F5 Labs Kimlik Avı ve Dolandırıcılık Raporu şunu gösteriyor: COVID-19 ile ilgili dolandırıcılıklar ve giderek daha karmaşık hale gelen saldırılar, küresel tehditleri şiddetlendiriyor. Kimlik avı saldırıları, COVID-19 nedeniyle yüzde 220 arttı.
F19 Labs tarafından yakın zamanda yapılan bir analize göre, COVID-5 salgını kimlik avı ve dolandırıcılık girişimlerini önemli ölçüde artırmaya devam ediyor. Küresel salgının zirvesinde bugün yayınlanan Kimlik Avı ve Dolandırıcılık Raporu'nun dördüncü baskısına göre, kimlik avı olayları yıllık ortalamaya göre yüzde 220 arttı. F5'in Güvenlik Operasyonları Merkezi'nden (SOC) alınan verilere göre, 2020'de kimlik avı olaylarının sayısı bir önceki yıla göre yüzde 15 artacak. Ancak pandeminin ikinci dalgası nedeniyle bu sayı artabilir.
En üstte "covid" ve "korona" terimleri
COVID-19 ile ilgili kimlik avı e-postalarının üç ana hedefi, sözde hayır kurumları için hileli bir şekilde bağış toplamak, kimlik bilgilerini toplamak ve kötü amaçlı yazılım dağıtmaktır. Ayrıca "covid" ve "korona" terimlerini taşıyan sertifika sayısı Mart ayında bir önceki aya göre yüzde 14.940 artışla 1102 bin XNUMX ile zirve yaptı.
F5'in kıdemli sistem mühendisi Roman Borovits, "Dolandırıcılar, web sitelerinin yasal görünmesini sağlamak için dijital sertifikaları giderek daha fazla kullandıklarından, kimlik avı saldırılarına kurban gitme riski her zamankinden daha yüksek" dedi. "Saldırganlar aynı zamanda duygusal eğilimlerin üzerine atlamakta da hızlılar, bu da COVID-19'u zaten tehlikeli bir durumu daha da kötüleştiriyor. Ne yazık ki, araştırmamız güvenlik kontrollerinin, kullanıcı eğitiminin ve dünya genelinde genel farkındalığın hâlâ eksik olduğunu gösteriyor.”
Yeni kimlik avı yöntemleri
Önceki yıllarda olduğu gibi F5 Labs, dolandırıcıların kimlik avı sitelerinin adları ve adresleri konusunda daha yaratıcı olduklarını keşfetti. 2020'de şimdiye kadar, kimlik avı sitelerinin yüzde 52'si adreslerinde tanınmış markaların adlarını ve kimliklerini kullandı. 2020'nin ikinci yarısında, saldırılar için en sık istismar edilen Amazon oldu. Paypal, Apple, WhatsApp, Microsoft Office, Netflix ve Instagram da en çok taklit edilen ilk on marka arasında yer aldı. Aktif saldırılarda kullanmak üzere kimlik bilgisi hırsızlığını izleyen F5 Labs, suçluların bir kurbana kimlik avı yaptıktan sonraki dört saat içinde çalınan parolaları kullanmaya çalıştığını tespit etti. Hatta bazı saldırılar, çok faktörlü kimlik doğrulama (MFA) güvenlik kodu yakalamaya izin vermek için gerçek zamanlı olarak gerçekleşti.
Siber suçlular, meşru ancak savunmasız URL'leri ele geçirme konusunda da daha acımasız hale geliyor. Yalnızca WordPress, 20'de jenerik kimlik avı URL'lerinin yüzde 2020'sini oluşturuyordu, üç yıl önceki yüzde 4,7'den bu oran arttı. Buna ek olarak, siber suçlular .tk, .ml, .ga, .cf ve .gq gibi belirli ülke kodu üst düzey alan adları (ccTLD'ler) için Freenom gibi ücretsiz kayıtları kullanarak giderek daha fazla para tasarrufu sağlıyor. .tk şu anda dünyada en sık kaydedilen beşinci alan adıdır.
Aldatıcı gerçek kimlik avı siteleri
2020'de kimlik avcıları, sahte sitelerin olabildiğince gerçek görünmesini sağlamak için çabalarını da yoğunlaştırdı. F5 SOC istatistikleri, çoğu kimlik avı web sitesinin şifreleme kullandığını ortaya çıkardı. Yüzde 72'si kurbanları aldatmak için geçerli HTTPS sertifikaları kullanıyor. Kötü amaçlı yazılım tarafından gönderilen çalınan verilerin hedefleri olan tüm bırakma bölgeleri bile, geçen yıl yüzde 89'a kıyasla TLS şifreleme kullanıyor.
