Siber dolandırıcılar, ataklarında merkezi olmayan belge sistemi kullanıyor
Kaspersky uzmanlarına nazaran, 2022 yılında dolandırıcılar InterPlanetary File System’i (IPFS) e-posta kimlik avı atakları için faal olarak kullanmaya başlarken, bu yıldan itibaren IPFS kimlik avı ataklarının ölçeği büyüdü.
Kaspersky’den yapılan açıklamaya nazaran, siber dolandırıcılar, hücumlarında merkezi olmayan belge sistemi kullanarak “gezegenler arası” hale geldi.
Kaspersky uzmanları, siber hatalıların e-posta kimlik avı hücumlarında InterPlanetary File System’i (IPFS) nasıl kullandığını keşfetti.
IPFS, dünyanın dört bir yanındaki kullanıcıların belge alışverişi yapmasına imkan tanıyan dağıtık bir evrak sistemine verilen isim olarak bilinirken, merkezi belge sistemlerinin tersine IPFS, evrak yollarına nazaran değil, eşsiz içerik tanımlayıcılarına (CID) nazaran yapılan adreslemeyi kullanıyor.
Bu teknikte belgenin kendisi, onu IPFS’ye “yükleyen” kullanıcının bilgisayarında bulunuyor ve direkt bu bilgisayardan indiriliyor.
Normalde IPFS’ye bir evrak yüklemek yahut indirmek için özel bir yazılım (IPFS istemcisi) kullanmak gerekiyor. Bununla birlikte özel ağ geçitleri sayesinde kullanıcıların IPFS’de bulunan belgeleri rastgele bir yazılım yüklemeden serbestçe görüntülemesi sağlayabiliyor.
2022 yılında dolandırıcılar IPFS’yi e-posta kimlik avı hücumları için etkin olarak kullanmaya başladı. Bu teknikte IPFS’ye kimlik avı formu içeren HTML evrakları yerleştiriliyor ve ağ geçitleri proxy olarak kullanılıyor.
Böylece kurbanlar aygıtlarında bir IPFS istemcisi çalıştırıyor olsalar da olmasalar da belgeyi açabiliyorlar. Dolandırıcılar ayrıyeten ağ geçidi üzerinden belge erişim irtibatlarını kurbanlara gönderilen kimlik avı bildirilerine dahil ediyor.
Saldırılardan merkezi olmayan, dağıtık özellikteki bu evrak sisteminin kullanılması saldırganların kimlik avı sayfası barındırma maliyetlerinden tasarruf etmelerini sağlıyor.
Bunun yanı sıra üçüncü şahıslar tarafından yüklenen evrakları IPFS’den silmek mümkün olmuyor. Birisi bir belgenin sistemden büsbütün kaybolmasını istiyorsa evrak sahibinin onu bilgisayarından silmeye teşvik etmesi gerekiyor. Lakin bu usul, siber hatalılar kelam konusu olduğunda pek de gerçekçi olmuyor.
IPFS ağ geçidi sağlayıcıları, alternatif olarak düzmece belgelere giden irtibatları tertipli olarak silerek IPFS kimlik avı ile çaba etmeye çalışıyor.
Ancak ağ geçidi seviyesinde ilişkilerin tespiti ve silinmesi süreci her vakit bir kimlik avı web sitesinin, bulut formunun yahut dokümanın engellenmesi kadar süratli gerçekleşmiyor.
IPFS evraklarının URL adresleri birinci olarak Ekim 2022’de ortaya çıktı
Verilen bilgiye nazaran, IPFS evraklarının URL adresleri birinci olarak Ekim 2022’de ortaya çıktı. Şu an için bu kampanya devam ediyor ve adresler Kaspersky tarafından engelleniyor.
IPFS temasları içeren oltalama iletileri da yepyeni olmaktan epey uzak görünürken, hepsi kurbanın hesap giriş bilgilerini ve şifresini elde etmeyi amaçlayan tipik oltalama iletileri içeriyor. Bu teknikle ilgili farklı olan tek şey HTML sayfası temaslarının nereye gittiği konusu olarak öne çıkıyor.
URL parametresi alıcının e-posta adresini içeriyor. Değiştirildiğinde, oltalama formunun üstündeki kurumsal logo ve giriş alanına girilen e-posta adresi de değişiyor. Bu formda tek bir irtibat farklı kullanıcıları hedefleyen çeşitli kimlik avı kampanyalarında, hatta bazen düzinelerce kampanyada kullanılabiliyor.
Şubat ayı IPFS kimlik avı faaliyetleri açısından en ağır ay oldu
Kaspersky, 2022’nin sonlarına yanlışsız birtakım durumlarda günde 15 bine ulaşan IPFS kimlik avı bildiri trafiği gözlemledi. Bu yıldan itibaren de IPFS kimlik avı hücumlarının ölçeği büyümeye başladı ve ocak ve şubat aylarında günde 24 binden fazla bildiriye ulaştı.
Şubat ayı IPFS kimlik avı faaliyetleri açısından en ağır ay oldu. Araştırmacılar sadece bu ayda yaklaşık 400 bin bildiri gözlemledi. Bu Kasım ve Aralık 2022’ye kıyasla 100 bin artışa karşılık geliyor.
Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Uzmanı Roman Dedenok, şunları kaydetti:
“Saldırganlar kar elde etmek için en son teknolojileri kullandılar ve kullanmaya devam edecekler. Son vakitlerde hem kitlesel hem de gayeli IPFS kimlik avı akınlarının sayısında bir artış gözlemliyoruz. Dağıtık evrak sistemi, dolandırıcıların alan isminden tasarruf etmelerini sağlıyor. Ayrıyeten bu teknikte bir belgeyi büsbütün silmek kolay değil. Lakin IPFS ağ geçidi seviyesinde dolandırıcılıkla uğraş etmeye dair birtakım teşebbüsler de mevcut. Âlâ haber şu ki, anti-spam tahlilleri IPFS’deki kimlik avı evraklarına giden irtibatları tıpkı öteki kimlik avı temaslarında olduğu üzere tespit ederek engelleyebiliyor. Bilhassa Kaspersky eserlerinde IPFS kimlik avını tespit etmek için bir dizi sezgisel metot kullanıyoruz.”
“Kaspersky Endpoint Security for Business üzere kimlik avı tedbire özelliklerine sahip bir muhafaza tahlili kullanın”
Kaspersky, bireylerin ve şirketlerin spam e-posta kampanyalarından korunması için şunları önerdi:
“Personelinize temel siber güvenlik hijyeni eğitimi verin. Kimlik avı e-postalarını nasıl ayırt edeceklerini bildiklerinden emin olmak için simüle edilmiş kimlik avı akınları düzenleyin. Kimlik avı e-postası yoluyla bulaşma mümkünlüğünü azaltmak için uç noktalarda ve posta sunucularında Kaspersky Endpoint Security for Business üzere kimlik avı tedbire özelliklerine sahip bir müdafaa tahlili kullanın. Microsoft 365 bulut hizmeti kullanıyorsanız, onu da müdafaayı unutmayın. Kaspersky Security for Microsoft Office 365, inançlı iş bağlantısı için SharePoint, Teams ve OneDrive uygulamalarına yönelik muhafazanın yanı sıra spam ve kimlik avı tedbire özelliğine sahiptir.”