Bubble: Kimlik avı dolandırıcılığı için yeni bir araç

Çeşitli yapay zeka destekli uygulama oluşturucular, fikirlerinizi hızlı ve zahmetsiz bir şekilde hayata geçirmeyi vaat ediyor. Ne yazık ki, kimlerin hayata geçirmek üzere sürekli yeni fikirler aradığını çok iyi biliyoruz. Çünkü onların eski fikirlerini tespit edip engelleme konusunda oldukça iyiyiz. Tabii ki kimlik avcılarından bahsediyoruz. Son zamanlarda, repertuarlarına yeni bir numara eklediklerini keşfettik: Bubble‘ın yapay zeka destekli web sitesi oluşturucusunu kullanarak web siteleri oluşturmak. Bu taktiğin şu anda bir veya daha fazla hizmet olarak sunulan kimlik avı platformu aracılığıyla kullanılabilir hale gelmiş olması son derece muhtemeldir; bu da bu tuzakların çok çeşitli saldırılarda ortaya çıkmaya başlayacağını neredeyse kesinleştiriyor. Bunu adım adım inceleyelim.

Kimlik avcıları neden Bubble kullanıyor?

Bir e-postaya, kimlik avı sitesine yönlendiren doğrudan bir bağlantı eklemek, başarısızlığa giden tek yönlü bir bilettir. Mesajın hedefine ulaşmama ihtimali oldukça yüksektir; zira güvenlik filtreleri, kullanıcı mesajı görmeden önce onu engelleyecektir. Benzer şekilde, otomatik yönlendirmelerin kullanılması, modern güvenlik çözümleri açısından uzun zamandır önemli bir tehlike işareti olarak görülmektedir. Peki ya QR kodları? Kurbanın bir bağlantıya tıklamak yerine telefonuyla bir kodu taraması teoride işe yarayabilir, ancak kimlik avcıları bu aşamada kaçınılmaz olarak trafik kaybederler, çünkü herkes kişisel bir cihaza şirket kimlik bilgilerini girmek istemez. İşte bu noktada, otomatik kod oluşturma hizmetleri siber suçluların imdadına yetişiyor.

Bubble, web ve mobil uygulamalar geliştirmek için kod yazmaya gerek olmayan bir platform olarak konumlanır. Temelde, kullanıcı görsel bir arabirim aracılığıyla neye ihtiyacı olduğunu belirtir ve platform hazır bir çözüm üretir. Dolandırıcılar, adreslerini daha sonra kimlik avı e-postalarına ekledikleri web uygulamaları oluşturmak için bu teknolojiyi benimsemiştir. Bu uygulamaların asıl işlevi, her zamanki gibi kötü amaçlı bir siteye otomatik olarak yönlendirmekle sınırlı olsa da, burada birkaç belirgin ayrıntı söz konusu.

Öncelikle, ortaya çıkan web uygulaması doğrudan platformun sunucularında barındırılıyor. Bir kimlik avı e-postasında kullanılmaya hazır URL, https://%name%.bubble.io/ gibi görünüyor. Güvenlik çözümleri açısından bakıldığında, bu site yasal ve uzun süredir faaliyet gösteren bir site gibi görünüyor.

İkincisi, bu web uygulamasının kodu tipik bir yönlendirme gibi görünmüyor. Açıkçası, neye benzediğini söylemek zor. Bu kodsuz platform tarafından üretilen kod, JavaScript ve birbirinden bağımsız Shadow DOM (Belge Nesne Modeli) yapılarının oluşturduğu devasa bir karmaşa. Bir uzman için bile ilk bakışta neler olup bittiğini kavramak zor; tümünün nasıl işlediğini ve amacının ne olduğunu anlamak için gerçekten derinlemesine incelemek gerekiyor. Otomatik web kodu analiz algoritmaları daha da kolay yanıltılabilir ve sıklıkla bu sitenin sadece işlevsel ve kullanışlı bir site olduğu sonucuna varırlar.

Bubble platformunda barındırılan bir web uygulamasının kod parçası

Bu kimlik avı platformları nedir ve asıl amaçları nedir?

Günümüzde kimlik avcıları nadiren sıfırdan yeni hileler geliştirip uygulamaya koyuyorlar. Çoğu, kimlik avı kitlerini (temelde dolandırıcılık planları başlatmak için kullanılan “kendin yap” türünde araçlar) veya hatta tam kapsamlı kimlik avı hizmeti platformlarını kullanıyor.

Bu platformlar, saldırganlara e-posta teslimatını iyileştirmek ve Kimlik Avı Koruması tedbirlerini atlatmak için sürekli gelişen, gelişmiş (ve son derece sinir bozucu) bir araç seti sunuyor. Örneğin, bu araçlar saldırganların; oturum çerezlerini ele geçirmelerine, Google Tasks üzerinden kimlik avı saldırıları düzenlemelerine (bu taktiği önceki bir yazımızda ele almıştık), iki faktörlü kimlik doğrulamayı (2FA) doğrulamak ve gerçek zamanlı olarak atlatmak için ortadaki saldırgan (AiTM) saldırıları gerçekleştirmelerine, güvenlik tarayıcılarından gizlenmek için honeypot’lar ve coğrafi sınırlama ile donatılmış kimlik avı siteleri oluşturmalarına ve benzersiz kimlik avı e-postaları oluşturmak için yapay zeka asistanlarını kullanmalarına olanak tanır. Durumu daha da kötüleştiren şey ise, bu platformların altyapısının genellikle AWS gibi tamamen yasal hizmetler üzerinde barındırılmasıdır; bu da onların taktiklerini tespit etmeyi daha da zorlaştırmaktadır.

Kimlik bilgilerini toplayan son hedef sayfayı oluşturmak için de aynı platformlar kullanılır. Bu özel durumda, Bubble üzerinde barındırılan web uygulaması, kurbanları Microsoft oturum açma penceresini taklit eden ve Cloudflare doğrulama kontrolü içeren bir siteye yönlendiriyor.

Kurumsal kimlik bilgilerini ele geçirmek amacıyla tasarlanmış kimlik avı formu

Görünüşe göre, saldırganların kendi dünyasında Skype hâlâ kullanılabilir bir iletişim aracı; bunun dışında ise site oldukça inandırıcı görünüyor.

Şirketinizi gelişmiş kimlik avı saldırılarından nasıl koruyabilirsiniz?

Günümüzün dijital ortamında, çalışanlar kurumsal kimlik bilgilerinin yalnızca şirketin ait olduğu kesin olarak bilinen hizmetlere ve web sitelerine girilmesi gerektiğini açıkça anlamalıdır. Çevrimiçi eğitim için Kaspersky Automated Security Awareness Platform kullanarak ekibinizin modern siber tehditler konusundaki farkındalığını artırabilirsiniz.

Elbette, en temkinli çalışan bile ara sıra bu tuzağa düşebilir. Bizim önerimiz; internete bağlı tüm iş istasyonlarını, kötü amaçlı sitelere girme girişimlerini kolayca engelleyecek sağlam güvenlik çözümleriyle donatmanızdır. Son olarak, şirket posta kutularını dolduran tehlikeli e-postaların sayısını en başından azaltmak için, gelişmiş Kimlik Avı Koruması teknolojilerine sahip bir ağ geçidi güvenlik ürününün kullanılması önerilir.