Son üç yılda, kötü amaçlı yazılım ve diğer zararlı kod türleri için en popüler vektörlerden biri mütevazı e-posta ekleri olmuştur. Daha spesifik olmak gerekirse, Hypertext Markup Language veya HTML'de kodlanan ekler, uzaktan erişim Truva atları (RAT'ler) yoluyla düzenlenen kimlik sahtekarlığı, fidye yazılımı saldırıları ve kimlik avı dolandırıcılığı da dâhil olmak üzere bir dizi farklı (ve giderek daha sofistike hale gelen) siber suçu hayata geçirmenin giderek daha popüler bir yolu haline geldi. Endişe verici bir şekilde, bu münferit bir olay ya da tek bir tehdit unsurundan kaynaklanan bir tür toplu saldırı değildir; kötü niyetli HTML eklerinin 2023 yılında dünya çapında birçok bireysel bilgisayar korsanının tercih ettiği bir seçenek gibi görünüyor.
Bazen kötü amaçlı yükün HTML ekinin kendisinde olduğu daha karmaşık durumlarda "HTML Kaçakçılığı" olarak adlandırılan bu teknik (uzun zamandır bilinmesine ve yıllar boyunca çeşitli siber suçlular tarafından kullanılmasına rağmen), önemli tehdit aktörü NOBELIUM tarafından yapılan bir hedef odaklı kimlik avı saldırısı kampanyası ile öne çıkmıştır. Son yıllarda bu teknik, Mekotio ( meşhur bankacılık Truva Atı), Trickbot ve AsyncRAT/NJRAT da aralarında olmak üzere bir dizi önemli kötü amaçlı yazılımı dağıtmak için kullanılmıştır. Bu tür siber suçların artması ve ABD'deki her üç evden birine bir tür kötü amaçlı yazılım bulaşması nedeniyle, kötü amaçlı HTML eki (ve HTML kaçakçılığı) saldırılarının nasıl çalıştığını ve bunlara karşı nasıl korunulacağını anlamak önemlidir. Bu nedenle, e-postalarınıza erişmek istediğiniz her yerde içiniz rahat olsun diye HTML ekleri ve HTML kaçakçılığına ilişkin bu kılavuzu hazırladık.
Kötü Amaçlı HTML Ekleri Nedir?
Kötü amaçlı HTML ekleri, genellikle e-postalarda ekleri şeklinde bulunan bir kötü amaçlı yazılım türüdür. Öncelikle, kullanıcı virüslü HTML dosya ekine tıkladığında etkinleştirilirler. Açıldıktan sonra, kullanıcı harici olarak barındırılan JavaScript kütüphaneleri aracılığıyla bilgisayar korsanının kimlik avı web sitesine (veya saldırgan tarafından kontrol edilen oturum açma sayfası gibi başka bir kötü amaçlı içerik biçimine) yönlendirilir. Bu tür HTML kimlik avı dolandırıcılığının en bilinen biçimleri genellikle bir Microsoft açılır penceresi gibi görünür. Pencere, kullanıcıdan, bilgisayar korsanının e-postasında alınan HTML dosya ekini indirmesine izin verecek bir tür kişisel kimlik bilgisi / oturum açma bilgileri isteyecektir. Bir kez girildiğinde, kullanıcının bilgileri finansal hırsızlık, kimlik dolandırıcılığı ve fidye yazılımı yoluyla gasp gibi daha fazla sömürü için bilgisayar korsanına gönderilir.
HTML Kaçakçılığı Nedir?
HTML eki kötü amaçlı yazılım saldırısının daha teknik bir biçimi olarak bilinen HTML kaçakçılığı, HTML 5 ve JavaScript'i kullanarak bir siber suçlunun HTML ekinin içine gömülü olan benzersiz bir şekilde hazırlanmış bir komut dosyası aracılığıyla kurbanın bilgisayarına kötü amaçlı kod "kaçırmasına" olanak tanır. Saldırının kurbanı kötü niyetli HTML ekini web tarayıcısında açtığında, tarayıcı gömülü komut dosyasını çözer ve bu da kurbanın kendi bilgisayar cihazında yükü bir araya getirir. Bu, bilgisayar korsanının kötü amaçlı yazılımı kurbanın güvenlik duvarının arkasında yerel olarak oluşturmasına olanak tanır.
