Siber suç forumlarında kullanıma hazır paketler olarak satılan modern kimlik avı kitleri, internet güvenlik çözümlerinin onları bir tehdit olarak işaretlememesini sağlamak için çoklu, gelişmiş algılamadan kaçınma ve trafik filtreleme sistemlerine sahiptir.
Tanınmış markaları taklit eden sahte web siteleri, kurbanları cezbetmek ve ödeme ayrıntılarını veya hesap kimlik bilgilerini çalmak için internette bol miktarda bulunur.
Bu web sitelerinin çoğu, kimlik avı kitleri kullanılarak oluşturuldu marka logolarına sahip, gerçekçi giriş sayfalarıve gelişmiş teklifler söz konusu olduğunda, bir dizi temel öğeden oluşan dinamik web sayfaları.
Tehdit aktörleri, kimlik avı kitlerini şu nedenlerle yaygın olarak kullanır: otomasyon Bir önceki gün tespit edilen ve engellenen sitelerin yerine her gün yüzlerce sahte site kurmaları gerektiği için sunarlar.
Ancak bu, bu kitlerin yazarlarının, daha uzun süre çalışır durumda kalmalarına yardımcı olacak algılama önleme sistemlerini dahil etmek için hiçbir çaba göstermediği anlamına gelmez.
Aksine, kötü niyetli doğalarını karmaşık tehdit dedektörlerinden gizlemeye yardımcı olmak için birden fazla mekanizma kullanıyorlar ve Kaspersky bir rapor yayınladı bugün ana yöntemleri detaylandırıyor.
Kimlik avı kitleri nasıl gizli kalır?
İlk olarak, kimlik avı kitleri, botların, analiz yazılımının ve hedeflenmeyen yerlerden gelen konukların girmesini engelleyen ziyaretçi filtreleme ayarlarını içerir.
Arama motoru tarayıcılarının da siteye erişiminin engellenmesi gerekir, çünkü siteyi arama sonuçlarında çok üst sıralara koymak, maruz kalma riskini artırır ve anında yayından kaldırmaya yol açar.
Ardından, internet güvenlik araçlarından tespit edilmesini engellemeyi amaçlayan şaşırtma seçenekleri var.
- Sezar şifresi – Metindeki her karakteri, içeriğin bir anlam ifade etmemesi için alfabenin aşağısında sabit sayıda konum olan bir karakterle değiştirmek. Sayfa yüklendiğinde kaydırma geri döner ve doğru karakterler görüntülenir.
- Sayfa kaynağı kodlaması – Sezar yönteminden çok daha güçlü olan metin veya sayfanın HTML kodunda AES veya base64 kodlaması. Sayfa yüklendiğinde içeriğin kodu tarayıcıda çözülür.
- Görünmez HTML etiketleri – Sayfa tarayıcıda işlendiğinde görünmeyen ve yalnızca zararlı kısımları gizleyen zararsız “gürültü” görevi gören birçok gereksiz HTML etiketi ekleyin.
- dize dilimleme – Dizeleri yeniden düzenlenebilir karakter gruplarına ayırmak ve bunlara bir kod tablosundaki numaralarına göre atıfta bulunmak. Sayfa yüklendiğinde, dizeler yeniden bir araya getirilerek tamamlanır.
- Rastgele HTML özellikleri – Kimlik avı önleme araçlarını tahminlerini güvenilmez hale getirerek etkin bir şekilde devre dışı bırakmak için çok sayıda rastgele etiket özniteliği değeri eklemek, bu da onları işten çıkarmaya neden olur.
Yukarıdaki hilelerden bazıları, ödenmemiş kopyaları ve çatalları önlemek için kurbanlardan çalınan verileri veya kimlik avı kitinin kodunu gizlemek için de kullanılır.
Değişen bir pazar
Kaspersky, 2021’de en az 1,2 milyon kimlik avı web sitesini destekleyen 469 ayrı kimlik avı kiti tespit ettiğini bildiriyor.
Güvenlik firmasının da altını çizdiği gibi, bot önleme, algılama önleme ve coğrafi engelleme özelliklerini içeren karmaşık kimlik avı kitlerinin sayısı sürekli artıyor.
Bu sitelerin URL’leri e-postalar, anlık mesajlar, forum gönderileri ve hatta YouTube videoları aracılığıyla dağıtılır, bu yüzden dikkatli olun.