Kaspersky uzmanları, HTML belgeleriyle birlikte gerçekleştirilen kimlik avı e-postası tehditlerinin arttığı konusunda kullanıcıları uyarıyor. Ocak-Nisan 2022 ortasında Kaspersky araştırmacıları, HTML ekleri içeren yaklaşık 2 milyon kimlik avı e-postasını engelledi. Kimlik avı bildirilerinde HTML evraklarını kullanmak, dolandırıcılar tarafından başvurulan en yeni ve tanınan numaralardan biri. Ekseriyetle bu tıp ilişkiler, istenmeyen posta tedbire motorları yahut virüsten muhafaza yazılımları tarafından kolaylıkla algılanıyor. Lakin HTML eklerinin kullanılması siber suçluları tespit edilmekten kurtarıyor.
Pek çok kullanıcı, kimlik avı e-postalarındaki evrakların inançsız olabileceğinin farkında bile değil. Bu nedenle siber hatalılar tarafından kullanılan tehlikeli HTML eklerini düşünmeden açıyorlar. Üstelik dolandırıcılar bir şirketin resmi web sitesindeki sayfayla tıpkı görünecek halde HTML eklerini biçimlendirebiliyor. Böylelikle resmi web sitesinin kullanıcılarını maksat alıyorlar ve bunu kurbanlarını kandırmak için yem olarak kullanıyorlar.
Siber hatalılar tarafından kullanılan iki ana HTML eki tipi bulunuyor: Kimlik avı ilişkisi içeren HTML evrakları yahut makûs maksatlı sayfalar. Birinci durumda saldırganlar, bir bankanın büyük bir para transferi teşebbüsüyle ilgili bildirimi üzere kıymetli bilgilere sahip olduğu süsü vererek kullanıcıya içinde metin olan bir HTML belgesi gönderiyor. Kullanıcıdan süreci durdurmak için bankanın sitesine giden bir ilişkiye tıklaması isteniyor, bu da kullanıcıyı bir kimlik avı sayfasına yönlendiriyor. Hatta birtakım durumlarda kurbanın temasa tıklaması bile gerekmiyor. Kullanıcı HTML ekini açmaya çalıştığında otomatik olarak makus gayeli bir siteye yönlendiriliyor. Bu sayfada mağdurlardan işle ilgili evrakları gözden geçirmesi, banka hesaplarını korumak ve hatta devletten ödeme almak için bir bilgi giriş formu doldurması isteniyor. Akabinde kurban, ferdî bilgilerinin ve banka bilgilerinin çalındığını öğreniyor.
İkinci çeşit HTML eki, kapsamlı kimlik avı sayfalarıdır. Bu belgelerde bilgi toplamak için kullanılan kimlik avı formu ve komut evrakı ekte yer aldığından, siber hatalıların barındırma fiyatlarından tasarruf etmesine ve web sitelerini kullanmaktan kaçınmasına imkan tanıyor. Kimlik avı olarak kullanılan HTML evrakı, amaçlanan amaca ulaşmak ve kurbanın inancını kazanmak için kullanılan akın vektörüne bağlı olarak kişiselleştirilebiliyor. Örneğin dolandırıcı şirketin çalışanlarına dair bir mukaveleyi doğrulamak istiyormuş üzere görünen, lakin aslında makûs hedefli bir HTML evrakı olan bir kimlik avı e-postası dağıtabiliyor. Bu tıp ekler şirketin tüm görsel özelliklerine sahip oluyor: Logo, tarz ve hatta gönderen yöneticinin ismine kadar. Evrak içerisinde mağdurun evraka erişebilmesi için kurumsal hesabın kullanıcı ismini ve şifresini girmesi isteniyor. Bu datalar daha sonra direkt şirketin kurumsal ağına girmek için bu bilgileri kullanacak olan siber hatalıların eline geçiyor.
Güvenlik tahlilleri berbat gayeli komut belgeleri yahut düz metin olarak gönderilen kimlik avı kontakları içeren HTML eklerini engelleyebiliyor. Bu nedenle siber hatalılar engellenmemek için farklı taktikler kullanıyor. Örneğin dolandırıcılar ekseriyetle kimlik avı temasını yahut HTML belgesinin tamamını karışık yahut işe yaramaz kodlarla bozuyor. Bu değersiz ve tutarsız metinler kullanıcının ekranında görünmese de istenmeyen posta tedbire motorlarının e-postayı algılamasını ve münasebetiyle e-postayı engellemesini zorlaştırıyor.
