Slovakya'daki İnternet kullanıcılarını hedef alan kötü amaçlı bir kampanya, kimlik avı operatörlerinin güvenlik kontrollerinden kaçmak için sıklıkla meşru hizmetlerden ve markalardan nasıl yararlandıklarını bir kez daha hatırlatıyor.
Bu örnekte tehdit aktörleri, kullanıcıları kredi kartı bilgilerini toplamak amacıyla bir kimlik avı sayfasına yönlendirmek için Akıllı Bağlantılar adı verilen bir LinkedIn Premium özelliğinden yararlanıyor. Bağlantı, Slovakya Posta Servisi'nden geldiği iddia edilen bir e-postaya yerleştirilmiştir ve meşru bir LinkedIn URL'sidir, dolayısıyla güvenli e-posta ağ geçitlerinin (SEG'ler) ve diğer filtrelerin onu engellemesi genellikle olası değildir.
Bolster ürün pazarlama direktörü Monnia Deng, "Cofense'in tespit ettiği durumda, saldırganlar güvenli e-posta ağ geçitlerini aşmak için LinkedIn gibi güvenilir bir alan adı kullandı" diyor. "LinkedIn'den gelen bu meşru bağlantı daha sonra kullanıcıyı bir kimlik avı sitesine yönlendirdi ve burada sahte bir SMS metin mesajı kimlik doğrulaması eklemek gibi, sitenin meşru görünmesini sağlamak için büyük çaba harcadılar."
E-posta ayrıca alıcıdan, görünüşe göre kendilerine gönderilmeyi bekleyen bir paket için inanılmaz derecede küçük bir miktar para ödemesini istiyor. Bağlantıya tıklamaları için kandırılan kullanıcılar, posta hizmetinin çevrimiçi ödemeleri toplamak için kullandığı gibi görünecek şekilde tasarlanmış bir sayfaya ulaşır. Ancak kullanıcılar, yalnızca sözde paket gönderimi için ödeme yapmak yerine, ödeme kartı ayrıntılarının tamamını kimlik avı operatörlerine de vermek zorunda kalıyor.
İlk Tine Smart Links Özelliği Kötüye Kullanılmadı
Bu kampanya, tehdit aktörlerinin LinkedIn'in Akıllı Bağlantılar özelliğini (veya bazılarının adlandırdığı şekliyle Slinks'i) bir kimlik avı operasyonunda kötüye kullandığı ilk sefer değil. Ancak Cofense kıdemli istihbarat analisti Brad Haas, bunun, üzerinde oynanmış LinkedIn Slink'leri içeren e-postaların kullanıcıların gelen kutularına düştüğü nadir örneklerden biri olduğunu söylüyor. Kimlik avına karşı koruma hizmetleri satıcısı: şu anda takip ediyorum Slovakya'da devam eden kampanya ve bu hafta şu ana kadarki tehdit analizine ilişkin bir rapor yayınladı.
LinkedIn'in Akıllı Bağlantılar Premium hizmetine abone olan kullanıcıların, başkalarını gönderenin görmesini istediği içeriğe yönlendirmesine olanak tanıyan bir pazarlama özelliğidir. Bu özellik, kullanıcıların tek bir LinkedIn URL'si kullanarak kullanıcıları belgeler, Excel dosyaları, PDF'ler, resimler ve web sayfaları gibi birden fazla pazarlama malzemesine yönlendirmesine olanak tanır. Alıcılar, tıklandığında onları arkasındaki içeriğe yönlendiren bir LinkedIn bağlantısı alıyor. LinkedIn Slinks, kullanıcıların içeriği kimlerin görüntüleyebileceği, içerikle nasıl etkileşime girebileceği ve diğer ayrıntılar hakkında nispeten ayrıntılı bilgi almasına olanak tanır.
Ayrıca saldırganlara, kullanıcıları kötü amaçlı sitelere yönlendirmek için kullanışlı ve oldukça güvenilir bir yol sağlar.
Haas, "Akıllı Bağlantılar oluşturmak nispeten kolaydır" diyor. "Girişin önündeki en büyük engel, Premium LinkedIn hesabı gerektirmesidir" diye belirtiyor. Bir tehdit aktörünün hizmeti satın alması veya meşru bir kullanıcının hesabına erişim sağlaması gerekir. Ancak bunun yanı sıra, tehdit aktörlerinin bu bağlantıları kullanarak kullanıcıları kötü amaçlı sitelere göndermesinin nispeten kolay olduğunu söylüyor. "Diğer kimlik avı tehdidi aktörlerinin LinkedIn Akıllı Bağlantıları kötüye kullandığını gördük, ancak bugün itibarıyla gelen kutularına ulaştığını görmek nadir görülen bir durum."
Meşru Hizmetlerden Yararlanmak
Saldırganların kötü amaçlı içerik barındırmak veya kullanıcıları bu içeriğe yönlendirmek için LinkedIn, Google Cloud, AWS ve diğer birçok meşru hizmet olarak yazılım ve bulut tekliflerini giderek daha fazla kullanması, kimlik avının birincil başlangıç yöntemlerinden biri olarak kalmasının bir nedenidir. vektörlere erişim.
Daha geçen hafta, Uber bir deneyim yaşadı yıkıcı ihlal Bir saldırganın, bir çalışanın kimlik bilgilerini sosyal mühendislikle düzenleyip bunları şirketin VPN'sine erişmek için kullanmasının ardından dahili sistemlerini çökertti. Bu örnekte, Uber'in tanımladığı saldırgan Lapsus$ tehdit grubuna ait - Şirketin BT departmanından geliyormuş gibi davranarak kullanıcıyı çok faktörlü kimlik doğrulama (MFA) isteğini kabul etmesi için kandırdı.
Saldırganların, sahte kimlik avı web siteleri için sosyal medya platformlarını proxy olarak kullanması anlamlıdır. Deng, kimlik avı kampanyalarının yalnızca daha yaratıcı değil aynı zamanda kod yazamayan kişiler için de daha erişilebilir olacak şekilde önemli ölçüde gelişmesinin de rahatsız edici olduğunu ekliyor.
SlashNext CEO'su Patrick Harr, "Kimlik avı, bağlantı gönderebileceğiniz veya alabileceğiniz her yerde gerçekleşir" diye ekliyor. Bilgisayar korsanları, kurumsal e-posta gibi en korunan kanallardan kaçınan teknikleri akıllıca kullanıyor. Bunun yerine, sosyal medya uygulamalarını ve kişisel e-postaları kuruluşa arka kapı olarak kullanmayı tercih ediyorlar. Harr, "Kimlik avı dolandırıcılıkları kuruluşlar için ciddi bir sorun olmaya devam ediyor ve SMS'e, işbirliği araçlarına ve sosyal medyaya yöneliyorlar" diyor. Kısa mesajla ilgili risklerin daha büyük bir sorun haline gelmesi nedeniyle SlashNext'in SMS ve mesajlaşma koruması taleplerinde bir artış gördüğünü belirtiyor.
