Siber güvenlik alanında yapılan son araştırmalar, oturum açma kimlik bilgilerini korumak için şifreleme kullanılsa bile, siber suçluların kullandığı gizli bir yöntemin tehlikelerine dikkat çekiyor.
Cofense’nin ortaya koyduğu yeni veriler, siber suçluların kimlik avı sayfaları oluşturmak için geçici yerel içerik görüntülemek amacıyla tasarlanmış olan blob URI’lerini kötüye kullandığını gösteriyor.
Blob URI’leri, tamamen kullanıcının tarayıcısında oluşturulduğu ve erişildiği için, kimlik avı içeriği herhangi bir açık sunucuda yer almıyor. Bu durum, en gelişmiş uç nokta koruma sistemlerinin bile bu tür içerikleri tespit etmesini oldukça zorlaştırıyor.
GİZLİ TEKNİK NASIL İŞLİYOR
Bu siber saldırı kampanyalarında, kimlik avı işlemi, Güvenli E-posta Ağ Geçitleri (SEG’ler) üzerinden geçebilen bir e-posta ile başlıyor. E-postalar genellikle güvenilir bir sayfaya yönlendiren bağlantılar içeriyor ve çoğunlukla Microsoft’un OneDrive’ı gibi tanınmış etki alanlarında barındırılıyor.
Ancak, ilk sayfa gerçek kimlik avı içeriğini barındırmıyor. Bunun yerine, tehdit aktörü tarafından kontrol edilen ve bir blob URI’sine kodlanmış bir HTML dosyasını yükleyerek aracı bir rol üstleniyor.
Bu süreç sonucunda, kurbanın tarayıcısında Microsoft’un oturum açma portalını taklit eden bir sahte oturum açma sayfası oluşturuluyor.
MAĞDURLAR NASIL ETKİLENİYOR VE KORUNMA YOLLARI NELER
Mağdurlar için bu durum oldukça gizli kalıyor; URL’lerde gariplikler veya dolandırıcılık belirtileri bulunmuyor. Sadece güvenli bir mesajı görüntülemek ya da bir belgeye erişmek için oturum açma isteği geliyor.
Kullanıcı “Oturum aç” seçeneğine tıkladığında, sayfa bir saldırgan tarafından kontrol edilen HTML dosyasına yönlendiriliyor ve bu da sahte oturum açma sayfasını görüntüleyen yerel bir blob URI’si üretiyor.
Blob URI’leri, tamamen tarayıcı belleğinde çalıştıkları için, geleneksel güvenlik araçları bu içerikleri tarayıp engelleyemiyor. Böylece kullanıcının girdiği kimlik bilgileri sessiz bir şekilde uzaktaki bir tehdit aktörünün eline geçiyor.
Ayrıca, yapay zeka tabanlı güvenlik filtreleri de bu saldırıları tespit etmekte zorlanıyor, zira blob URI’leri nadiren kötü niyetli olarak değerlendiriliyor.
