Siber Muhbir

Menlo Security araştırmacısı Ashwin Vamshi, "Saldırganlar, tehdidi oluşturmak için saldırı öğelerini barındırmak için Google ve WhatsApp ve kurbanın bilgilerini toplamak için Amazon'a benzeyen bir Amazon benzeri de dahil olmak üzere, bilgi işlem alanında en iyi bilinen web sitelerinden oluşan bir grup seçti" dedi. "Bu saldırı, Güvenilir Sitelerden Yaşamak (LoTS) tehdidine harika bir örnektir."

Saldırının başlangıç noktası, alıcıları bir Amazon hesap doğrulama bağlantısı gibi görünen bir grafiğe yönlendiren bir kimlik avı e-postasıdır. Bu grafik, kendi adına, tespit edilmekten kaçınmak için bariz bir çaba içinde Google Çizimler'de barındırılıyor.

Meşru hizmetleri kötüye kullanmanın saldırganlar için bariz faydaları vardır, çünkü bunlar yalnızca düşük maliyetli bir çözüm olmakla kalmaz, aynı zamanda daha da önemlisi, güvenlik ürünleri veya güvenlik duvarları tarafından engellenme olasılığı düşük olduğundan, ağlar içinde gizli bir iletişim yolu sunarlar.

Vamshi, "Google Çizimler'i saldırının başlangıcında çekici kılan bir başka şey de, kullanıcıların (bu durumda saldırganın) grafiklerine bağlantılar eklemesine izin vermesidir" dedi. "Bu tür bağlantılar, özellikle Amazon hesaplarına yönelik potansiyel bir tehdit etrafında bir aciliyet duygusu hissederlerse, kullanıcılar tarafından kolayca fark edilmeyebilir."

Doğrulama bağlantısını tıklayan kullanıcılar, URL'nin iki farklı URL kısaltıcı kullanılarak art arda hazırlandığı benzer bir Amazon giriş sayfasına yönlendirilir - WhatsApp ("l.wl[.] co") ve ardından QRCO[.] de -- ek bir gizleme katmanı olarak ve güvenlik URL tarayıcılarını aldatmak için.

Sahte sayfa, kimlik bilgilerini, kişisel bilgileri ve kredi kartı ayrıntılarını toplamak için tasarlanmıştır ve ardından kurbanlar, kimlik avına uğramış orijinal Amazon oturum açma sayfasına yönlendirilir. Ek bir adım olarak, kimlik bilgileri doğrulandıktan sonra web sayfası aynı IP adresinden erişilemez hale getirilir.

Açıklama, araştırmacıların Microsoft 365'in kimlik avı önleme mekanizmalarında, kullanıcıların kimlik avı e-postalarını açma riskini artırmak için kötüye kullanılabilecek bir boşluk tespit etmesiyle geldi.

Yöntem, kullanıcıları bilinmeyen bir adresten e-posta aldıklarında uyaran "İlk İletişim Güvenlik İpucu"nu gizlemek için CSS hilesinin kullanılmasını gerektirir. Sorunu kabul eden Microsoft, henüz bir düzeltme yayınlamadı.

Avusturyalı siber güvenlik ekibi Certitude, "İlk Temas Güvenliği İpucu, bir HTML e-postasının gövdesine eklenir, bu da CSS stil etiketlerinin kullanılmasıyla görüntülenme şeklini değiştirmenin mümkün olduğu anlamına gelir" dedi. "Bunu bir adım daha ileri götürebilir ve Microsoft Outlook'un şifrelenmiş ve / veya imzalı e-postalara eklediği simgeleri taklit edebiliriz."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.