Kaspersky uzmanları, HTML dosyalarıyla artan kimlik avı e-postaları tehdidi konusunda uyarıda bulunuyor [1]. Ocak-Nisan 2022 arasında Kaspersky, bu tür eklere sahip yaklaşık iki milyon kimlik avı e-postasını engelledi. Kimlik avı mesajlarında HTML dosyalarını kullanmak, dolandırıcıların kullandığı en son ve en popüler hilelerden biridir.
Genellikle, bu tür bağlantılar spam önleme motorları veya virüsten koruma yazılımları tarafından kolayca algılanır, ancak HTML eklerinin kullanılması siber suçluların tespit edilmekten kaçınmasına olanak tanır.
HTML kimlik avı yaklaşımları
Pek çok kullanıcı, kimlik avı e-postalarındaki dosyaların güvenli olmayabileceğinin farkında değildir ve bu nedenle genellikle kötü amaçlı HTML eklerini farkında olmadan açarlar. Siber suçlular, bu HTML eklerini şirketin resmi web sitesi sayfaları gibi görünecek şekilde tasarlar. Bu resmi sitelerin kullanıcılarını hedef alıyorlar ve stillerini, resimlerini, komut dosyalarını ve diğer multimedya bileşenlerini kopyalayarak kurbanları hassas verileri kimlik avı formuna girmeleri için kandırıyorlar.
Siber suçlular tarafından kullanılan iki ana HTML eki türü vardır: kimlik avı bağlantısı veya tüm kötü amaçlı web sayfalarını içeren HTML dosyaları. İlk durumda, saldırganlar, büyük bir transfer girişiminin banka bildirimi gibi önemli veriler içerdiği varsayılan bir metin içeren bir HTML dosyası gönderir. Kullanıcıdan işlemi durdurmak için bankanın web sitesine giden bir bağlantıyı tıklaması istenir, ancak bunun yerine bir kimlik avı sitesine yönlendirilir. Bazı durumlarda, kurbanın bağlantıya tıklaması bile gerekmez. Kullanıcı HTML ekini açmaya çalıştığında, otomatik olarak kötü amaçlı bir web sitesine yönlendirilir. Bu sayfa, kurbanlardan işle ilgili dosyaları doğrulamak, banka hesaplarını korumak ve hatta bir devlet ödemesi almak için bir veri giriş formu doldurmalarını ister. Kurban ancak daha sonra kişisel verilerinin ve banka bilgilerinin çalındığını öğrenir.
E-posta eki olarak tüm kimlik avı sayfaları
İkinci tür HTML ekleri, tüm kimlik avı sayfalarıdır. Kimlik avı formu ve veri toplama komut dosyası tamamen ek olarak eklendiğinden, bu dosyalar siber suçluların barındırma ücretlerinden tasarruf etmesine ve web sitelerinden kaçınmasına olanak tanır. Bir kimlik avı sitesi olarak, kurbanın güvenini kazanmak için kullanılan hedef ve saldırı vektörüne bağlı olarak HTML dosyası da kişiselleştirilebilir. Örneğin, bir dolandırıcı, şirket çalışanlarına bir sözleşmeyi inceleme isteği gibi görünen, ancak aslında kötü amaçlı bir HTML dosyası olan bir kimlik avı e-postası gönderebilir. Bu tür ekler, şirketin tüm görsel özelliklerini gösterir: logo, CI ve hatta gönderen olarak patronun adı. Dosya, kurbandan belgeye erişmek için şirket hesabı oturum açma kimlik bilgilerini girmesini ister. Bu veriler daha sonra doğrudan, bu bilgileri şirket ağına girmek için kullanabilen siber suçluların eline geçer.
Siber suçlular, kimlik avında başarılı olmak için yeni taktikler kullanıyor
Modern güvenlik çözümleri, kötü amaçlı komut dosyaları veya düz metin olarak kimlik avı bağlantıları içeren HTML ekleri içeren e-postaları zaten engelleyebildiğinden, siber suçlular artık engellemeyi önlemek için başka taktikler kullanıyor. Dolandırıcılar genellikle kimlik avı bağlantısını veya HTML dosyasının tamamını belirsiz veya kullanılamaz kodla bozar. Bu önemsiz kod ve kopuk metin kullanıcının ekranında görünmese de anti-spam motorlarının e-postayı algılamasını ve engellemesini zorlaştırır.