Gelecek Tehditler
Raporda ilk kez yer alan Shape Security'nin yakın tarihli araştırmasına göre, iki büyük kimlik avı eğilimi ortaya çıkıyor. Geliştirilmiş güvenlik denetimleri ve bot trafiği (botnet) için çözümler sonucunda, saldırganlar giderek artan bir şekilde tıklama gruplarını kullanıyor. Düzinelerce "uzak çalışan", yakın zamanda elde edilen kimlik bilgilerini kullanarak sistematik olarak bir hedef web sitesinde oturum açmaya çalışır. Bağlantı, sahtekarlığın tespit edilmesini zorlaştıran standart bir web tarayıcısı kullanan bir insan tarafından başlatılır.
Burada, nispeten küçük bir saldırı yüzdesi bile ciddi sonuçlara yol açabilir. Örneğin, Shape Security bir finansal hizmet sağlayıcısındaki aylık 14 milyon kaydı analiz etti ve yüzde 0,4'lük bir dolandırıcılık oranı kaydetti. Ancak bu, 56.000 hileli oturum açma denemesine eşittir ve bu sayı artmaya devam edecektir.
Trend gerçek zamanlı kimlik avı proxy'leri
İkinci bir trend olarak, Shape Security araştırmacıları, çok faktörlü kimlik doğrulama (MFA) kodlarını yakalayıp kullanabilen gerçek zamanlı kimlik avı proxy'lerinde (RTPP) bir artış kaydetti. RTPP, bir kurbanın işlemlerini gerçek bir web sitesiyle yakalayarak, ortadaki kişi gibi hareket eder. Saldırı gerçek zamanlı olarak gerçekleştiğinden, kötü amaçlı web sitesi, MFA kodları gibi zaman sınırlı kimlik doğrulamalarını yakalama ve yeniden yürütme sürecini otomatikleştirebilir. Hatta oturum tanımlama bilgilerini çalabilir ve yeniden kullanabilir. Son zamanlarda aktif olarak kullanılan RTTP'ler arasında Modlishka ve Evilginx2 bulunmaktadır.
Borovits, "İnsanlar bir şekilde psikolojik olarak manipüle edilebildiği sürece kimlik avı saldırıları başarılı olacaktır." "Güvenlik kontrollerinin ve web tarayıcılarının, kullanıcıları sahte web sitelerine karşı uyarma konusunda daha iyi olması gerekiyor. Ancak kullanıcılar ve şirketler, dolandırıcılar tarafından kullanılan en son teknikler konusunda da sürekli olarak eğitilmelidir. COVID-19 gibi güncel trendler ilgi odağı olmalıdır.”
Arka plan olarak 5 yıllık verilerle çalışın
Bu yılki Kimlik Avı ve Dolandırıcılık Raporu, kimlik avı olaylarını F5 Güvenlik Operasyonları Merkezi'nin (SOC) son beş yıldaki deneyimine dayanarak inceliyor. OpenText Webroot BrightCloud İstihbarat Servisleri tarafından desteklenen aktif ve onaylanmış kimlik avı web sitelerini detaylandırır. Ayrıca Vigilante'den karanlık web pazar verilerini de analiz ediyor. Bu bilgiler birlikte, kimlik avı dünyasının eksiksiz ve tutarlı bir resmini sunar.
Doğrudan F5.com'daki rapora
F5 Ağları Hakkında F5 (NASDAQ: FFIV), dünyanın en büyük kuruluşlarına, hizmet sağlayıcılarına, devlet kurumlarına ve tüketici markalarına herhangi bir uygulamayı güvenli bir şekilde, her yerde ve güvenle sunma özgürlüğü verir. F5, işletmelerin hız ve kontrolden ödün vermeden seçtikleri altyapıdan yararlanmalarını sağlayan bulut ve güvenlik çözümleri sunar. Daha fazla bilgi için f5.com'u ziyaret edin. F5, ortakları ve teknolojileri hakkında daha fazla bilgi için bizi LinkedIn ve Facebook'ta da ziyaret edebilirsiniz.