Bu saldırı türü, hem HTML hem de JavaScript'in güvenilir günlük bilgi işlemin (iş ve kişisel kullanım bağlamında) en yaygın ve önemli parçalarından bazıları olduğu gerçeğinden yararlanır. Sonuç olarak bu teknik, yalnızca trafik tabanlı imzaları veya .EXE, .ZIP veya .DOCX gibi geleneksel olarak şüpheli ek türlerini kontrol eden standart güvenlik kontrol yazılımlarını (web proxy'leri ve e-posta ağ geçitleri gibi) atlatabilir. Zararlı dosyalar, dosya kurbanın makinesindeki tarayıcı aracılığıyla yüklendikten sonra oluşturulduğundan, standart güvenlik çözümleri yalnızca iyi huylu HTML ve JavaScript trafiğini kaydedecektir. Buna ek olarak, "şaşırtma" gibi daha gelişmiş siber suç teknikleri, bilgisayar korsanlarının kötü niyetli komut dosyalarını daha gelişmiş güvenlik yazılımlarından başarıyla gizlemelerine olanak tanır.
HTML kaçakçılığı, bağlantı etiketleri için "download" özniteliğinden yararlanarak ve kurbanın cihazında yükü bir araya getirmek için JavaScript Blob'larını kullanarak çalışır. "Download" niteliği tıklandığında, bir HTML dosyasının "href" etiketinde referans verilen kötü amaçlı bir dosyayı otomatik olarak indirmesini sağlar. JavaScript kullanımında da benzer bir işlem gerçekleştirilir: JavaScript Blob'ları kötü amaçlı dosyanın kodlanmış verilerini depolar ve bu veriler daha sonra URL bekleyen bir JavaScript API'sine aktarıldığında deşifre edilir. Bu, kötü amaçlı dosyanın otomatik olarak indirildiği ve JavaScript kodları kullanılarak kurbanın cihazında yerel olarak oluşturulduğu anlamına gelir.
Diğer Kötü Amaçlı E-posta Ekleri Türleri
HTML, bir kullanıcının sistemine kötü amaçlı yazılım bulaştırmak için kullanılan en popüler ek türlerinden biri olduğundan, aynı derecede tehlikeli olabilecek diğer popüler dosya türlerinin de farkında olmak önemlidir:
.EXE Dosyaları
Daha önce de belirtildiği gibi, Windows işletim sistemindeki .EXE dosyaları veya çalıştırılabilir dosyalar, uyanık olmanız gereken popüler (ve iyi bilinen) bir tehdit vektörüdür. Bir e-postada bunlardan birini görürseniz (güvenilir bir göndericiden veya başka bir şekilde), dosyayı indirmekten ve işlem yapmaktan kaçınmalısınız.
.ISO Dosyaları
ISO dosyaları genellikle bir bilgisayarın disk sürücüsündeki her şeyin bir kopyasını depolamak ve değiştirmek ve Apple veya Windows gibi sistemleri dağıtmak için kullanılır. Windows artık bu dosyaları herhangi bir ek yazılım olmadan bağlanabilir, bu tür kötü amaçlı yazılım ekleri son yıllarda popülerlik kazanmıştır. Ancak, bunları kişisel veya profesyonel bir e-posta hesabı aracılığıyla alıyorsanız ve tüm bir sistemi istemediyseniz veya bilgisayarınızı birden fazla işletim sistemi çalıştıracak şekilde bölümlendirmiyorsanız, bu dosyaya sahip olmanıza gerek yoktur. Bu nedenle, neredeyse tüm durumlarda, neredeyse kesinlikle kötü amaçlı yazılım olduğundan, bu dosyayı indirmeyin ve gelen kutunuzdan silin.
Microsoft Office Dosyaları
Microsoft Office dosyaları (.DOCX, .XLSX veya .PPTX gibi) dünya çapında standart iş biçimleri olarak her yerde bulunduğundan, şüphelenmeyen işletmelere her türlü kötü amaçlı yazılımı iletmek için ideal bir araçtır. Bu tür dolandırıcılıklara karşı korunmak da en zor olanlardan biridir ve genellikle acil bir fatura ya da bir son dakika talebi şeklinde ortaya çıkarak kurbanı dosyaları açması için kandırır.
Kötü Amaçlı HTML Eklerine Karşı Nasıl Korunuruz
Neyse ki, kötü amaçlı HTML eklerinin oluşturduğu tehdidi azaltmak ve bu tehdide karşı savunmak için atabileceğiniz bir dizi adım vardır.
Bir E-posta Tarama ve Koruma Sistemi
Özel bir e-posta tarama ve koruma sistemi, kötü amaçlı e-posta eklerine ve gömülü komut dosyalarına karşı ilk savunmadır. Ancak, yukarıda da belirtildiği gibi, standart güvenlik sistemleri günümüzün siber suçlularının oluşturduğu gelişen tehdidi kontrol etmek için yeterli değildir. Günümüzde siber güvenlik uzmanları, makine öğrenimi ve statik kod analizi içeren bir antivirüs çözümü öneriyor, bu da bir e-postanın yalnızca ekini değil gerçek içeriğini de değerlendiriyor. Gelişmiş bir çevrimiçi siber güvenlik çözümü için Kaspersky Premium'u öneriyoruz. İşletmeler ve kişisel kullanıcılar için ödüllü bir sistem olan premium paketimiz uzaktan yardım ve 7/24 destekle birlikte gelir.
