kimlik avı
QR kodlarının kimlik avı dolandırıcılıklarında nasıl kullanıldığına dair defalarca yazdık. Güvenli e-posta ağ geçidimiz, bu kodları okumak için gerekli teknolojiyi de barındırır (sadece e-postalardan değil, eklerden de) ve yerleşik bağlantıları kontrol eder. Yine de saldırganlar, kurbanlarına QR kodları gönderme girişimlerinden vazgeçmiş değiller. Son zamanlarda, bu amaçla ASCII sanatını, yani karakterlerden oluşan resimleri, giderek daha sık kullandıklarını görüyoruz. Bu durum; bir zamanlar kimlik avcılarının bağlantıları resimlerin içine gizleyerek bağlantı taramasından kaçmaya çalıştıklarını, şimdi ise tekrar metne dönerek resim taramasından kaçmaya çalıştıklarını düşünürsek, özellikle ironik görünüyor. Ama birkaç sürprizle.
Kayıp ASCII sanatı nedir ve saldırganlar bunu nasıl kullanır?
Bugün inanması zor olsa da, bir zamanlar bilgisayarlar grafik görüntüleyemiyordu. Sonuç olarak, ilk bilgisayar görüntüleri metin karakterlerinden oluşturuldu. 1963 yılında standardın kabul edilmesinin ardından, görüntülerin farklı bilgisayarlarda aynı görünmesini sağlamak amacıyla bu tür grafik tasarımlarda ASCII (Amerikan Bilgi Değişimi Standart Kodu) karakter kümesinden karakterler kullanıldı. Zamanla, görüntü oluşturmak için başka metin sembolleri (örneğin, genişletilmiş Unicode kümesinden) kullanılmaya başlandı, ancak “ASCII grafikleri” adı bu sanat biçimini bir bütün olarak tanımlamak için kullanılan terim olarak kaldı. Bu alanda çalışan ciddi sanatçılar vardı; ilk web siteleri ASCII sanatı kullanılarak tasarlanmıştı ve hatta ilk bilgisayar pornografisi bile metin karakterleriyle oluşturulmuştu.
Görüntü görüntüleme teknolojisi geliştikçe, ASCII sanatı modası yok olmaya yüz tuttu. 2000’li yıllarda, e-posta spam’inin en yoğun olduğu dönemde büyük bir canlanma yaşadı. O zamanlar, spam gönderenler bunu öncelikle, posta filtrelerini tetikleyebilecek bariz spam anahtar kelimelerini gizlemelerine olanak tanıdığı ve aynı zamanda resimlere kıyasla posta sunucularına daha az yük bindirdiği için kullanıyorlardı. Ayrıca o dönemde birçok kullanıcı internet trafiği hacmi için ücret ödediği için, e-posta istemcilerinde genellikle resim yükleme özelliğini devre dışı bırakırdı. Elbette o dönemde, e-posta güvenlik çözümlerimizi ASCII sanatını engellemek üzere özel olarak tasarlanmış teknolojilerle güçlendirdik.
Şimdi ASCII sanatı yeniden keşfedildi. Bu kez, resimlerdeki QR kodlarını tanıyan teknolojileri atlatmak isteyenler tarafından.
ASCII sanatı tabanlı kimlik avı neye benzer?
İşte yeni bir örnek. Bahane oldukça sıradan: Birisi kurbana DocuSign aracılığıyla gizli bir belge göndermiş gibi görünüyor, ancak belgeyi açmak için alıcının e-postadaki QR kodunu tarayarak bir web sitesine girip kurumsal oturum açma bilgilerini girmesi gerekiyor.
Unicode karakterleriyle oluşturulmuş bir QR kodu. Kötü amaçlı bağlantının taranmasını önlemek için kodun bir kısmını bulanıklaştırdık.
Kabul etmek gerekirse, kod biraz tuhaf görünüyor. Bunun başlıca nedeni, resmin parça parça sözde grafik öğelerle çizilmiş olması ve hatta çizgiler arasındaki boşlukların bile görülebilmesidir. Aslında, e-posta mesajının kodunda gerçek bir resim yoktur; QR kodu arka planda şuna benzer bir şekle sahiptir:
E-posta kodundaki ASCII sanatı
Sonuç olarak, bağlantı tarayıcıları bu bağlantıyı algılayamaz ve görsel analiz araçları da QR kodunun içinde gizlenmiş URL’yi bulamaz; bu nedenle saldırganlar, kimlik avı e-postasının kurbana sorunsuz bir şekilde ulaşacağını düşünür. Spoiler uyarısı: Hayır, ASCII sanatını engellemeyi unutmadık.
E-postada bir QR kodu olması normal mi?
Teorik olarak, QR kodu kullanmanın mantıklı olduğu durumlar vardır. Kişileri, bir mobil uygulamanın bağlantısını, harita konumunu veya bir yapılandırmayı paylaşmak için oldukça kullanışlı bir yöntemdir. Başka bir deyişle, bilginin alıcının mobil cihazına özel olarak iletilmesi gerektiğinde bu yöntem oldukça etkili olur.
Ancak, bir QR kodu kullanarak sizi bir mobil cihazda kurumsal kimlik bilgilerinizi girmeye yönlendiren bir durum, hemen dikkat çekici bir tehlike işaretidir. Ve bu QR kodu ASCII sanatı kullanılarak oluşturulmuşsa, bu açıkça bir kimlik avı girişimi ya da sizi kötü amaçlı bir URL’ye yöneltme çabasıdır. Bu hilenin tek bir amacı olabilir: Güvenlik kontrollerini atlatmaya çalışmak.
Nasıl güvende kalabilirsiniz?
ASCII sanatı içersin ya da içmesin, kimlik avı e-postalarının çalışanların gelen kutularına ulaşmasını önlemek için, gelişmiş Kimlik Avı Koruması özelliklerine sahip güvenli bir e-posta ağ geçidi kullanmanızı öneririz. Ek bir güvenlik önlemi olarak, internete erişim için kullanılan tüm uç noktalara güvenlik çözümleri kurun.
Ayrıca, çalışanları güncel kimlik avı taktikleri konusunda bilgilendirmek amacıyla düzenli güvenlik farkındalığı eğitimleri düzenlenmesini öneriyoruz. Özellikle, günümüz e-postalarındaki ASCII sanatının, bir kimlik avı saldırısı girişiminin açık bir işareti olabileceğini açıklamak için.
İpuçları