Bir konuşmada kimlik bilgisi hırsızlığı söz konusu olduğunda, ilk sırada genellikle kimlik avı bağlantılarına sahip e-posta mesajları gelir. Ancak bu mesajlar, çeşitli online servislere ait kullanıcı adları ve parolaları elde etmenin yalnızca bir yoludur. Dolandırıcılar hala düzenli şekilde casus yazılımlara bağlantılar göndermeye devam ediyor. Bu bağlantıları gizlemek için kullandıkları yöntemlerden biri de e-postaya ek gibi görünen bir resim eklemektir.
Kötü amaçlı bağlantı içeren e-posta
Bugünkü örnekte, hedefli bir e-posta saldırısını ele alıyoruz. Söz konusu siber suçlular, e-postalarının güvenilir görünmesini sağlayarak, bir sanayi hizmetleri ve ekipmanları tedarikçisine ekte yönergelerin yer aldığı bir RFQ (teklif talebi) gönderiyor.
Büyük şirketler bu tür talepleri oldukça sık alır ve hesap yöneticileri genellikle gönderilen kılavuz belgeyi açar ve e-postanın gönderildiği alan adı ile gönderenin imzası arasındaki farklar gibi küçük ayrıntıların farkına varmadan bir teklif hazırlar. Burada dikkat çekmek istediğimiz şey, siber suçluların, alıcıları kötü amaçlı yazılımı çalıştırmaları konusunda nasıl kandırdığıdır. İşte söz konusu e-posta bu şekilde görünüyor.
Ek yapılan PDF’i görüyor musunuz? Aslında baktığınız şeyin bir ekle alakası yok. Outlook, e-posta eklerini buna benzer şekilde görüntüler ancak burada şöyle bir takım farklılıklar söz konusu:
- Ek yapılan dosyanın simgesi, sisteminizde PDF dosyalarını açmak için kullandığınız uygulamanın simgesiyle eşleşmelidir. Eşlemiyorsa; ya bu bir ek değildir ya da eklenen PDF dosyası değildir,
- Farenizi gerçek ekin üzerine getirdiğinizde dosyayla ilgili isim, tür, boyut gibi ayrıntılar görünmelidir, şüpheli bir internet sitesine ait bir bağlantı değil,
- Dosya adının yanındaki ok renklendirilmiş ve içerik menüsünü açan bir buton işlevine sahip olmalıdır,
- Yapılan ek, e-posta metninin içinde değil, şuna benzer şekilde metinden ayrı bir yerde görünmelidir:
PDF eki olarak gizlenen bu nesne, aslında normal bir görüntü dosyasından başka bir şey değil. Farenizle mesajın bölümlerini seçmeyi veya Ctrl-A’yı kullanarak tümünü seçmeyi denediğinizde, yalnızca seçilen kısmı kadarı görünür olur.
Görüntüde, kötü amaçlı bir programa giden bir köprü bağlantı gizli. Bu bağlantıya tıklandığında Truva Atı bir casus yazılım indirilir.
Saldırı yükü
Bu örnek özelinde, kötü amaçlı bağlantı, Kaspersky tarafından oldukça yaygın bir Truva Atı casus yazılımı olarak tanımlanan ve 2017’den beri bilinen, saldırganların giriş formlarındaki parolaları ve diğer bilgileri çalmasını sağlayan Trojan-Spy.Win32.Noon Truva Atına ait bir yükleyicinin yer aldığı Swift_Banco_Unicredit_Wire_sepa_export_000937499223.cab adlı bir arşiv dosyasına yönlendirilmiş.
Kendinizi korumanın yolları
Truva Atı casus yazılımların şirketinize zarar vermesini, kötü amaçlı yazılımların çalışmasını önlemek için internet erişimi olan her cihaza güvenilir bir güvenlik çözümü kurun.
Ek olarak, siber suçluların e-postalarda başvurduğu hileleri tespit etmeleri konusunda çalışanlarınızı eğitin.