Yeni Barracuda araştırması, kimlik avı saldırıları için coğrafi ve ağ kırmızı bayraklarını ortaya koyuyor. E-postaların geldiği ülke ve son varış noktasına giderken içinden geçtikleri ülke sayısı, kimlik avı saldırıları için önemli uyarı işaretleridir.
Barracuda'nın Columbia Üniversitesi ile ortaklaşa yaptığı yeni bir araştırma, Ocak 2'de gönderilen 2020 milyardan fazla e-postanın coğrafi konumunu ve ağ altyapısını analiz etti. Araştırma, kimlik avı e-postalarının Doğu Avrupa, Orta Amerika, Orta Doğu ve Afrika'nın bazı bölgelerindeki belirli ülkelerden gelme olasılığının daha yüksek olduğunu gösterdi.
2 milyar e-posta = yaklaşık 220.000 kimlik avı e-postası
Ayrıca, zararsız e-postalara göre daha fazla sayıda konumdan yönlendirilme olasılıkları daha yüksektir. Şaşırtıcı sayıda saldırı da büyük, meşru bulut sağlayıcılarından geldi. Bunun nedeni muhtemelen saldırganların bu sağlayıcılar tarafından barındırılan meşru sunucuları ve/veya e-posta hesaplarını tehlikeye atma becerisidir.
Coğrafya ve ağ altyapısının kimlik avı saldırılarını nasıl etkilediğine ve bu saldırıları algılamaya, engellemeye ve hafifletmeye yardımcı olacak çözümlere daha yakından bakın.
Kimlik avı saldırılarının coğrafi ve ağ özellikleri
Oltalama saldırılarında saldırganlar, kullanıcı adları, parolalar, kredi kartı numaraları veya banka bilgileri gibi kişisel bilgileri ifşa etmeleri için kurbanları kandırmak için sosyal mühendislik taktikleri kullanır. Kimlik avı tespiti, büyük ölçüde kimlik avı e-postalarının içeriğine ve saldırganların davranışlarına odaklanır. Ancak oltalama saldırıları karmaşıklaştıkça bu saldırılardan korunmak isteyenler de giderek daha karmaşık yöntemler kullanmak zorunda kalıyor.
Barracuda, kimlik avı e-postalarının ağ düzeyindeki özelliklerini inceledi çünkü bunlar daha kalıcı ve saldırganlar tarafından manipüle edilmesi daha zor. Güvenlik araştırmacıları, iletim sırasında geçilen sunucular hakkındaki bilgileri kaydeden e-posta başlıklarının "Alındı" alanlarından IP adreslerini çıkardı. Bu verilerin incelenmesi, bir kimlik avı e-postasının göndericisi ile alıcısı arasında izlediği yolu aydınlatır. Analiz üç önemli bulgu ortaya çıkardı:
Kimlik avı e-postaları en az 2 ülke üzerinden yönlendirilir
İyi e-postaların yüzde 80'inden fazlası iki veya daha az ülkeden geçiyor. Buna karşılık, kimlik avı e-postalarının yüzde 60'ından biraz fazlası için durum bu. Bu nedenle, bir e-postanın geçtiği farklı ülkelerin sayısı, kimlik avı tespiti için iyi bir gösterge olabilir.
Doğu Avrupa, Orta Amerika, Orta Doğu ve Afrika'nın bazı bölgelerinde kimlik avı olasılığı daha yüksek olan ülkeler
Güvenlik araştırmacıları, farklı ülkeler için kimlik avı olasılığını da belirledi. Bu amaçla coğrafi konum verileri ile göndericinin ülkesi belirlenmiş ve her ülke için oltalama olasılığı şu şekilde hesaplanmıştır:
Kimlik avı olasılığı = ülkeden gelen kimlik avı e-postalarının sayısı/ülkeden gelen toplam e-posta sayısı
Kimlik avı trafiğinde yüksek olan bazı ülkeler, son derece düşük kimlik avı olasılığına sahiptir. Örneğin, veri kümesindeki 129.369 kimlik avı e-postası ABD'den gönderilmiştir, ancak ABD'nin yalnızca yüzde 0,02 kimlik avı olasılığı vardır. Genel olarak, çoğu ülkenin yüzde 10 veya daha az kimlik avı şansı vardı. Daha yüksek hacimde kimlik avı e-postası (veri kümesinde 1.000'den fazla e-posta) üreten ve kimlik avı olasılığı daha yüksek olan gönderenler aşağıdaki ülkelerden veya bölgelerdendi (azalan sırayla):
Barracuda Çalışması: IP dizisinden eşlenen farklı ülke sayısı (Resim: Barracuda).
