E-posta pazarlama hizmetleri aracılığıyla kimlik avı

Kötü niyetli kişiler, kimlik avını önleme teknolojilerini atlatmak için yasal e-posta hizmeti sağlayıcılarını veya ESP’leri (e-posta hizmet sağlayıcıları) kullansa da tehlikeli e-postalar durdurulabilir.

Dolandırıcılar, kimlik avını önleme teknolojilerini atlamak için yıllar boyunca çeşitli numaralar kullandılar. Kimlik avı bağlantılarını hedeflere ulaştırmak için yüksek başarı oranına sahip planlarından biri de, mesaj göndermek için e-posta hizmet sağlayıcıları (ESP’ler) olarak da bilinen e-posta pazarlama hizmetlerini (e-posta ile bülten iletme konusunda uzmanlaşmış şirketler) kullanmak. Çözümlerimizden elde ettiğimiz istatistiklere göre bu yöntem giderek ivme kazanıyor.

ESP tabanlı kimlik avı neden işe yarıyor?

E-posta tehditleri konusunu ciddiye alan şirketler, iletilerin kullanıcıların gelen kutularına ulaşmasına izin vermeden önce tüm e-postaları antivirüs, kimlik avı önleme ve spam önleme motorlarıyla iyice tarar. Motorlar yalnızca mesaj içeriğini, başlıkları ve bağlantıları taramakla kalmaz, aynı zamanda gönderenin ve bağlantılı internet sitelerinin itibarını da kontrol eder. Risk kararları, bu faktörlerin bir kombinasyonuna dayanarak verilir. Örneğin, bilinmeyen bir gönderenden gelen toplu postalar şüphelidir ve güvenlik algoritmaları için tehlike çanlarını çaldırır.

Ancak saldırganlar buna da bir çözüm buldular: E-postaları güvenilen bir varlık adına gönderiyorlar. Uçtan uca e-posta bülteni yönetimi sağlayan e-posta pazarlama hizmetleri, bu rol için biçilmiş kaftan. Bu hizmetler tanınıyor; birçok güvenlik çözümü satıcısı, IP adreslerine varsayılan olarak izin veriyor; hatta bazıları bu hizmetlerden gönderilen e-postaların kontrollerini atlıyor.

ESP’ler nasıl kötüye kullanılıyor?

Ana saldırı vektörü açık: Meşru bir e-posta görünümünde kimlik avı. Siber suçlular, genellikle en düşük abonelik paketini satın alarak hedef hizmetin müşterisi haline geliyorlar (özellikle hızlı bir şekilde tespit edilip engellenebilecekleri düşünüldüğünde, daha yüksek bir abonelik paketi satın almaları mantıksız).

Ancak daha egzotik bir seçenek daha var: ESP’yi bir URL ana bilgisayarı olarak kullanmak. Bu planda e-posta bülteni saldırganların kendi altyapısı üzerinden gönderiliyor. Örneğin, siber suçlular bir kimlik avı URL’i içeren bir test kampanyası oluşturup bunu önizleme olarak kendilerine gönderebiliyorlar. ESP bu URL için bir proxy oluşturuyor; ardından siber suçlular kimlik avı bültenleri için proxy URL’ini alıyorlar. Dolandırıcılar için başka bir seçenek de e-posta şablonu gibi görünen bir kimlik avı sitesi oluşturup doğrudan bu siteye bir bağlantı vermek. Ama bu daha seyrek görülüyor.

Her iki durumda da, yeni proxy URL’i artık olumlu bir itibara sahip olduğu için engellenmiyor; postayla ilgilenmeyen ESP de yanlış bir şey görmüyor ve “müşterisini” engellemiyor. Ta ki şikayet almaya başlayıncaya kadar… Bazen bu tür planlar hedef odaklı kimlik avlarında bile kullanılabiliyor.

ESP’ler ne düşünüyor?

Beklendiği üzere ESP’ler siber suçlular için araç olma konusunda hiç de hevesli değil. Çoğu, sunucularından geçen ileti içeriğini ve bağlantıları tarayan kendi güvenlik teknolojilerine sahip ve neredeyse tümü, kimlik avı ile karşılaşan herkese internet siteleri aracılığıyla rehberlik sağlıyor.

Bu nedenle saldırganlar, ESP’leri de alarma geçirmemeye çalışıyor. Örneğin, proxy’ler için bir sağlayıcı kullanmak, kimlik avı bağlantılarını geciktirme eğilimindedir; bu nedenle oluşturma sırasında test iletilerindeki bağlantılar meşru görünür, ancak daha sonra kötü amaçlı hale gelirler.

Ne yapılmalı?

Toplu postalar çoğunlukla adresleri herkese açık olan şirket çalışanlarına gönderilir. En dikkatli olanlarımız bile ara sıra şüpheli veya kötü amaçlı bir e-postayı gözden kaçırıp tıklamamamız gereken bir şeye tıklayabilir. Çalışanları e-posta pazarlama hizmetinden gelebilecek olası kimlik avı saldırılarına karşı korumak için aşağıdakileri öneriyoruz:

  • Çalışanlara, söz konusu özel posta listesine abone olmadıkları sürece “toplu posta” olarak işaretlenmiş e-postaları asla açmamalarını söyleyin. Bu tür mesajların acil bir öneme sahip olma olasılığı düşüktür; genellikle en iyi ihtimalle istenmeyen reklamlardır.
  • Sezgisel algoritmalar kullanarak tüm gelen e-postaları kapsamlı bir şekilde tarayan sağlam güvenlik çözümleri kullanın.

Kaspersky Security for Microsoft Office 365 ve Kaspersky Total Security for Business‘ın bir parçası olan Kaspersky Security for Mail Server, çözümlerimiz arasında yer alıyor. Kullanıcıları bu tehdide karşı güvenilir bir şekilde koruyorlar.

İpuçları