Kimlik avı
PhishLabs’tan güvenlik araştırmacıları özellikle mobil cihaz kullanıcılarını hedef alan, çoklukla Facebook kullanıcılarının markaja alındığı yeni bir kimlik avı saldırısını ortaya çıkardılar.
Yeni taktik mobil tarayıcılardaki oldukça dar olan URL adres çubuklarının zaafından yararlanıyor. Ekranın küçüklüğü bağlantının bütününü görüntülemeye engel olduğu için saldırganlar adres satırını alt alan adları ve tirelerle doldurarak bağlantıların güvenilir görüntü kazanmasını sağlıyorlar.
Örneğin, aşağıdaki adreste görüldüğü gibi ;
hxxp://m.facebook.com—————-validate—-step1.rickytaylk[dot]com/sign_in.html
Bu web sitesinin asıl alan adı ‘m.facebook.com’ değil, rickytaylk.com’dur. Mobil cihazlar URL’lerin sadece ilk bölümlerini gösterdikleri için kullanıcılar sadece ‘m.facebook.com’ bölümünü görürler.
Saldırı sadece dikkatsiz kullanıcıları ağına düşürüyor
Dikkatsiz kullanıcılar gerçek Facebook sayfasına bağlandıklarını düşünerek hesap bilgilerini dolandırıcılara kaptırırlar.
PhishLabs uzmanları saldırganların bir çok kez bu bilgileri, kullanıcıların arkadaşlarına spam mesajı göndermek ve aynı zamanda bunlara da kimlik avı sayfalarını göndererek zararlı yazılımı diğerlerine de yaymak için kullandıklarını belirtiyorlar.
Bu tekniği kullanan kimlik avı saldırıları genelde Facebook kullanıcılarını hedef alıyor. Uzmanlar bu saldırı tipini aynı zamanda Apple iCloud, Comcast, Craiglist ve OfferUp sitelerinde de gördüklerini belirtiyorlar.
Mobil ekosistem kimlik avına oldukça yatkın bir ortam
Söz konusu taktiği bu hafta ayrıntılarıyla anlatan Crane Hassold bu saldırıyı oldukça etkili yapan sebeplerden birinin kullanıcıların mobil cihazlarda web sitesi bağlantıları üzerinde gezinememeleri olduğunu, bu nedenle bağlantıya tıklamadan önce güvenilir olup olmadığını tespit etme imkanından mahrum kaldıklarını belirtiyor.
Hassold “Siteye girmeden gerçek olup olmadığını bilemiyorsunuz. Siteye girdiğinizde de kullanılan tireler nedeniyle sitenin gerçek adresi etkin şekilde gizlendiği için tehlikeyi sezinleyemiyorsunuz” diyor.
Hassold, URL tireleme tekniğinin bir çoğunun SMS mesajlarıyla gönderildiğini belirtiyor. Bazı mobil tarayıcılar ve sohbet uygulamaları üzerine tıkladığınızda tam adresi görmenize olanak sağlıyorlar. Fakat bir çok SMS uygulamasında bu özellik bulunmuyor.
Bu hafta aynı zamanda PhishMe araştırmacılarının tespit ettikleri diğer bir dahiyane kimlik avı tekniğine şahit olduk. PayPal kullanıcılarını hedef alan bu teknikte siteye girenlerden kimlik kartlarını ellerinde tutarken gösteren resimlerini siteye yüklemeleri isteniyor.