- Litvanya
- Letonya
- Sırbistan
- Ukrayna
- Rusya
- Bahamalar
- Porto Riko
- Kolombiya
- Iran
- Filistin
- Kasachstan
Kimlik avı olasılığı yüksek olan ülkelerden gelen tüm e-posta trafiğini engellemek mantıklı olmasa da, daha fazla analiz için bu ülkelerden gelen e-postaları işaretlemek iyi bir fikir olabilir.
Kimlik avı e-postaları: genellikle meşru bulut sağlayıcıları aracılığıyla
İlk 4 Ağ: Ağdan gelen belirli bir e-postanın bir kimlik avı e-postası olma olasılığı (Grafik: Barracuda).
Şaşırtıcı bir şekilde, en fazla sayıda kimlik avı saldırısına sahip ağlar, büyük bulut sağlayıcılarına aittir. Bu, aynı zamanda gönderilen en yüksek e-posta hacmine sahip oldukları için beklenebilir. Bu tür ağlarda, belirli bir e-postanın bir kimlik avı e-postası olma olasılığı çok düşüktür. Bu ağlardan kaynaklanan saldırıların çoğunun, saldırganların kimlik bilgilerini çalabildiği güvenliği ihlal edilmiş e-posta hesaplarından veya sunuculardan kaynaklanması muhtemeldir.
Ayrıca, yüksek kimlik avı olasılığına sahip en yüksek hacimli kimlik avı saldırganlarından bazılarının (ağa göre) hala bulut hizmeti sağlayıcılarına (Rackspace, Salesforce) ait ağlardan geldiğini gösterdi. Bu ağlar, en iyi ağlardan daha düşük genel e-posta trafiğine sahiptir, ancak yine de önemli miktarda kimlik avı e-postası gönderir. Bu nedenle gönderdikleri bir e-postanın kötü amaçlı olma olasılığı çok daha yüksektir (Tablo 2).
Kimlik avı saldırılarına karşı korunmak için en iyi uygulamalar
1. Yapay zeka kullanan çözümler
Siber suçlular, taktiklerini e-posta ağ geçitlerini ve spam filtrelerini atlayacak şekilde uyarlar. Bu nedenle, marka kimliğine bürünme, iş e-postası ele geçirme ve hesap devralma dahil olmak üzere hedef odaklı kimlik avı saldırılarını algılayan ve bunlara karşı koruma sağlayan bir çözüm kullanmak önemlidir. İşletmeler, yalnızca kötü niyetli bağlantıların veya eklerin denetlenmesine dayanmayan bir çözüm kullanmalıdır. Kuruluş içindeki normal iletişim modellerini analiz etmek için makine öğrenimini kullanan bir teknoloji, bir saldırıya işaret edebilecek anormallikleri algılayabilir.
2. Hesap devralma korumasının uygulanması
En zarar verici ve ikna edici spear phishing saldırılarından bazıları güvenliği ihlal edilmiş dahili hesaplardan gönderildiğinden, güvenlik stratejisi harici e-posta mesajlarının ötesini düşünmelidir. Bu nedenle, saldırganların şirketi mızraklı kimlik avı kampanyaları için bir üs olarak kullanmaları engellenmelidir. Hesapların ele geçirildiğini tespit etmek için yapay zekayı kullanan ve gerçek zamanlı olarak düzeltici eylemde bulunabilen, kullanıcıları uyaran ve güvenliği ihlal edilmiş hesaplardan gönderilen kötü amaçlı e-postaları kaldıran güvenlik teknolojisinden yararlanmalıdır.
3. Eğitim yoluyla güvenlik farkındalığını artırmak
Kullanıcılar en son mızrakla kimlik avı saldırıları ve taktikleri konusunda güncel tutulmalıdır. İşletmeler, çalışanlarının saldırıları tespit edebilmelerini ve bunları anında BT departmanına nasıl bildireceklerini bilmelerini sağlamalıdır. Kullanıcıları siber saldırıları tanıma, eğitimin etkinliğini test etme ve en fazla risk altındaki kullanıcıları belirleme konusunda eğitmek için e-posta, sesli mesaj ve SMS için kimlik avı simülasyonları önerilir.
Kimlik avı, siber suçlular tarafından kullanılan en popüler taktiklerden biri olmaya devam edecek. Ancak yukarıdaki önlemlerle şirketler kendilerini bu saldırıların seline karşı yeterince savunabilir ve güvenlik ihlali riskini önemli ölçüde azaltabilir.
[yıldız kutusu kimliği=5]