Yeni bir kimlik avı kampanyası, Cloudflare Pages ve Zendesk'i kötüye kullanarak müşteri destek kanallarını hedef alıyor ve iyi güvenlikli platformların bile manipüle edilebileceğini gösteriyor.
EclecticIQ Siber Tehdit İstihbaratı Analisti Arda Büyükkaya, tehdit aktörlerinin 600'den fazla *.sayfa kaydettiği konusunda uyardı[.]dev alan adları, popüler markalar için meşru müşteri destek portallarını taklit etmek amacıyla yazım hatası kullanıyor.
Typosquatting, saldırganların, kullanıcıları doğru siteyi ziyaret ettiklerini düşünmeleri için kandırmak amacıyla, meşru kurumsal Web adreslerinde küçük yazım hataları veya değişiklikler içeren alan adlarını kasıtlı olarak kaydettiği bir tekniktir. Örneğin, zendeskcupport.pages gibi bir alan adı[.]dev, Zendesk'in resmi destek portalını taklit etmek için kullanılabilir ve kullanıcıların ince yazım hatalarını gözden kaçırmalarına güvenir.
Kimlik avı sayfaları “büyük ihtimalle yapay zeka tarafından oluşturulmuş ve kurbanlara sorular soran bir insan operatörün görev yaptığı yerleşik bir canlı sohbet arayüzü içeriyor” [their] Büyükkaya, X (eski adıyla Twitter) hesabındaki paylaşımında, “Teknik yardım sağlama bahanesiyle telefon numarası ve e-posta adresi” açıklamasını yaptı.
“Saldırgan daha sonra kurbanlara, cihaza tam uzaktan erişim sağlayacak meşru bir uzaktan izleme aracı (Kurtarma) kurmaları talimatını verir.”
Amaç, hassas bilgileri çalmak ve mali kazanç elde etmek için hesapları ele geçirmek gibi görünüyor.
Büyükkaya, güvenlik açığını gidermek için Cloudflare'i etiketledi.
Dünya çapında milyarlarca müşteri etkileşimini yöneten Zendesk, altyapısını korumak için uzun süredir Cloudflare ile ortaklık yapıyor.
Cloudflare, AWS ve Google Cloud sunucularını etkileyen küresel HTTP/2 Hızlı Sıfırlama sıfır gün güvenlik açığı da dahil olmak üzere geçmişte Zendesk'in büyük ölçekli güvenlik olaylarını ele almasına yardımcı oldu. Bu olay sırasında Cloudflare'in saniyede 201 milyondan fazla kötü amaçlı isteği engellediği ve Zendesk hizmetlerinin etkilenmediği bildirildi.
Ancak mevcut kimlik avı kampanyası başka bir zorluğun altını çiziyor. Cloudflare altyapıyı korusa ve otomatik tehditleri filtrelese de saldırganların insanların güvenini kötüye kullanan ikna edici sahte alanlar oluşturmasını engelleyemez.
Kimlik avında insan unsuru
Saldırganlar müşteri deneyiminin insani tarafına odaklanır. Kimlik avı saldırıları, insan psikolojisinden yararlanarak ve kullanıcıları güven, aşinalık ve aciliyet duygusuyla manipüle ederek bağlantılara tıklama, oturum açma kimlik bilgilerini girme veya yazılım yükleme konusunda kandırarak başarılı olur. Avustralya Sinyaller Müdürlüğü istihbarat teşkilatı şunu belirtiyor:
“Kötü niyetli aktörler genellikle iletişimlerinin meşru ve güvenilir görünmesini sağlamak için büyük çaba harcıyor, bu da hedeflenen personelin talimatlarını takip etme olasılığını artırıyor.”
Yapay zeka tarafından oluşturulan içerik, insan tarafından çalıştırılan sohbetle birleştiğinde, bu kimlik avı girişimlerinin tespit edilmesi daha zor ve daha etkili hale geliyor.
Bu istismar, Zendesk'in SaaS altyapısında tespit edilen ilk zayıflık değil. Ocak ayında CloudSek, kimlik avı ve “domuz katliamı” kampanyalarının, meşru markaları taklit ederek kullanıcıları kandırmak için şirketin alt alan adlarına yönelik ücretsiz deneme teklifini giderek daha fazla kullandığını keşfetti.
CloudSek, birkaç müşterisini, meşru görünmek için marka adlarıyla ilgili anahtar kelimeler ve bir dizi sayı kombinasyonunu kullanan şüpheli alt alan adları konusunda uyardı.
Fortra'nın bir raporuna göre Cloudflare'in Pages.dev veworker.dev platformlarını hedef alan kimlik avı saldırıları da arttı.
Cloudflare, hem geliştiricilerin hem de saldırganların ilgisini çeken hızlı, güvenilir, küresel olarak dağıtılmış bir altyapı sağlar. Pages.dev web uygulamalarını barındırırken,worker.dev kodun Cloudflare'in CDN'sinin ucunda çalıştırılmasına izin verir.
Her iki platform da Cloudflare'in güvenilir itibarından, otomatik SSL/TLS şifrelemesinden ve ücretsiz, kullanımı kolay barındırmadan faydalanarak kimlik avı sitelerinin yasal ve profesyonel görünmesini sağlar. Saldırganlar ayrıca güvenilirliğin görünümünü daha da artırmak için özel alan adlarını, URL maskelemeyi ve insan doğrulama sayfalarını kullanabilir, bu da kullanıcıların sahtekarlık faaliyetlerini tespit etmesini zorlaştırır.
Fortra, kötüye kullanımdaki artışın Cloudflare teknolojisindeki bir kusur değil, siber suçluların yaratıcılığını yansıttığını vurguladı.
Platformlar iyi savunulduğunda bile kimlik avı kampanyaları, müşteri güveni oluşturmayı amaçlayan kanalları kötüye kullanabilir.
Riskleri önlemek için kullanıcılara URL'leri dikkatlice doğrulamaları, çok faktörlü kimlik doğrulamayı etkinleştirmeleri ve şüpheli etkinlikleri Cloudflare'e bildirmeleri önerilir. Pages of Workers'ı kullanan geliştiriciler olağandışı etkinlikleri izlemeli ve HTTPS bağlantılarının zorunlu kılınmasını sağlamalıdır.
Bu, sürekli kullanıcı eğitiminin önemini vurgulamaktadır. Çalışanlar ve müşteriler uyarı işaretlerini tanımalı ve hassas bilgilere yönelik taleplerin ele alınmasına ilişkin güvenli uygulamaları anlamalıdır.
Bir yanıt yazın