Hosting (Yer sağlayıcısı) kimlik avı

Siber suçlular, yer sağlayıcı sitelerdeki hesaplara nasıl ve neden saldırır?

Bugün, sizlerle yakın sayılabilecek bir tarihte bir yer sağlayıcının sitesindeki bir kişisel hesabın ele geçirilmesini paylaşacağız. Bu tür bir hesap, siber suçlular için oldukça ilgi çekicidir. Gelin, tek bir saldırının nasıl işe yaradığına ve benzer bir ihlalin ne kadar ileri gidebileceğine bakalım.

Kimlik avı planı

Saldırı, klasik bir kimlik avı ile başladı. Suçlular bu defa bir siber saldırı başlatarak alıcıyı hızla eyleme geçirmek için korkutmaya çalıştılar — hosting sağlayıcısı gibi davranan dolandırıcılar, alıcının hesabı üzerinden şüpheli bir alan satın alma girişiminde bulunmak için hesabı geçici olarak engellediklerini iddia ettiler. Hesabının kontrolünü geri almak için, alıcının bağlantıya tıklaması ve kişisel hesabına giriş yapması gerekiyordu.

Bir yer sağlayıcısı gibi davranan siber suçluların gönderdiği kimlik avı e-postası

 

İleti metni tehlike çanları çalıyor! İletide farklı yer sağlayıcılarının müşterileri için ortak bir şablon kullandığını gösteren yer sağlayıcının adı ya da logosu bile yer almıyor. Ad, sadece bir kere gönderenin adı bölümünde geçiyor. Dahası, bu ad ile e-posta adresinin alan adı eşleşmiyor: şüpheli bir duruma yönelik bariz bir işaret.

Bağlantı ise inandırıcı olmayan bir giriş sayfasına yönlendiriyor. Renk taslağı bile kapalı. Burada umulan şey; kullanıcının panik içinde hareket etmesi ve durumu fark etmemesi.

Sahte internet sitesi sayfaları

 

Her kimlik avı saldırısında olduğu gibi, bu sayfaya kimlik bilgilerinizi girmeniz kontrolü siber suçlulara vermekle eşdeğerdir. Ancak bu saldırıda, bu bilgileri girmek kurumsal internet sitesi anahtarlarını teslim etmek anlamına geliyor. Garip bir şekilde, dolandırıcılar bazı finansal bilgileri de soruyor; nedeni belli değil.

Peki neden bir yer sağlayıcısı?

Gelin, oturum açma sayfasına bir göz atalım. Kimlik avı için kullanılan sitenin sertifikalarında bir problem yok. Bilinirliği de normal görünüyor. Kulağa mantıklı geliyor; çünkü siber suçlular bu alanı sıfırdan oluşturmadı, büyük olasılıkla benzer bir saldırı gerçekleştirerek alanı ele geçirdiler.

Bir yer sağlayıcının internet sitesindeki kişisel bir hesabın kontrolünü ele geçiren siber suçluların neler yapabileceği, sağlayıcıya bağlıdır. Yapabilecekleri muhtemel şeylere birkaç örnek vermek gerekirse; başka içeriğe yeniden bağlanabilir, bir Web arayüzü aracılığıyla site içeriğini güncelleyebilir ve içerik yönetimi için FTP parolasını değiştirebilirler. Başka bir deyişle, siber suçluların yapabileceği çok şey var.

Peki bu olasılıklar çok mu geniş? Daha spesifik ihtimaller de var. Siber suçlular sitenizin kontrolünü ele geçirirse; sitenize bir kimlik avı sayfası ekleyebilir, sitenizi kötü amaçlı yazılımların indirilebileceği bir bağlantıya yer vermesi için kullanabilir ve hatta sitenizi müşterilerinize saldırmak için bile kullanabilirler. Kısacası, şirketinizin adını ve bilinirliğini kötü amaçları için kullanabilirler.

Kimlik avı saldırılarından nasıl korunursunuz?

Kimlik avı e-postaları oldukça ikna edici olabilir. Bu tuzaklara düşmemek için öncelikle çalışanların bilinçli olması gerekir. Aşağıdakileri yapmanızı öneririz:

  • Kişisel bir hesabın bağlantılarına asla tıklanmamasına yönelik bir politika uygulayın. Yer sağlayıcısından endişe verici bir ileti alan herkes, öncelikle sağlayıcının adresini tarayıcı adres çubuğuna yazmalı ve resmi sitede oturum açmalıdır.
  • Sağlayıcının internet sitesindeki iki faktörlü kimlik doğrulamayı (2FA) aktif hale getirin. Sağlayıcı 2FA seçeneğini sunmuyorsa, bu özelliği ne zaman uygulamaya almayı planladıklarını öğrenin.
  • Kimlik avı saldırılarının belirgin işaretlerine karşı uyanık olun (örneğin, gönderen adı ile e-posta alan alanı arasında uyuşmazlık olması veya internet sitelerindeki yanlış alan adları). İdeal olan, çalışanlarınıza kimlik avı girişimlerini tespit edebilmelerine yönelik eğitimler verin (bunun için bir çevrimiçi eğitim platformu kullanmayı tercih edebilirsiniz).
  • Çalışanların internete girmek için kullandığı tüm sunuculara ve cihazlara kurumsal posta güvenliği çözümlerini kurun.

 

İpuçları