Katı Erişim Kontrolleri
Bir ihlal veya kimlik bilgileri kaybı meydana gelse bile, kullanıcı erişimini temel personelle sınırlamak, bir siber suçlunun gerçek anlamda verebileceği zararı azaltmanın harika bir yoludur. Ayrıca, siber güvenlik stratejinize başka bir katman ekleyerek maruziyeti daha da azaltmak için hayati sistemlere erişimi olan kullanıcıların çok faktörlü kimlik doğrulama kullandığından emin olmalısınız (bazen MFA, iki faktörlü doğrulama veya 2FA olarak da adlandırılır). Ayrıca, hayati varlıklarınızı çalışanlar kaynaklı erişim hatalarından korumanın önemli bir yolu da (özellikle uzaktan çalışıyorlarsa) Sanal Özel Ağ veya VPN kullanmaktır. Kaspersky VPN, kullanıcılarının şifrelenmiş bir dijital tünel aracılığıyla şirketlerinin sunucularına uzaktan bağlanmasına olanak tanır. Bu tünel, dünyanın neresinde olurlarsa olsunlar sistemlerini halka açık Wi-Fi ve güvenli olmayan internet bağlantılarının potansiyel tehlikelerinden korur.
Siber Güvenlik Eğitimi ve En İyi Uygulamalar
Değerli varlıklarınızı bir HTML eki saldırısından korumanın en kolay yollarından biri, personelinizi (veya kendinizi) siber güvenliğin en iyi uygulamaları ve şüpheli e-postaları, dosyaları ve ekleri nasıl tespit edecekleri konusunda eğitmektir. Bu, herhangi bir parolayı veya iş giriş bilgilerini iş arkadaşlarınızla paylaşmamayı, birden fazla yazılım veya hesap için parolaları tekrar kullanmamayı (parolalarınızı şifreleyen ve gerektiğinde her birini otomatik olarak dolduran bir Parola Yöneticisi veya Kasası kullanmanızı öneririz) ve her zaman güçlü bir parola veya parola cümlesi (10-12 karakter uzunluğunda, özel karakterler, sayılar, büyük ve küçük harflerin bir karışımını içeren) kullanmayı içerir.
HTML Ekleri SSS
HTML ekleri nedir?
HTML ekleri, e-postalara eklenen ve Köprü Metni İşaretleme Dili ile kodlanmış dosyalardır. Son birkaç yılda, kötü amaçlı HTML ekleri (gömülü kötü amaçlı yazılım veya kimlik avı web sitelerine JavaScript tabanlı bağlantılar içerenler), e-posta güvenlik duvarlarını ve koruma sistemlerini aşmak isteyen siber suçlular için popüler vektörler haline gelmiştir.
HTML dosyaları virüs içerebilir mi?
Evet, HTML dosyaları kimlik avı dolandırıcılığı ve fidye yazılımı da dâhil olmak üzere virüsler ve diğer kötü amaçlı yazılım türlerini içerebilir. Bu tür bir siber saldırı, kötü niyetli HTML eki veya HTML kaçakçılığı saldırısı olarak bilinir. Bir kullanıcının kimlik bilgilerini ve kişisel dosyalarını kötüye kullanmak için sahte oturum açma pencerelerine veya gömülü kötü amaçlı yazılımlara JavaScript bağlantıları kullanmayı içerir.
HTML dosyaları tehlikeli olabilir mi?
Evet, HTML dosyaları (e-postalardaki ekler dâhil) sisteminiz için çok tehlikeli olabilir. Son yıllarda siber güvenlik uzmanları, kişisel verileri çalmak için kötü amaçlı HTML ekleri kullanan sofistike siber saldırılarda bir artış olduğunu gözlemledi. Bu saldırı türü genellikle HMTL kaçakçılığı olarak adlandırılır.
HTML Kaçakçılığı Nedir?
HTML kaçakçılığı, bir kullanıcının sistemine çeşitli kötü amaçlı yazılım türlerini "kaçırmak" için Köprü Metni Biçimlendirme Dili (genellikle HTML 5) ve JavaScript'ten yararlanan ve giderek daha popüler hale gelen bir siber saldırı biçimidir. Geleneksel e-posta koruma protokollerini atlatabilir ve bilgisayar korsanının kötü amaçlı yazılımı kurbanın güvenlik duvarının arkasında yerel olarak oluşturmasına izin verebilir.
İlgili makaleler:
- Parola Yöneticisi nedir ve güvenli midir?
- Fidye yazılımı nedir?
- Spam ve Kimlik Avı Dolandırıcılığı Nedir?
- Trojan Atları nedir ve türleri nelerdir?
Önerilen ürünler:
