Bir tarayıcı güvenlik şirketinin raporuna göre, kimlik avı yapan aktörlerin tarayıcılara yönelik saldırıları 2023’ün ikinci yarısında hızla arttı ve yılın ilk altı ayında %198 arttı.

Dahası, Menlo Security’nin raporuna göre kimlik avcıları, saldırılarında kuruluşları siber saldırılardan korumak için tasarlanan güvenlik kontrollerine karşı son derece etkili olduğu kanıtlanan yanıltıcı taktikleri giderek daha fazla kullanıyor .

400 milyar web oturumu da dahil olmak üzere Menlo Güvenlik Bulutu’ndaki tehdit verilerine ve tarayıcı telemetrisine dayanan raporda, “kaçınma” olarak sınıflandırılan saldırıların bu dönemde %206 arttığı ve şu anda tüm tarayıcı tabanlı kimlik avı saldırılarının %30’unu oluşturduğu açıklandı. Aralık 2022 – Aralık 2023.

Menlo Siber Güvenlik Stratejisi Kıdemli Müdürü Neko Papez, “Kimlik avı saldırıları, gizleme, kimliğe bürünme, gizleme ve dinamik kod oluşturma yöntemlerinin kullanılmasıyla daha karmaşık hale geliyor” dedi.

TechNewsWorld’e “Kaçınma teknikleri, imza tabanlı veya klasik özellik çıkarma tekniklerine dayanan geleneksel kimlik avı tespit araçlarının kaçamak sayfaları tespit etmesini zorlaştırıyor” dedi.

Papez, geleneksel kimlik avının genellikle korku gibi insani bir duyguyu kullanan basit bir istek veya bildirim mesajı kullandığını ve genellikle toplu kimlik avı kampanyalarında kullanılacağını açıkladı.

“Kaçışlı kimlik avı saldırıları, bilgisayar korsanlarının geleneksel güvenlik kontrollerinden kaçmayı amaçlayan bir dizi teknik kullandığı ve kullanıcı sistemlerine veya kurumsal ağlara erişim kazanma olasılığını artırmak için tarayıcının güvenlik açıklarından yararlandığı daha hedefe yönelik bir yaklaşımla kullanılıyor” dedi.

Basit ve Etkili Saldırı
Roseville, Kaliforniya’da bir uygulama güvenliği şirketi olan Apona Security’nin ürün başkanı Roger Neal , tarayıcı tabanlı kimlik avı saldırılarının ve kötü niyetli aktörlerin sahte veya yazım hatası içeren paket adlarını kaydettiği bağımlılık yazım hatasının yanı sıra yükselişte olduğunu kabul etti. yazılım geliştirmede kullanılan meşru paketlere benzer.

TechNewsWorld’e şunları söyledi: “Bu tür saldırılar daha yaygın hale geliyor çünkü yürütülmesi eski bir bileşeni veya enjeksiyon noktasını bulmaktan daha kolay.” “Saldırganların sadece tuzağı kurması ve kullanıcının hata yapmasını beklemesi gerekiyor.”

“Tarayıcılar kimlik avı saldırıları için cazip çünkü bu saldırılar basit ve etkili” diye ekledi. “Kullanıcılar genellikle bir giriş ekranı gördüklerinde iki kere düşünmüyorlar çünkü bu, web’de gezinirken sıklıkla karşılaşılan bir durum. Bu tür bir saldırının minimum eforla yüksek başarı oranına sahip olması, kötü niyetli aktörler tarafından tercih edilmesini sağlıyor.”

Menlo’nun raporuna göre, çoğu siber saldırı, kimlik bilgilerini çalmak, kurumsal uygulamalara erişim sağlamak ve hesabı ele geçirmeye zorlamak için bir tür kimlik avı tuzağıyla başlıyor.

Kimlik avı en yaygın ilk saldırı vektörüdür çünkü işe yarıyor ve küresel veri ihlallerinin %16’sı kimlik avından başlıyor. Ancak kaçamak kimlik avı tekniklerinin daha yüksek bir büyüme oranına sahip olduğunu, çünkü bu yöntemlerin daha iyi çalıştığını ve geleneksel güvenlik araçlarını atlattığını da ekledi.

Etkisiz Güvenlik Kontrolleri
Neal, “Güvenlik kontrolleri tarayıcı kimlik avına karşı daha az etkili çünkü bu saldırılar sunuculara veya altyapıya kod enjeksiyonunu içermiyor” dedi. “Bunun yerine, genellikle kullanıcı bilgilerini yakalamak için sahte bir giriş sayfası oluşturmayı içerirler ve bu kontroller bunu tespit etmek için tasarlanmamıştır.”

Üstelik güvenlik kontrolleri her zaman “insan unsurunu” hesaba katamayabilir.

Apona CEO’su Ben Chappell, “Bu güvenlik kontrolleri, tarayıcı kimlik avı saldırılarına karşı etkisiz olabilir çünkü bu tür saldırılar genellikle teknik savunmaları aşan sosyal mühendislik taktiklerini kullanır” dedi.

TechNewsWorld’e “Sistem açıklarından ziyade güven veya farkındalık eksikliği gibi insani zayıf noktalardan yararlanıyorlar” dedi.

Menlo araştırmacıları, tarayıcı tabanlı kimlik avına ilişkin 12 aylık incelemeye ek olarak, 2023’ün son çeyreğindeki 30 günlük bir dönemi daha ayrıntılı olarak incelediler. Bu süre zarfında, Menlo’ya karşı 31.000 tarayıcı tabanlı kimlik avı saldırısının başlatıldığını keşfettiler. Lazarus, Viper ve Qakbot’un da aralarında bulunduğu tehdit aktörleri tarafından birden çok sektör ve bölgedeki müşteriler.

