Gecikmeli kimlik avıyla nasıl mücadele edilir

Şirket çalışanlarına gönderilen e-postalardaki kimlik avı bağlantıları genellikle ilk taramadan sonra etkin hale gelir. Ama yine de yakalanabilirler ve yakalanmaları gerekir.

Kimlik avı, uzun süredir kurumsal ağlardaki önemli bir saldırı yönü oldu. E-posta sağlayıcılarından posta ağ geçitlerine ve hatta tarayıcılara kadar herkesin ve her şeyin kimlik avını önlemeye yönelik filtreleri ve kötü niyetli adres tarayıcılarını kullanması çok da şaşılacak bir durum değil. Bu nedenle siber suçlular sürekli bunları atlatmanın yeni yollarını bulmaya çalışıyor ve eski yolları ileri götürecek yöntemler geliştiriyor. Bu yöntemlerden biri, gecikmeli kimlik avıdır.

Gecikmeli kimlik avı nedir?

Gecikmeli kimlik avı, Post-Delivery Weaponized URL olarak da bilinen bir tekniği kullanarak kurbanı kötü niyetli veya sahte bir siteye çekme girişimidir. Adından da anlaşılacağı gibi teknik esas olarak çevrimiçi bir içeriği, ona verilen bağlantının yer aldığı bir e-postanın, alıcıya gönderilmesinden sonra kötü amaçlı bir sürümle değiştirilmesidir. Başka bir deyişle potansiyel kurban, hiçbir yere gitmeyen ya da zaten tehlikeli olan ancak o anda kötü amaçlı bir içerik bulunmayan geçerli bir kaynağa verilen bir bağlantının olduğu bir e-posta alır. Sonuç olarak e-posta, bunu önleyebilecek bir filtreden sorunsuz geçer. Koruma algoritmaları metindeki adresi bulur, bağlantı verilen siteyi tarar, tehlikeli hiçbir şey bulamaz ve e-postanın geçişine izin verir.

E-postanın iletiminden sonraki bir aşamada (her zaman e-posta teslim edildikten sonra ve ideal olarak okunmadan önce), siber suçlular e-postadaki bağlantıda yer alan siteyi değiştirir veya önceden zararsız olan bir sayfadaki kötü amaçlı içeriği etkinleştirir. Bu numara, taklit bir bankacılık sitesinden kurbanın bilgisayarına kötü amaçlı yazılım bırakmaya çalışan bir tarayıcı istismarına kadar her şey olabilir. Ancak vakaların yaklaşık yüzde 80’inde bu, bir kimlik avı sitesidir.

Kimlik avını önleme algoritmalarını nasıl kandırır?

Siber suçlular, e-postaları filtrelerden geçirmek için üç yoldan birini kullanır.

  • Basit bir bağlantının kullanılması. Bu tür saldırılarda failler ya sıfırdan oluşturdukları ya da hackleyip ele geçirildikleri hedef siteyi kontrol ederler. Siber suçlular, güvenlik algoritmaları gibi, olumlu bir algıya sahip olma eğiliminde olan ikincisini tercih ederler. E-posta iletildiği sırada bağlantı ya anlamsız bir yere ya da (daha yaygın olarak) 404 hata mesajı içeren bir sayfaya gider.
  • Kısa bağlantının hızlıca değiştirilmesi. Birçok çevrimiçi araç, birinin uzun bir bağlantıyı kısa bir bağlantıya dönüştürmesini sağlar. Kısa bağlantılar, kullanıcıların hayatını kolaylaştırır; pratikte kısa, hatırlaması kolay bir bağlantı uzun bir bağlantıya dönüşür. Başka bir deyişle, basit bir yönlendirmeyi tetikler. Bazı hizmetlerle, kısa bir bağlantının arkasına gizlenmiş içeriği değiştirebilirsiniz, bu boşluk saldırganlar tarafından suistimal edilir. E-postanın iletilmesi sırasında, adres geçerli bir siteyi gösterir, ancak bir süre sonra, kötü amaçlı bir siteyle değiştirilir.
  • Rastgele ve kısa bir bağlantının dahil edilmesi. Bazı bağlantı kısaltma araçları, olasılığa dayalı yeniden yönlendirmeye izin verir. Diğer bir deyişle, bağlantının google.com’a yönlendirme şansı veya kimlik avı sitesi açma şansı yüzde 50-50’dir. Görünüşe göre, bağlantının geçerli bir siteye gitme olasılığı, gezginlerin (otomatik bilgi toplama yazılımları) kafasını karıştırabilir.

Bağlantılar ne zaman kötü amaçlı hale gelir?

Saldırganlar genellikle, kurbanlarının geceleri uyuyan normal bir çalışan olduğu varsayımıyla hareket ederler. Bu nedenle, gecikmeli kimlik avı e-postaları gece yarısından sonra (kurbanın saat dilimine göre) gönderilir ve birkaç saat sonra, sabah olmasına yakın kötü amaçlı hale gelir. Kimlik avını önleme tetikleyicilerinin istatistiklerine baktığımızda, kahve bağımlısı kullanıcılar tarafından, gönderildiğinde zararsız olan ancak artık kötü amaçlı hale gelmiş bağlantılara tıklanmasının sabah 7-10 civarında zirve yaptığını görüyoruz.

Hedefli kimlik avında da uyumayın. Siber suçlular saldıracak belirli bir kişi bulduklarında, kurbanlarının günlük rutinini inceleyebilir ve o kişinin e-postasını ne zaman kontrol ettiğine bağlı olarak kötü amaçlı bağlantıyı etkinleştirebilirler.

Gecikmeli kimlik avı nasıl tespit edilir

İdeal olarak, kimlik avı bağlantısının kullanıcıya iletilmesini önlememiz gerekir, bu nedenle gelen kutusunu yeniden taramak en iyi strateji gibi görünecektir. Bazı durumlarda bu yapılabilir: örneğin, işletmeniz bir Microsoft Exchange posta sunucusu kullanıyorsa.

Bu Eylül ayı itibarıyla Kaspersky Security for Microsoft Exchange Server, e-posta kutularında bulunan mesajların yeniden taranmasına izin veren yerel API aracılığıyla e-posta sunucusu entegrasyonunu desteklemektedir. Uygun şekilde yapılandırılmış bir tarama süresi, en yoğun zamanında sunucuda ek bir yük oluşturmadan gecikmeli kimlik avı girişimlerinin algılanmasını sağlar.

Çözümümüz ayrıca dahili e-postayı (e-posta güvenliği ağ geçidinden geçmeyen ve dolayısıyla filtreleri ve tarama motorları tarafından görülmeyen) izlemenize ve daha karmaşık içerik filtreleme kuralları uygulamanıza olanak tanır. Hackerların kurumsal bir e-posta hesabına erişim sağladıkları, özellikle tehlikeli kurumsal e-posta gizliliği ihlali (BEC) vakalarında, e-posta kutularının içeriğini yeniden tarama ve dahili yazışmaları kontrol etme yeteneği özel bir önem kazanır.

Kaspersky Security for Microsoft Exchange Server, Kaspersky Security for Mail Servers ve Kaspersky Total Security for Business çözümlerimizde yer almaktadır.

İpuçları