Kaspersky uzmanları, HTML evraklarıyla birlikte gerçekleştirilen kimlik avı e-postası tehditlerinin arttığı konusunda kullanıcıları uyarıyor …
Kaspersky uzmanları, HTML evraklarıyla birlikte gerçekleştirilen kimlik avı e-postası tehditlerinin arttığı konusunda kullanıcıları uyarıyor. Ocak-Nisan 2022 arasında Kaspersky araştırmacıları, HTML ekleri içeren yaklaşık 2 milyon kimlik avı e-postasını engelledi. Kimlik avı bildirilerinde HTML belgelerini kullanmak, dolandırıcılar tarafından başvurulan en yeni ve tanınan numaralardan biri. Ekseriyetle bu tıp kontaklar, istenmeyen posta tedbire motorları yahut virüsten müdafaa yazılımları tarafından kolay kolay algılanıyor. Lakin HTML eklerinin kullanılması siber suçluları tespit edilmekten kurtarıyor.
Pek çok kullanıcı, kimlik avı e-postalarındaki belgelerin inançsız olabileceğinin farkında bile değil. Bu nedenle siber hatalılar tarafından kullanılan tehlikeli HTML eklerini düşünmeden açıyorlar. Üstelik dolandırıcılar bir şirketin resmi web sitesindeki sayfayla birebir görünecek şekilde HTML eklerini biçimlendirebiliyor. Böylelikle resmi web sitesinin kullanıcılarını amaç alıyorlar ve bunu kurbanlarını kandırmak için yem olarak kullanıyorlar.
Siber hatalılar tarafından kullanılan iki ana HTML eki tipi bulunuyor: Kimlik avı ilişkisi içeren HTML evrakları yahut makus gayeli sayfalar. Birinci durumda saldırganlar, bir bankanın büyük bir para transferi teşebbüsüyle ilgili bildirimi üzere değerli datalara sahip olduğu süsü vererek kullanıcıya içinde metin olan bir HTML evrakı gönderiyor. Kullanıcıdan süreci durdurmak için bankanın sitesine giden bir ilişkiye tıklaması isteniyor, bu da kullanıcıyı bir kimlik avı sayfasına yönlendiriyor. Hatta kimi durumlarda kurbanın temasa tıklaması bile gerekmiyor. Kullanıcı HTML ekini açmaya çalıştığında otomatik olarak makûs maksatlı bir siteye yönlendiriliyor. Bu sayfada mağdurlardan işle ilgili belgeleri gözden geçirmesi, banka hesaplarını korumak ve hatta devletten ödeme almak için bir data giriş formu doldurması isteniyor. Akabinde kurban, ferdî datalarının ve banka bilgilerinin çalındığını öğreniyor.
İkinci çeşit HTML eki, kapsamlı kimlik avı sayfalarıdır. Bu belgelerde data toplamak için kullanılan kimlik avı formu ve komut belgesi ekte yer aldığından, siber hatalıların barındırma fiyatlarından tasarruf etmesine ve web sitelerini kullanmaktan kaçınmasına imkan tanıyor. Kimlik avı olarak kullanılan HTML belgesi, amaçlanan maksada ulaşmak ve kurbanın inancını kazanmak için kullanılan taarruz vektörüne bağlı olarak kişiselleştirilebiliyor. Örneğin dolandırıcı şirketin çalışanlarına dair bir mukaveleyi doğrulamak istiyormuş üzere görünen, lakin aslında makus hedefli bir HTML belgesi olan bir kimlik avı e-postası dağıtabiliyor. Bu tıp ekler şirketin tüm görsel özelliklerine sahip oluyor: Logo, tarz ve hatta gönderen yöneticinin ismine kadar. Evrak içerisinde mağdurun dokümana erişebilmesi için kurumsal hesabın kullanıcı ismini ve şifresini girmesi isteniyor. Bu datalar daha sonra direkt şirketin kurumsal ağına girmek için bu bilgileri kullanacak olan siber hatalıların eline geçiyor.
Güvenlik tahlilleri makûs emelli komut evrakları yahut düz metin olarak gönderilen kimlik avı temasları içeren HTML eklerini engelleyebiliyor. Bu nedenle siber hatalılar engellenmemek için farklı taktikler kullanıyor. Örneğin dolandırıcılar çoklukla kimlik avı ilişkisini yahut HTML evrakının tamamını karışık yahut işe yaramaz kodlarla bozuyor. Bu kıymetsiz ve tutarsız metinler kullanıcının ekranında görünmese de istenmeyen posta tedbire motorlarının e-postayı algılamasını ve hasebiyle e-postayı engellemesini zorlaştırıyor.
Kaspersky Güvenlik Araştırmacısı Roman Dedenok şunları söylüyor: “Siber hatalılar, kurbanları kullanıcı isimlerini ve şifrelerini girmeleri için kandırmak ismine makul gizlenmiş oturum açma kimlik bilgisi iletileri kullanıyor. Her yıl milyonlarca kimlik avı sayfasını engelliyoruz ve bu sayının daha da artmasını bekliyoruz. Bu da kullanıcıların tetikte kalması ve bu üslup e-postaların getirebileceği tehlikelerin farkında olması gerektiği manasına geliyor. Siber hatalılar, acemi dolandırıcıların bile hazır şablonları kullanarak binlerce kimlik avı sayfası oluşturabileceği ve akabinde çok sayıda kullanıcıyı hedefleyebileceği karmaşık ve gelişmiş altyapılar oluşturdu. Artık amatörlerin bile kendi kimlik avı sayfasını oluşturabildiği bir ortamda, e-posta yahut iletileşme yazılımlarından gelen rastgele bir ilişkiyi açarken bilhassa dikkatli olmalısınız.”
Kimlik avı HTML ekleri hakkındaki raporun tamamı Securelist’te bulunabilir.
Kimlik avı ataklarından korunmak için Kaspersky şunları öneriyor:
Kaynak: (BHA) – Beyaz Haber Ajansı