Kimlik Avı Saldırısı, Tarayıcınızda Sahte Giriş Sayfalarını Göstermek İçin Blob URI'lerini Kullanır

Cofense Intelligence, e-posta güvenliğini atlatıp kimlik bilgilerini çalarak yerel sahte oturum açma sayfaları oluşturmak için blob URI'leri kullanan yeni bir kimlik avı tekniğini ortaya çıkardı.

Cofense Intelligence'daki siber güvenlik araştırmacıları, siber suçluların kimlik bilgisi dolandırıcılığı sayfalarını doğrudan kullanıcıların e-posta kutularına göndermek için kullandıkları yeni ve giderek daha etkili bir yöntem bildirdi. 2022'nin ortalarında ortaya çıkan bu teknik, "blob URI'leri" (ikili büyük nesneler - Tekdüzen Kaynak Tanımlayıcıları) kullanır.

Bilginize, Blob URI'leri internet tarayıcınız tarafından kendi bilgisayarınızda kaydedilen geçici verilere işaret eden adreslerdir. Bunların internette meşru uygulamaları vardır, örneğin YouTube'un oynatma için bir kullanıcının tarayıcısında geçici olarak video verilerini depolaması gibi.

Blob URI'lerinin temel bir özelliği yerelleştirilmiş yapılarıdır; yani, bir tarayıcı tarafından oluşturulan bir blob URI'ye aynı cihazda bile başka hiçbir tarayıcı tarafından erişilemez. Bu doğal gizlilik özelliği, meşru web işlevleri için yararlı olsa da, tehdit aktörleri tarafından kötü amaçlı amaçlar için silah olarak kullanılmıştır.

Cofense Intelligence'ın Hackread.com ile paylaştığı analize göre, Blob URI verileri normal internette bulunmadığı için e-postaları kontrol eden güvenlik sistemleri zararlı sahte giriş sayfalarını kolayca göremiyor.

Bu nedenle, bir kimlik avı e-postası aldığınızda, bağlantı doğrudan sahte bir web sitesine gitmez. Bunun yerine, genellikle sizi Microsoft'un OneDrive'ı gibi güvenlik programlarının güvendiği gerçek bir web sitesine gönderir. Oradan, saldırgan tarafından kontrol edilen gizli bir web sayfasına gönderilirsiniz.

Bu gizli sayfa daha sonra tarayıcınızda sahte giriş sayfasını oluşturmak için bir blob URI kullanır. Bu sayfa yalnızca bilgisayarınızda kayıtlı olsa bile, kullanıcı adınızı ve parolanızı çalıp bilgisayar korsanlarına gönderebilir.

Araştırmacılar, bunun özellikle kimlik avı girişimlerini belirlemek için web sitesi içeriğini analiz eden Güvenli E-posta Ağ Geçitleri (SEG'ler) olmak üzere otomatik güvenlik sistemleri için bir zorluk oluşturduğunu belirtti. Blob URI'leri kullanan kimlik avı saldırılarının yeniliği, AI destekli güvenlik modellerinin henüz meşru ve kötü amaçlı kullanımlar arasında ayrım yapmak için yeterli şekilde eğitilmemiş olabileceği anlamına geliyor.

Desen tanıma eksikliği, saldırganların birden fazla yönlendirme kullanma gibi yaygın taktiğiyle bir araya geldiğinde otomatik algılamayı zorlaştırıyor ve kimlik avı e-postalarının güvenliği aşma olasılığını artırıyor.

Cofense Intelligence, bu blob URI tekniğini kullanan ve kullanıcıları OneDrive gibi bilindik hizmetlerin sahte sürümlerine giriş yapmaya kandırmak için tasarlanmış yemlerle birden fazla kimlik avı kampanyası gözlemledi. Bu yemler arasında şifreli mesaj bildirimleri, Intuit vergi hesaplarına erişim istemleri ve finansal kurumlardan gelen uyarılar yer alıyor. Çeşitli ilk bahanelere rağmen, genel saldırı akışı tutarlılığını sürdürüyor.

Araştırmacılar, bu tür kimlik avının güvenliği aşmada iyi olduğu için daha yaygın hale gelebileceği konusunda uyarıyor. Bu nedenle, gerçek web sitelerine gidiyormuş gibi görünseler bile e-postalardaki bağlantılara dikkat etmek ve oturum açma bilgilerinizi girmeden önce her zaman iki kez kontrol etmek önemlidir. Web sitesi adresinde “ blob:http:// ” veya “ blob:https:// ” görmek, bu yeni numaranın bir işareti olabilir.