Kaspersky, Tanınan Bir Yapay Zekâ Dayanaklı Web Geliştirme Platformunu Amaç Alan Yeni Bir Kurumsal Kimlik Avı Prosedürü Keşfetti

Kaspersky, siber saldırganların makus niyetli hedefleri için yasal bir hizmeti daha suistimal etmeye başladığını tespit etti. Saldırganlar bu kere, web uygulamaları oluşturma ve barındırma platformu olan Tencent EdgeOne Pages’in özelliklerini berbata kullanarak kurumsal kullanıcıları gaye alan kimlik avı (phishing) e-postaları üretiyor. Kaspersky daha evvel de Google hizmetleri ile yapay zekâ takviyeli uygulama geliştirme platformu Bubble üzerinden oluşturulan web uygulamalarının kurumsal hesap bilgilerini ele geçirmek gayesiyle kullanıldığı benzer saldırıları ortaya koymuştu.

Başta endüstriyel bölüm, satış ve kamu olmak üzere pek çok farklı iş kolundan çalışanlar bu akınların gayesinde yer alıyor. Akının temel emeli, kurumsal kaynaklara ilişkin kullanıcı giriş bilgilerini çalmak. Kaspersky uzmanları, son 30 gün içinde bu metodun kullanıldığı; İngilizce, Korece ve Rusça lisanlarında yazılmış 8.000'den fazla kimlik avı e-postası tespit etti.

Tencent EdgeOne Pages, yapay zekâ takviyesiyle süratli bir halde web uygulamaları tasarlama ve yayına alma platformu olarak konumlandırılıyor. Dolandırıcılar ise bu platformu suistimal ederek, neredeyse hiç web geliştirme maharetine gereksinim duymadan, dakikalar içinde kimlik avı sayfaları oluşturup yayımlayabiliyor.

Saldırganlar, düzmece sayfaları EdgeOne’ın resmi bulut altyapısında barındırıyor ve emniyetli alan isimleri (domain) kullanıyor. Bunun bir sonucu olarak, kelam konusu siteler birçok güvenlik yazılımı tarafından kurumsal ve inançlı olarak algılanıyor; bu da taarruzların tespit edilmesini önemli halde zorlaştırıyor.

Saldırı Nasıl Başlıyor?

Kullanıcıya birinci olarak, kelamda "kurumsal e-posta dayanak ekibi"nden gelmiş üzere görünen bir e-posta ulaşıyor. İletide, hesap giriş bilgilerinin geçerlilik mühletinin 48 saat içinde dolacağı, bilgilerin güncellenmemesi durumunda e-posta alımında yahut gönderiminde sıkıntılar yaşanabileceği belirtiliyor. Mümkün kısıtlamaların önüne geçmek için kullanıcının bir kontağa tıklaması ve gerekli bilgileri girmesi isteniyor. Elbette kimlik avı e-postaları yalnızca bu senaryoyla sonlu kalmıyor; İK departmanından gelen bir bilgilendirme yahut indirilmesi gereken bir evrak bildirimi üzere rastgele bir kurumsal senaryo da bu hücuma alet edilebiliyor.

E-postadaki temasa tıklandığında, kurbanın ismini, e-posta adresini ve şifresini girmesi için tasarlanmış bir form sayfası açılıyor. Bu sayfa, neredeyse hiçbir ek görsel öge barındırmayan hayli sade bir dizayna sahip oluyor.

Saldırganların kimlik bilgilerini ele geçirmek için kurduğu sayfa

Kullanıcı ismini ve şifresini girdikten sonra, bu datalar direkt saldırganların denetimindeki bir sunucuya aktarılıyor.

Kaspersky Anti-Spam Uzmanı Roman Dedenok konuya ait şu değerlendirmelerde bulunuyor:

"Saldırganların, kimlik avı altyapılarının bir modülü olarak yapay zekâ ve kodsuz (no-code) platformları kullanma eğiliminin devam ettiğini görüyoruz. Daha evvel Bubble platformunu kullanan emsal bir yola şahit olmuştuk, artık ise karşımızda bunun bir öbür örneği var. Bu kimlik avı hücumlarında kullanılan irtibat lisanı geçmişte tekraren gördüğümüz klasik bir senaryo olsa da, taarruz tekniğinin kendisi hatalılar için giriş bariyerini değerli ölçüde düşürüyor ve geçersiz kaynakların oluşturulma sürecini hızlandırıyor. Evvelden bu iş için en azından temel seviyede web geliştirme mahareti gerekirken, artık dolandırıcılık emelli e-posta altyapısı dakikalar içinde kurulabiliyor."

Kaspersky, İnançta Kalmak İçin Şunları Öneriyor:

 

Kaynak: (BYZHA) Beyaz Haber Ajansı