Kaspersky Güvenlik Araştırmacısı Roman Dedenok şunları söylüyor: “Siber hatalılar, kurbanları kullanıcı isimlerini ve şifrelerini girmeleri için kandırmak ismine akla yatkın gizlenmiş oturum açma kimlik bilgisi iletileri kullanıyor. Her yıl milyonlarca kimlik avı sayfasını engelliyoruz ve bu sayının daha da artmasını bekliyoruz. Bu da kullanıcıların tetikte kalması ve bu usul e-postaların getirebileceği tehlikelerin farkında olması gerektiği manasına geliyor. Siber hatalılar, acemi dolandırıcıların bile hazır şablonları kullanarak binlerce kimlik avı sayfası oluşturabileceği ve akabinde çok sayıda kullanıcıyı hedefleyebileceği karmaşık ve gelişmiş altyapılar oluşturdu. Artık amatörlerin bile kendi kimlik avı sayfasını oluşturabildiği bir ortamda, e-posta yahut iletileşme yazılımlarından gelen rastgele bir ilişkiyi açarken bilhassa dikkatli olmalısınız.”
Kimlik avı HTML ekleri hakkındaki raporun tamamı Securelist’te bulunabilir.
Kimlik avı hücumlarından korunmak için Kaspersky şunları öneriyor:
- Tıklamadan evvel her temas denetim edilmelidir. URL’ye ön izleme yapmak, yazım yanlışlarına yahut başka düzensizliklere dikkat etmek için fareyle site adresinin üzerine gelinebilir.
- Sırf inançlı bir ilişki üzerinden kullanıcı ismi ve parola girilmelidir. Site URL’sinden evvel, siteyle kontağın inançlı olduğunu gösteren HTTPS ön eki aranmalıdır.
- İleti yahut e-posta en uygun arkadaşlardan gelmiş üzere görünse bile, onların hesaplarının da ele geçirilmiş olabileceği unutulmamalıdır. Her durumda dikkatli olunmalı ve dostça bir kaynaktan geliyor üzere görünse dahi tüm kontaklar ve ekler dikkatle incelenmelidir.
- Bankalar, vergi daireleri, çevrimiçi mağazalar, seyahat acenteleri, havayolları vb. üzere resmi kuruluşlardan geliyormuş üzere görünen bildirilere bilhassa dikkat edilmelidir. Ofisten gelen dahili iletilere bile önlemli yaklaşılmalı. Hatalıların legal görünen düzmece bir e-posta üretmesi güç değildir.
- Çevrimiçi oyun arkadaşlarından yahut öbür çevrimiçi arkadaşlardan gönderilen beklenmedik evrakları açmaktan kaçınılmalıdır. Tıpkı resmi görünümlü e-posta ekleri üzere, fidye yazılımı ve casus yazılım içerebilirler.
- Çalışana temel siber güvenlik hijyeni eğitimi verilmelidir. Kimlik avı e-postalarını gerçek olanlardan nasıl ayırt edeceklerini bildiklerinden emin olmak için bir kimlik avı hücum simülasyonu gerçekleştirilebilir.
- Kimlik avı e-postaları yoluyla bulaşma mümkünlüğünü azaltmak için, Kaspersky Endpoint Security for Business üzere kimlik avına karşı muhafaza özelliklerine sahip, uç nokta ve posta sunucusu muhafaza tahlili kullanılmalıdır.
- Microsoft 365 bulut hizmeti kullanılıyorsa, Kaspersky Security for Microsoft Office 365 ile korunmalıdır. Bu tahlil, özel bir istenmeyen posta tedbire ve kimlik avı tedbire fonksiyonunun yanı sıra iş irtibatlarını inançta tutmak için SharePoint, Teams ve OneDrive uygulamalarına yönelik müdafaaya sahiptir.
Kaynak: (BHA) – Beyaz Haber Ajansı
