Kurumsal e-posta kimlik avı için çevrimiçi PDF’leri kullanmak

Sözde Adobe çevrimiçi hizmetleri sunan saldırganlar, gönderdikleri sahte bildirimler ile e-posta kimlik bilgilerini ele geçirmeye çalışıyor.

Kimlik avcılarının kurumsal e-posta kimlik bilgilerini ele geçirmeye yönelik çabalarındaki son noktada, Adobe’nin çevrimiçi hizmetlerinden geldiği iddia edilen bildirimler var. Çevrimiçi bir PDF dosyası (sözde Adobe’nin internet sitesinde saklanan) kullanmaya başladıkları için, gönderilen e-postanın şüpheli ve “çevrimiçi PDF”in sahte olduğunu gösteren işaretlere dikkat çekmek amacıyla gerçek bir dosya oluşturduk.

Adobe PDF Online kimlik avı mesajı

Kimlik avı mesajlarında göze çarpan ilk şey, sizinle “Güvenli Adobe PDF online” şeklinde paylaşılan dosyanın açıklaması. Kendinize hemen şunu sorun: Böyle bir hizmet gerçekten var mı? Kulağa mantıklı gelebilir; hızlıca yapılan bir Google aramasıyla gerçekten de Adobe’nin PDF dosyalarını çevrimiçi saklamak amacıyla bir hizmeti olduğunu ve bu hizmetin kullanıcılara şifreli dosya paylaşım olanağı sunduğunu da görebilirsiniz. Ancak Adobe’nin gerçek internet sitesinin hiçbir yerinde “Adobe PDF online” ifadesini bulamazsınız. Bu hizmet ya “Adobe Acrobat online” ya da “Adobe Document Cloud” adı altında sunuluyor. Konuyu merak ettim ve bildirimleri karşılaştırabilmek için bir iş arkadaşımdan bir dosya göndermesini istedim.

 

Gerçek mesaj sağda yer alıyor

 

Bir dosya paylaşıldığında Adobe’den gelen gerçek e-postanın nasıl bir metin olduğunu bilmediğinizi varsayalım. İşte aralarındaki farkları gösteren bazı işaretler. Aşağıdaki işaretlerin hiçbiri, e-postaların kesinlikle dolandırıcılık amacıyla gönderildiğini göstermez; ancak, her kuralın istisnaları vardır. Bu işaretlerin her biri sizde şüphe uyandırmalı ve konuyu daha yakından incelemeye ve daha fazla araştırmaya sevk etmeli:

  1. Gönderen. Bir e-posta çevrimiçi bir hizmetten geliyorsa, bu, gönderenin adından ve adresinden açıkça anlaşılmalıdır. Tam tersi durumda, gönderen belirli bir kişiyse, mesaj bir hizmetten gelen bir bildirim gibi görünmez,
  2. Konu satırı. Leo adında birine yazıyorsanız, mesajın konu satırına “leonides@gmail.com bir PDF dosyası aldı” gibi bir şey yazar mısınız?
  3. Hizmetin adı. Her çevrimiçi hizmetin adını doğru hatırlamak zorunda değilsiniz; ancak, emin olamıyorsanız bir arama yaparak hizmetin adını kontrol edebilirsiniz,
  4. Köprü bağlantı/simge. İndir veya Aç simgesine tıklamadan önce, bu simgelerin köprü bağlantılarını incelemek ve gitmesi gereken yere yönlendirdiğinden emin olmak için imlecinizi bunların üzerine getirin,
  5. E-posta altbilgisi. Adobe’den gelen bir e-postanın, Microsoft’un gizliliğinize saygı duyduğuna ilişkin bir güvence metniyle bitmesi pek olası değildir,
  6. Köprü bağlantı verilmeden kullanılan “lütfen Gizlilik Bildirimimizi okuyun” ifadesi.

Adobe Document Cloud’un internet sitesi bu değil

Kimlik avcılarının yaptıkları aptalca hatalara hala güveniyor olsak da daha başarılı olmalarının önünde hiçbir engel yok. E-postanın kusursuz göründüğünü varsayalım. Ele aldığımız örnekte, bir kimlik doğrulama penceresi gibi görünen, arkada Adobe Acrobat Reader DC’nin arayüzünün bulanıklaştırılarak gizlendiği internet sitesine bir göz atalım. Bu yalnızca, e-postayı alan kişinin, Adobe’nin çevrimiçi hizmetlerine ait internet sitelerinin ve parola giriş pencerelerinin neye benzediğini bilmediği durumlarda işe yarar.

Kimlik avı internet sitesindeki (üstte) ve Adobe’nin gerçek internet sitesindeki parola giriş penceresi

 

Buradaki uyarı işaretleri biraz farklı. Bulanık arka planla başlayalım: Bu, gizli verilerin korunmasına yönelik profesyonellikten oldukça uzak bir koruma yöntemi; bazı metinleri çıplak gözle deşifre etmek oldukça kolay.

  1. İnternet sitesinin adresi. Bir Adobe hizmetine ait internet sitesinin adresinde Adobe’nin alan adı bulunmalıdır,
  2. Dosya adı. Bulanıklaştırılmasına rağmen dosya adını anlamak hala mümkün: EMInvoice_R6817-2.pdf. Bu isimle, indirilmek üzere gönderilen, kimlik doğrulama penceresindeki “Ödeme Dekontu.pdf” dosyasının ismi birbirini tutmuyor,
  3. Yanlış kullanılan ifadeler Bulanık belgenin üzerinde “Fatura” yazmasına (ödeme talebi için kullanılır) rağmen dosya adında “Dekont” yazıyor (ödeme için gönderilen parayı gösteren belgedir),
  4. Program sürümleri. Bulanık arka planda “Adobe Acrobat Reader DC” adı görünürken, kimlik doğrulama penceresinde adı geçen program Adobe Reader XI. Nadiren PDF kullanan biri, XI’nin, yazılımın daha eski bir sürümü olduğunu bilmeyebilir ancak ne olursa olsun ikisi arasındaki tutarsızlık dikkat çekmelidir,
  5. AdobeDoc Güvenliği. Adobe’nin sahip olduğu teknolojileri ne şekilde isimlendirdiğini bilmeyebilirsiniz ancak yanında tescilli bir ticari marka sembolü yer alan “AdobeDoc”u kontrol etmek gerekir,
  6. E-posta parolasının talep edilmesi Gerçek bir Adobe hizmeti asla e-posta parolanıza ihtiyaç duymaz; nokta.

Kurumsal e-postaları kimlik avcılarından nasıl korursunuz?

Şirket çalışanlarını kimlik avına karşı korumak için:

İpuçları

Uçakta sahte Wi-Fi

Yakın zamanda gerçekleşen bir tutuklama olayının da kanıtladığı gibi, seyir halindeyken bile siber tehditler dijital hayatınızı alt üst edebilir. Peki deniz seviyesinden 10.000 metre yükseklikte kendinizi nasıl koruyabilirsiniz?