Kaspersky, kod yazmadan uygulama geliştirmeye imkân tanıyan Bubble platformunu kullanan yeni bir oltalama tekniğine karşı uyarıyor

Kaspersky, klâsik güvenlik denetimlerini aşmayı hedefleyen ve kodsuz geliştirme platformu Bubble’ı istismar eden yeni bir oltalama (phishing) prosedürü tespit etti. Kullanıcıların rastgele bir kod yazmadan görsel bir arayüz üzerinden web ve taşınabilir uygulamalar geliştirmesine imkan tanıyan Bubble platformu, saldırganlar tarafından berbata kullanılarak oltalama kampanyalarının aktifliğini artırmak için yine kurgulanıyor.

Geleneksel kimlik avı atakları çoğunlukla ziyanlı irtibatlar yahut kolay kolay tespit edilebilen yönlendirme prosedürlerine dayanırken, çağdaş güvenlik sistemleri bu çeşit teşebbüsleri çoklukla süratlice engelleyebiliyor. Lakin saldırganlar artık Bubble’ın kodsuz geliştirme ortamını kullanarak, muteber altyapı ve *.bubble.io üzere legal alan isimleri üzerinde barındırılan orta web uygulamaları oluşturuyor. Bu yaklaşım, hücumların güvenilirliğini artırırken güvenlik filtrelerini de aşmalarını kolaylaştırıyor. Kelam konusu uygulamalar, görünürde suçsuz olan lakin kullanıcıyı fark ettirmeden kimlik bilgilerini ele geçirmeye yönelik ziyanlı sayfalara yönlendiren zımnî birer aracı (redirector) olarak çalışıyor.

Gözlemlenen kampanyada kullanıcılar, son olarak Microsoft giriş sayfasının son epeyce inandırıcı bir taklidine yönlendirildi. Bu düzmece sayfa, berbat niyetli içeriği daha da gizlemek maksadıyla Cloudflare doğrulama katmanıyla korunuyordu.

 

Kurumsal Kimlik Bilgilerini Ele Geçirmeye Yönelik Uydurma Formlar

Bu tekniğin, kapsamlı "Hizmet Olarak Kimlik Avı" (PhaaS) platformlarına ve oltalama kitlerine entegre edildiği düşünülüyor. Bu kitler; oturum çerezlerinin gerçek vakitli olarak ele geçirilmesi, Google Tasks ve  Google Forms gibi yasal servisler aracılığıyla atakların yürütülmesi ve çok faktörlü kimlik doğrulamayı (MFA) bypass edebilen "Ortadaki Saldırgan" (AiTM) hareketleri üzere gelişmiş imkanlar sunuyor. Ayrıyeten, yapay zeka yardımıyla kimlik avı e-postaları oluşturma, güvenlik tarayıcılarından kaçmak için coğrafik filtreleme ve tespit tedbire düzenekleri kullanma üzere özelliklere sahip olan bu sistemler, kara listeye alınmamak için ekseriyetle AWS üzere saygın bulut servislerinde barındırılıyor.

Kaspersky Anti-Spam Uzmanı Roman Dedenok konuyla ilgili şu değerlendirmede bulundu: “Bubble üzere legal platformların bu halde kullanılması, inanç istismarını yeni bir boyuta taşıyor. Bu durum, hem kullanıcıların hem de otomatik sistemlerin inançlı içerik ile ziyanlı içeriği birbirinden ayırt etmesini zorlaştırıyor. Hasebiyle kimlik bilgilerinin çalınması, yetkisiz erişim ve mümkün data ihlali riskleri kıymetli ölçüde artıyor.”

Kaspersky, bu çeşit tehditlere karşı kurumlara şu tedbirleri öneriyor:

• Çalışanların, kurumsal kimlik bilgilerini sırf doğrulanmış ve resmi platformlara girmeleri gerektiği konusunda bilinçlendirilmesi 
• Bilinen ve kuşkulu oltalama maksatlarına erişimi engelleyecek güçlü güvenlik çözümlerinin devreye alınması 
• E-posta ağ geçidinde gelişmiş anti-phishing teknolojilerinin kullanılarak ziyanlı iletilere maruziyetin azaltılması 
• Saldırganların gelişen prosedürlerine karşı aktüel kalınması ve tehdit istihbaratının güvenlik operasyonlarına entegre edilmesi 

 

Kaynak: (BYZHA) Beyaz Haber Ajansı