Siber dolandırıcılar, saldırılarında merkezi olmayan dosya sistemini kullanarak ‘Gezegenler arası’ hale geliyor
Kaspersky uzmanları, siber suçluların e-posta kimlik avı saldırılarında Gezegenler Arası Dosya Sistemini (IPFS) nasıl kullandıklarını keşfetti. Dolandırıcılar, 2022’nin sonlarından bu yana, dünyanın dört bir yanındaki şirketleri hedeflemek için Web 3.0’ın en ileri teknolojilerinden biri olarak kabul edilen güvenli, merkezi olmayan ve güvenilir dosya dağıtım yöntemini kullanıyor. Kaspersky tarafından hazırlanan yeni bir raporda araştırmacılar, saldırganların web barındırma maliyetlerini azaltmak için kimlik avı HTML dosyalarını IPFS’ye nasıl yerleştirdiklerini ortaya çıkardı. Şubat 2023’te, şu anda toplu ve spekülatif kimlik avı kampanyaları için kullanılan bu yeni tekniği içeren yaklaşık 400.000 kimlik avı e-postası tespit etti.
IPFS, dünyanın her yerindeki kullanıcıların belge alışverişinde bulunmasına izin veren dağıtılmış bir belge sistemine verilen addır. Merkezi belge sistemlerinden farklı olarak IPFS, belge yolları yerine benzersiz içerik tanımlayıcılarına (CID) dayalı adresleme kullanır. Bu teknikte, belgenin kendisi, onu IPFS’ye “yükleyen” kullanıcının bilgisayarında bulunur ve doğrudan o bilgisayardan indirilir. Normalde, bir belgeyi IPFS’ye yüklemek veya indirmek için özel yazılım (IPFS istemcisi) kullanmak gerekir. Ancak özel ağ geçitleri sayesinde kullanıcılar herhangi bir yazılım yüklemeden IPFS’de yer alan dosyaları özgürce görüntüleyebilirler.
2022’de dolandırıcılar, e-posta kimlik avı saldırıları için IPFS’yi aktif olarak kullanmaya başladı. Bu teknikte phishing formu içeren HTML dökümanları IPFS içerisine yerleştirilmekte ve proxy olarak ağ geçitleri kullanılmaktadır. Bu şekilde kurbanlar, cihazlarında bir IPFS istemcisi çalıştırsalar da çalıştırmasalar da belgeyi açabilir. Dolandırıcılar, kurbanlara gönderilen kimlik avı mesajlarına ağ geçidi aracılığıyla belge erişim kişilerini de dahil eder.
Saldırılara karşı bu merkezi olmayan, dağıtılmış belge sistemini kullanmak, saldırganların bir kimlik avı sayfası barındırma konusunda tasarruf etmelerini sağlar. Ayrıca üçüncü kişiler tarafından yüklenen belgelerin IPFS’den silinmesi mümkün değildir. Birisi bir belgenin sistemden tamamen kaybolmasını istiyorsa, belgenin sahibi onu bilgisayarından silmeye teşvik etmelidir. Ancak konu siber suçlular olduğunda bu prosedür pek gerçekçi değil.
Alternatif olarak, IPFS ağ geçidi sağlayıcıları, kişileri geçersiz belgelere sistematik olarak silerek IPFS kimlik avı ile başa çıkmaya çalışır.
Ancak, ağ geçidi düzeyinde kişileri tespit etme ve silme işlemi her zaman bir kimlik avı web sitesini, bulut formunu veya belgeyi engellemek kadar hızlı değildir. IPFS belgelerinin URL adresleri ilk olarak Ekim 2022’de ortaya çıktı. Şimdilik bu kampanya devam ediyor ve adresler Kaspersky tarafından engelleniyor.
IPFS ilişkilendirmeleri içeren kimlik avı mesajları da orijinal olmaktan uzaktır. Hepsi, kurbanın hesap oturum açma bilgilerini ve parolasını ele geçirmeyi amaçlayan tipik kimlik avı mesajları içerir. Bu teknikte farklı olan tek şey, HTML sayfası bağlantılarının gittiği yerdir.
URL parametresi, alıcının e-posta adresini içerir. Değiştirildiğinde, kimlik avı formunun üst kısmındaki kurumsal logo ve giriş alanına girilen e-posta adresi de değişir. Bu durumda farklı kullanıcıları hedefleyen çeşitli oltalama kampanyalarında, hatta bazen onlarca kampanyada tek bir ilişki kullanılabilir.
Kaspersky, bazı durumlarda 2022’nin sonlarında günde 15.000’e ulaşan IPFS kimlik avı bildirim trafiğini gözlemledi. Bu yıldan itibaren IPFS kimlik avı saldırıları artmaya başladı ve Ocak ve Şubat aylarında günde 24.000’den fazla mesaja ulaştı.
Kasım 2022 – Şubat 2023 arasında IPFS kimlik avı saldırılarının sayısındaki değişiklik.
Şubat, IPFS kimlik avı etkinliği açısından en yoğun ay oldu. Araştırmacılar yalnızca bu ay yaklaşık 400.000 mesaj gözlemledi. Bu, Kasım ve Aralık 2022’ye kıyasla 100.000’lik bir artışa karşılık geliyor.
Kaspersky Güvenlik Uzmanı Roman Dedenokkonuyla ilgili şunları söylüyor: Saldırganlar kar elde etmek için en son teknolojileri kullandılar ve kullanmaya devam edecekler. Son zamanlarda, hem büyük hem de amaçlı IPFS kimlik avı saldırılarının sayısında bir artış görüyoruz. Dağıtılmış belge sistemi, dolandırıcıların alan adından tasarruf etmelerini sağlar. Üstelik bu teknikle bir belgeyi tamamen silmek çok kolay. Ancak, IPFS ağ geçidi düzeyinde dolandırıcılıkla başa çıkmak için bazı girişimler var. İyi haber şu ki, anti-spam analizleri, IPFS’deki kimlik avı belgeleriyle ilgili kişileri, tıpkı diğer kimlik avı kişileri gibi algılayabilir ve engelleyebilir. Bunu tespit etmek için bir dizi buluşsal yöntem kullanıyoruz.”
IPFS kimlik avı saldırıları hakkında daha fazla bilgi için bkz. Güvenli Liste.
Kaspersky, kendinizi ve şirketinizi spam e-posta kampanyalarından korumak için aşağıdakileri önerir:
- Personelinize temel siber güvenlik hijyen eğitimi verin. Kimlik avı e-postalarını nasıl tespit edeceklerini bildiklerinden emin olmak için simüle kimlik avı saldırıları gerçekleştirin
- Kimlik avı e-postası yoluyla bulaşma olasılığını azaltmak için uç noktalarda ve posta sunucularında Kaspersky Endpoint Security for Business gibi kimlik avına karşı koruma özelliklerine sahip bir savunma çözümü kullanın.
- Bir Microsoft 365 bulut hizmeti kullanıyorsanız onu da savunmayı unutmayın. Kaspersky Security for Microsoft Office 365, güvenli iş iletişimi için spam ve kimlik avı önlemenin yanı sıra SharePoint, Teams ve OneDrive uygulamaları için savunmaya sahiptir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
