İSTANBUL - Kaspersky'nin son araştırmasında, kimlik avı e-postalarını doğrudan ESP'nin kendisi aracılığıyla göndermek üzere SendGrid ESP'nin kimlik bilgilerini toplayan ve böylece saldırı kapsamını geliştiren bir kimlik avı kampanyası keşfedildi.
Şirketten yapılan açıklamaya göre, küçük ve orta ölçekli işletmeleri hedef alan yeni bir kimlik avı kampanyası Kaspersky tarafından ortaya çıkarıldı.
Siber suçlular genellikle şirketlerin müşterilerine ulaşmak için kullandıkları posta listelerini hedef alarak spam, kimlik avı ve diğer karmaşık dolandırıcılıklarına yönelik fırsatlar sunuyor. Toplu e-posta göndermek için meşru araçlara erişim, bu tür saldırıların başarı oranlarını daha da artırıyor.
Saldırganlar giderek artan sıklıkla şirketlerin e-posta hizmet sağlayıcılarındaki (ESP'ler) hesaplarını ele geçirmeye çalışıyor. Kaspersky'nin son araştırmasında, kimlik avı e-postalarını doğrudan ESP'nin kendisi aracılığıyla göndermek üzere SendGrid ESP'nin kimlik bilgilerini toplayan ve böylece saldırı kapsamını geliştiren bir kimlik avı kampanyası keşfedildi.
Saldırganlar, kimlik avı e-postalarını doğrudan ESP üzerinden göndererek alıcıların bilindik kaynaklardan gelen iletişime olan güveninden faydalanarak başarı olasılığını artırıyor.
SendGrid'den geliyor gibi görünen kimlik avı e-postaları, güvenlikle ilgili endişelerini bahane ederek alıcıları hesaplarını korumak için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmeye çağırıyor. Ancak verilen bağlantı kullanıcıları SendGrid giriş sayfasını taklit eden sahte bir web sitesine yönlendiriyor ve burada kimlik bilgileri toplanıyor.
E-posta tabanlı kimlik avı, SendGrid'in sunucularından gönderilen ve SendGrid etki alanına işaret eden geçerli bağlantılara sahip tamamen yasal bir e-posta görüntüsüne sahip. Alıcıyı uyarabilecek tek şey ise göndericinin adresi. Bunun nedeni, ESP'lerin gerçek müşterinin alan adını ve posta kimliğini ortaya koyması. Dolandırıcılığın bir diğer önemli işareti de kimlik avı sitesinin "sendgreds" alan adının ilk bakışta yasal "sendgrid" alan adına çok benzemekle birlikte çok küçük farklar barındırması.
Bu kampanyayı özellikle sinsi yapan özelliği ise oltalama e-postalarının geleneksel güvenlik önlemlerini atlama becerisi. Söz konusu mesajlar meşru bir hizmet aracılığıyla gönderildikleri ve belirgin bir kimlik avı belirtisi içermedikleri için otomatik filtreler tarafından tespit edilemeyebiliyor.
- Güvenilir bir e-posta hizmet sağlayıcısı kullanmak önemli
Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Uzmanı Roman Dedenok, İşletmelerin itibarı ve güvenliği söz konusu olduğunda güvenilir bir e-posta hizmet sağlayıcısı kullanmanın önemli olduğunu belirtti.
Dedenok, bazı dolandırıcıların güvenilir hizmetleri nasıl taklit edeceklerini öğrendiğine dikkati çekerek, "Bu nedenle size gelen e-postaları düzgün bir şekilde kontrol etmek ve daha iyi koruma için güvenilir bir siber güvenlik çözümü kurmak çok önemlidir." ifadelerini kullandı.
Açıklamaya göre, kimlik avcıları çoğu zaman ele geçirilmiş eski hesapları kullanıyor. Çünkü ESP'ler yeni müşterileri sıkı kontrollere tabi tutarken, daha önce bazı toplu e-postalar göndermiş olan eski müşterilerini güvenilir kabul ediyor.
- Saldırılardan korunmanın yolları
Kaspersky uzmanları, verileri kimlik avı saldırılarından ve sızıntılardan korumak için şu önerilerde bulunuyor:
"Personelinize temel siber güvenlik hijyeni eğitimi verin. Kimlik avı e-postası yoluyla bulaşma olasılığını azaltmak için posta sunucularınızda kimlik avı önleme özelliklerine sahip koruma çözümleri kullanın. Kimlik avı e-postası yoluyla bulaşma olasılığını azaltmak için uç noktalarda ve posta sunucularında Kaspersky Endpoint Security for Business gibi kimlik avı önleme özelliklerine sahip bir koruma çözümü kullanın. Microsoft 365 bulut hizmeti kullanıyorsanız onu da korumayı unutmayın. Kaspersky Small Office Security gibi hafif, kolay yönetilebilen ve etkili çözümler kullanın. Kaspersky Endpoint Security Cloud gibi basit yönetime ve kanıtlanmış koruma özelliklerine sahip, küçük ve orta ölçekli işletmelere özel çözümleri tercih edin."