Tehdit aktörleri, oturum açma kimlik bilgilerini çalan kötü niyetli kimlik avı web siteleri oluşturmak için web sitesi oluşturucular ve kişisel marka oluşturma alanları gibi meşru hizmet olarak yazılım (SaaS) platformlarını giderek daha fazla kötüye kullanıyor.
tarafından yeni bir rapora göre Palo Alto Networks Birimi 42araştırmacılar bu kötüye kullanımda keskin bir artış gördüler ve firma tarafından toplanan veriler Haziran 2021’den Haziran 2022’ye kadar %1,100’lük büyük bir artış gösterdi.
Kimlik avı için SaaS kullanmanın avantajları arasında e-posta güvenlik sistemlerinden gelen uyarılardan kaçınmak, yüksek kullanılabilirliğin keyfini çıkarmak ve meşru görünen web siteleri oluşturmak için nasıl kod yazılacağını öğrenme ihtiyacını ortadan kaldırmak yer alır.
Ayrıca, SaaS platformları yeni siteler oluşturma sürecini basitleştirip kolaylaştırdığından, kimlik avı aktörleri kolayca farklı temalara geçebilir, operasyonlarını büyütebilir veya çeşitlendirebilir ve raporlara ve yayından kaldırmalara hızla yanıt verebilir.
Kimlik avı için kötüye kullanılan hizmetler
Unit 42, kötüye kullanılan platformları altı kategoriye ayırdı: dosya paylaşımı ve barındırma siteleri, form ve anket oluşturucular, web sitesi oluşturucular, not alma ve belge yazma platformları ve kişisel portföy alanları.
Palo Alto Networks filtreleme sistemleri, tüm kategorilerde kötüye kullanımda bir büyüme kaydetti, ancak en önemlileri web sitesi oluşturucular, işbirliği platformları ve form oluşturuculardı.
Ayrıca istatistikler, esas olarak form oluşturucuların kötüye kullanımındaki ani artışa bağlı olarak Ekim 2021’de kayda değer bir artışa işaret ediyor.
2021 yılında Kiren phishing için “typeform.com” un yaygın kötüye kullanımı hakkında rapor, daha eski bir rapor Trend Mikro “123formbuilder.com”, “formtools.com” ve “smartsurvey.co.uk” den bahsederken, kahve “Canva.com”un kötüye kullanıldığını vurguladı.
Aynı zamanda, raporun adını vermediği bir kişisel markalaşma sitesinin kötüye kullanılmasıyla artan başka bir artış tespit edildi.
Hizmetler nasıl kullanılır?
Unit 42 raporu, birçok durumda, kimlik avı aktörlerinin kimlik bilgilerini çalma sayfalarını doğrudan kötüye kullanılan hizmetlerde barındırdıklarını ve bu nedenle, sayfaya yönlendiren bir URL içeren hedeflere bir e-posta gönderdiklerini açıklıyor.
Ancak diğer durumlarda, kötüye kullanılan hizmetlerde barındırılan açılış sayfaları, kimlik bilgisi çalma formlarının kendisini içermez. Bunun yerine, kurbanı başka bir siteye bir yönlendirme adımı daha attırırlar.
Kimlik avı sitesi, yayından kaldırma isteklerine yanıt vermeyen kurşun geçirmez bir hizmet sağlayıcıda barındırılabilir, bu nedenle kimlik avı aktörleri, dönüşüm oranını feda ederken kampanya çalışma süresini artırmak için bu uygulamayı takip eder.
Kimlik avı sayfası iyi korunmamış olsa bile, onu bir katmanın daha arkasına gizlemek, yayından kaldırma durumunda her şeyi yeniden ayarlamak için gereken emeği azaltır.
Raporda, “Son kimlik bilgilerini çalma sayfasının kaldırılması durumunda, saldırgan bağlantıyı değiştirebilir ve orijinal kampanyanın etkinliğini koruyarak yeni bir kimlik bilgisi çalma sayfasına yönlendirebilir” diyor.
Yakın zamanda gitmeyecek
Bu hizmetlere karşı agresif e-posta filtreleri uygulamak bir seçenek olmadığı için meşru SaaS platformlarının kötüye kullanımını durdurmak çok zor olacaktır.
Onları kimlik avı kampanyaları için bu kadar uygun kılan ve geçen yıldan bu yana kötüye kullanımındaki artışın bu kadar şaşırtıcı olmasının nedeni tam olarak budur.
Cesur iddialarda bulunan veya sizden acil işlem yapılmasını isteyen bir mesaj gelen kutunuza düşerse, gömülü bağlantılara veya düğmelere tıklamaktan kaçının, bunun yerine sahte olma olasılığı bulunan platformun resmi sitesini bulmak için bir arama motoru kullanın.
Hesap kimlik bilgilerinizi girmeniz istendiğinde, form kutularına yazmaya başlamadan önce yasal web sitesi URL’sinde olduğunuzdan emin olun.