çalışanlarınızı Eğitin: Personelin, kurumsal kimlik bilgilerinin yalnızca şirkete ait doğrulanmış ve resmi platformlara girilmesi gerektiği konusunda bilinçlenmesini sağlayın.
- Güçlü Güvenlik Çözümleri Kullanın: Bilinen ve şüpheli kimlik avı adreslerine erişimi engellemek için kurumsal ağınızda güçlü güvenlik çözümleri devreye alın.
- E-posta Ağ Geçitlerini Güvenceye Alın: Zararlı mesajlara maruz kalma riskini azaltmak için e-posta ağ geçidi gateway) seviyesinde gelişmiş anti-phishing teknolojileri uygulayın.
- Tehdit İstihbaratından Yararlanın: Evrilen saldırgan tekniklerinden sürekli haberdar olun ve threat intelligence güvenlik operasyonlarınıza entegre edin.
Kaynak: (BYZHA) Beyaz Haber Ajansı
