Siber güvenlik alanında yapılan yeni araştırmalar, oturum açma bilgilerini şifreleme ile korunsa bile, zararlı niyetli kişilerin kullanabileceği nadir görülen bir teknikle karşı karşıya kaldığımızı ortaya koydu.
Cofense’nin çalışmasına göre, siber suçlular artık geçici yerel içerik görüntülemek için tasarlanmış blob URI’lerini kullanarak kimlik avı sayfaları oluşturmayı tercih ediyorlar.
Blob URI’leri, tamamen kullanıcının tarayıcısında oluşturulup erişilebildiği için, kimlik avı içerikleri asla halka açık sunucularda yer almıyor.
Bu durum, en gelişmiş uç nokta koruma sistemlerinin bile bu saldırıları tespit etmesini son derece zor hale getiriyor.
GİZLİ TEKNİK NASIL İŞLİYOR
Bu tür kampanyalarda, kimlik avı süreci, güvenli e-posta ağ geçitlerini kolayca aşabilen bir e-posta ile başlıyor.
Genellikle bu e-postalar, meşru bir web sayfasına bağlantı içeriyor ve sıkça Microsoft’un OneDrive’ı gibi güvenilir etki alanlarında barındırılıyor.
Fakat, başlangıçtaki sayfa kimlik avı içeriğini doğrudan barındırmıyor. Bunun yerine bir aracı gibi hareket ederek, tehdit aktörü tarafından kontrol edilen ve bir blob URI’sine kodlanmış HTML dosyasını sessizce yüklüyor.
Kullanıcının tarayıcısında bu süreç sonucunda, Microsoft’un oturum açma portalını taklit eden sahte bir oturum açma sayfası oluşturuluyor.
MAĞDURLAR NASIL ETKİLENİYOR VE KORUNMA YOLLARI NELER
Mağdurlar açısından durum oldukça yanıltıcı. Hiçbir garip URL veya belirgin dolandırıcılık belirtileri gözlemlenmiyor; yalnızca güvenli bir ileti almak veya bir belgeye erişmek için bir oturum açma istemi geliyor.
Kullanıcı “Oturum aç”a tıkladığında, sayfa başka bir saldırgan tarafından kontrol edilen HTML dosyasına yönlendirilerek sahte oturum açma sayfasını oluşturan yerel bir blob URI’si üretiliyor.
Blob URI’leri tamamen tarayıcı belleğinde çalıştığı ve dışarıdan erişilemiyor olduğu için geleneksel güvenlik araçları bu içeriği tarayıp engelleyemiyorlar.
Girilen kimlik bilgileri, uzaktaki bir tehdit aktörüne sızdırılıyor ve kurbanın bu durumdan haberi dahi olmuyor.
Yapay zeka tabanlı güvenlik filtreleri de bu tür saldırıları yakalamakta güçlük yaşıyor çünkü blob URI’leri genellikle kötü amaçlı faaliyetlerde kullanılmıyor.