Üstelik bu saldırıların 11.000’i, bir güvenlik aracının tespit edebileceği ve saldırının engellenebileceği hiçbir dijital imza veya kırıntı göstermeyen “sıfır saat” saldırılarıydı.

Parola yönetimi şirketi Keeper Security’nin güvenlik ve mimariden sorumlu başkan yardımcısı Patrick Tiquet, “30 günlük bir süre içinde gözlemlenen ve geleneksel güvenlik araçlarıyla tespit edilemeyen 11.000 sıfır saatlik kimlik avı saldırısı, gelişen tehditlere karşı eski önlemlerin yetersizliğini vurguluyor” dedi. ve Chicago’da çevrimiçi depolama şirketi.

TechNewsWorld’e şunları söyledi: “Son derece kaçamak yapan tarayıcı tabanlı saldırıların oluşturduğu artan tehdit ortamı, kuruluşların tarayıcı güvenliğine öncelik vermesi ve proaktif siber güvenlik önlemleri alması gereken bir başka nedendir.” “Tarayıcı tabanlı kimlik avı saldırılarındaki hızlı artış, özellikle de kaçınma taktikleri kullananlar, gelişmiş korumaya yönelik acil ihtiyacın altını çiziyor.”

Güvenilir Web Sitelerinden Yararlanmak
Raporda ayrıca tarayıcı tabanlı saldırılardaki artışın, bilinen kötü amaçlı veya sahte gece uçuş sitelerinden gelmediğine de dikkat çekildi. Aslında devam etti, kimlik avı bağlantılarının %75’i bilinen, kategorize edilmiş veya güvenilir web sitelerinde barındırılıyor.

Kimlik avının geleneksel e-posta veya O365 yollarının ötesine geçerek sorunu daha da karmaşık hale getirdiğini ekledi. Saldırganlar, kimlik avı saldırılarını bulut paylaşım platformlarına veya web tabanlı uygulamalara odaklayarak kuruluşlara yönelik ek yollar açıyor.

Papez, “Saldırganlar, tespit edilmekten kaçınmak için bulut paylaşım platformlarını ve Gdrive veya Box gibi güvenilir alan adlarına sahip web uygulamalarını kullanıyor” dedi. “Bu, saldırganların saldırı yüzeyini genişletiyor ve kullanıcıların günlük çalışma ortamlarında doğası gereği güvendikleri kurumsal uygulamalardan yararlanmalarına olanak tanıyor. Bunlar, kimlik avı kampanyalarında kötü amaçlı içerik veya parola korumalı dosyalar barındırmak amacıyla tehdit aktörleri için kazançlı kimlik avı yolları haline geldi.”

Kaçınma taktiklerine ek olarak rapor, tarayıcı tabanlı saldırıların, tehdit eylemlerinin kalitesini ve hacmini artırmak için otomasyon ve genel yapay zeka araçlarını kullandığını kaydetti. Saldırganlar artık benzersiz tehdit imzalarına sahip binlerce kimlik avı saldırısı üretiyor. Bunlar daha az dil hatası içerir; bu, geleneksel kontrollerden kaçmaları durumunda insan gözünün bu tehditleri tespit etmesini sağlayan bir işarettir.

Austin, Teksas’ta bir siber güvenlik eğitim şirketi olan Living Security’de güvenlik stratejisti olan Kyle Metcalf, “Üretken yapay zeka, son derece kişiselleştirilmiş ve ikna edici içerik oluşturmak ve tespit edilmesi çok daha zor olan dinamik, meşru görünümlü web siteleri oluşturmak için silah haline getirilebilir” dedi .

TechNewsWorld’e “Web sitesi ne kadar gerçekçi görünürse, kullanıcıyı kandırma şansı da o kadar artar” dedi.

Daha Fazla Görünürlük Gerekiyor
Ancak yapay zeka, yarım yamalak web siteleri oluşturmaktan daha fazlası için kullanılabilir.

Montpellier, Fransa’da bir tehdit istihbarat şirketi olan BforeAi’nin kurucu ortağı ve CMO’su Luciano Allegro şöyle açıklıyor: “Siber suçlular, doğru markadan görsel olarak ayırt edilmesini zorlaştırmak için sıklıkla uygun ad üzerinde küçük değişiklikler kullanarak kötü amaçlı alan adlarını kaydederler.”

TechNewsWorld’e “Güvenli görünen bir bağlantı gören kullanıcılar, klonlanmış bir siteyi ziyaret etmek için o bağlantıya tıklıyor” dedi. “Yapay zeka, devasa hacimlerde bitişik adlar oluşturarak ve varlıkların çalınmasını ve meşru sitelerin oluşturulmasını otomatikleştirerek bu sürecin otomatikleştirilmesine yardımcı oluyor.”

Raporda, kurumsal güvenlikle ilgili zorluğun, güvenlik araçlarının hâlâ yalnızca klasik ağ sinyallerine ve geleneksel uç nokta telemetrisine dayanmasından kaynaklandığı belirtildi. Ağ tabanlı telemetri üzerine eğitilmiş yapay zeka modelleri bile yetersiz kalıyor çünkü güvenlik duvarları ve güvenli web ağ geçitleri, tarayıcı telemetrisine ilişkin görünürlükten yoksundur.

Bu zayıflık, tarayıcı saldırı vektörünün büyümesini teşvik etti ve devam etti. Tarayıcıya özel telemetriye yönelik görünürlük artırılmadıkça, güvenlik ekipleri sıfır saatlik kimlik avı saldırılarına maruz kalmaya devam edecek.