Kimlik bilgileri için gizli istekler
Kaspersky güvenlik araştırmacısı Roman Dedenok, "Siber suçlular, şüphelenmeyen kurbanları kullanıcı adlarını ve parolalarını girmeleri için kandırmak için zekice gizlenmiş kimlik bilgileri istekleri kullanıyor" dedi. "Her yıl milyonlarca kimlik avı sitesini engelliyoruz ve bu sayının artmasını bekliyoruz. Siber suçlular, deneyimsiz dolandırıcıların bile hazır şablonlar [2] kullanarak binlerce phishing sayfası oluşturmasına olanak tanıyan karmaşık ve gelişmiş bir altyapı oluşturmuş, böylece geniş bir kullanıcı kitlesine ulaşmıştır. Artık herhangi bir amatör kendi kimlik avı sitesini oluşturabildiğine göre, bir e-posta veya mesajlaşma hizmetinden gelen bağlantıları açarken ekstra özen gösterilmelidir.”
Kimlik avı saldırılarına karşı korunmak için Kaspersky ipuçları
- Herhangi bir bağlantıya tıklamadan önce, her biri dikkatlice kontrol edilmelidir. Fare işaretçisini bağlantının üzerine getirdiğinizde, URL'nin bir önizlemesini ve yazım hatalarını veya diğer düzensizlikleri kontrol etme olanağını elde edersiniz.
- Kullanıcı adı ve şifre sadece güvenli bir bağlantı üzerinden girilmelidir. Ayrıca, web sitesinin URL'sinin önündeki HTTPS ön ekine dikkat edin. Bu, web sitesine bağlantının güvenli olup olmadığını gösterir.
- Bir mesaj veya mektup en iyi arkadaştan geliyor gibi görünse bile hesabı ele geçirilmiş olabilir. Bu nedenle, kullanıcılar her durumda dikkatli olmalı ve güvenilir bir kaynaktan geliyor gibi görünseler bile tüm bağlantıları ve ekleri kontrol etmelidir.
- Bankalar, vergi daireleri, çevrimiçi mağazalar, seyahat acenteleri, havayolları gibi resmi kuruluşlardan geliyormuş gibi görünen mesajlara özellikle dikkat edilmelidir. Kendi şirketinizden gelen dahili iletiler bile dikkatle ele alınmalıdır. Suçluların meşru görünen sahte bir e-posta uydurması zor değil.
- Çevrimiçi oyun arkadaşları veya diğer çevrimiçi arkadaşlar tarafından gönderilen beklenmedik dosyaları açmaktan kaçınılmalıdır. Fidye yazılımları ve hatta casus yazılımların yanı sıra resmi görünümlü e-postalardan ekler içerebilirler.
- Çalışanlara Kaspersky Security Awareness [3] gibi temel siber güvenlik eğitimi verilmelidir. Simüle edilmiş kimlik avı saldırılarını kullanan alıştırmalar, personelin kimlik avı e-postalarını gerçek e-postalardan nasıl ayırt edeceğini bilmesini sağlar.
- Kimlik avı e-postalarının bulaşma riskini azaltmak için Kaspersky Endpoint Security for Business [4] gibi kimlik avı önleme işlevlerine sahip uç noktalar ve posta sunucuları için bir koruma çözümü kullanın.
- Microsoft 365 bulut hizmeti kullanılıyorsa bunun da korunması gerekir. Kaspersky Security for Microsoft Office 365 [5] özel anti-spam ve anti-phishing işlevselliğinin yanı sıra iş iletişimini güvende tutmak için SharePoint, Teams ve OneDrive uygulamalarına yönelik korumaya sahiptir.
[1] https://securelist.com/html-attachments-in-phishing-e-mails/106481/
[2] https://securelist.com/phishing-kit-market-whats-inside-off-the-shelf-phishing-packages/106149/
[3] https://www.kaspersky.de/enterprise-security/security-awareness
[4] https://www.kaspersky.de/enterprise-security/endpoint
[5] https://www.kaspersky.de/enterprise-security/microsoft-office-365