kimlik avı

E-posta pazarlama hizmetleri aracılığıyla kimlik avı

Kötü niyetli kişiler, kimlik avını önleme teknolojilerini atlatmak için yasal e-posta hizmeti sağlayıcılarını veya ESP’leri (e-posta hizmet sağlayıcıları) kullansa da tehlikeli e-postalar durdurulabilir.

Roman Dedenok
Kasım 4, 2020

Dolandırıcılar, kimlik avını önleme teknolojilerini atlamak için yıllar boyunca çeşitli numaralar kullandılar. Kimlik avı bağlantılarını hedeflere ulaştırmak için yüksek başarı oranına sahip planlarından biri de, mesaj göndermek için e-posta hizmet sağlayıcıları (ESP’ler) olarak da bilinen e-posta pazarlama hizmetlerini (e-posta ile bülten iletme konusunda uzmanlaşmış şirketler) kullanmak. Çözümlerimizden elde ettiğimiz istatistiklere göre bu yöntem giderek ivme kazanıyor.

ESP tabanlı kimlik avı neden işe yarıyor?

E-posta tehditleri konusunu ciddiye alan şirketler, iletilerin kullanıcıların gelen kutularına ulaşmasına izin vermeden önce tüm e-postaları antivirüs, kimlik avı önleme ve spam önleme motorlarıyla iyice tarar. Motorlar yalnızca mesaj içeriğini, başlıkları ve bağlantıları taramakla kalmaz, aynı zamanda gönderenin ve bağlantılı internet sitelerinin itibarını da kontrol eder. Risk kararları, bu faktörlerin bir kombinasyonuna dayanarak verilir. Örneğin, bilinmeyen bir gönderenden gelen toplu postalar şüphelidir ve güvenlik algoritmaları için tehlike çanlarını çaldırır.

Ancak saldırganlar buna da bir çözüm buldular: E-postaları güvenilen bir varlık adına gönderiyorlar. Uçtan uca e-posta bülteni yönetimi sağlayan e-posta pazarlama hizmetleri, bu rol için biçilmiş kaftan. Bu hizmetler tanınıyor; birçok güvenlik çözümü satıcısı, IP adreslerine varsayılan olarak izin veriyor; hatta bazıları bu hizmetlerden gönderilen e-postaların kontrollerini atlıyor.

ESP’ler nasıl kötüye kullanılıyor?

Ana saldırı vektörü açık: Meşru bir e-posta görünümünde kimlik avı. Siber suçlular, genellikle en düşük abonelik paketini satın alarak hedef hizmetin müşterisi haline geliyorlar (özellikle hızlı bir şekilde tespit edilip engellenebilecekleri düşünüldüğünde, daha yüksek bir abonelik paketi satın almaları mantıksız).

Ancak daha egzotik bir seçenek daha var: ESP’yi bir URL ana bilgisayarı olarak kullanmak. Bu planda e-posta bülteni saldırganların kendi altyapısı üzerinden gönderiliyor. Örneğin, siber suçlular bir kimlik avı URL’i içeren bir test kampanyası oluşturup bunu önizleme olarak kendilerine gönderebiliyorlar. ESP bu URL için bir proxy oluşturuyor; ardından siber suçlular kimlik avı bültenleri için proxy URL’ini alıyorlar. Dolandırıcılar için başka bir seçenek de e-posta şablonu gibi görünen bir kimlik avı sitesi oluşturup doğrudan bu siteye bir bağlantı vermek. Ama bu daha seyrek görülüyor.

Her iki durumda da, yeni proxy URL’i artık olumlu bir itibara sahip olduğu için engellenmiyor; postayla ilgilenmeyen ESP de yanlış bir şey görmüyor ve “müşterisini” engellemiyor. Ta ki şikayet almaya başlayıncaya kadar… Bazen bu tür planlar hedef odaklı kimlik avlarında bile kullanılabiliyor.

ESP’ler ne düşünüyor?

Beklendiği üzere ESP’ler siber suçlular için araç olma konusunda hiç de hevesli değil. Çoğu, sunucularından geçen ileti içeriğini ve bağlantıları tarayan kendi güvenlik teknolojilerine sahip ve neredeyse tümü, kimlik avı ile karşılaşan herkese internet siteleri aracılığıyla rehberlik sağlıyor.

Bu nedenle saldırganlar, ESP’leri de alarma geçirmemeye çalışıyor. Örneğin, proxy’ler için bir sağlayıcı kullanmak, kimlik avı bağlantılarını geciktirme eğilimindedir; bu nedenle oluşturma sırasında test iletilerindeki bağlantılar meşru görünür, ancak daha sonra kötü amaçlı hale gelirler.

Ne yapılmalı?

Toplu postalar çoğunlukla adresleri herkese açık olan şirket çalışanlarına gönderilir. En dikkatli olanlarımız bile ara sıra şüpheli veya kötü amaçlı bir e-postayı gözden kaçırıp tıklamamamız gereken bir şeye tıklayabilir. Çalışanları e-posta pazarlama hizmetinden gelebilecek olası kimlik avı saldırılarına karşı korumak için aşağıdakileri öneriyoruz:

Çalışanlara, söz konusu özel posta listesine abone olmadıkları sürece “toplu posta” olarak işaretlenmiş e-postaları asla açmamalarını söyleyin. Bu tür mesajların acil bir öneme sahip olma olasılığı düşüktür; genellikle en iyi ihtimalle istenmeyen reklamlardır.
Sezgisel algoritmalar kullanarak tüm gelen e-postaları kapsamlı bir şekilde tarayan sağlam güvenlik çözümleri kullanın.

Kaspersky Security for Microsoft Office 365 ve Kaspersky Total Security for Business‘ın bir parçası olan Kaspersky Security for Mail Server, çözümlerimiz arasında yer alıyor. Kullanıcıları bu tehdide karşı güvenilir bir şekilde koruyorlar.

GReAT, AMA (Bize İstediğinizi Sorun) 2.0

Kaspersky’nin Global Araştırma ve Analiz Ekibi, Bana İstediğini Sor (Ask Me Anything) forumu için 12 Kasım’da Reddit’te.

Gizlilik ve Çocuklar

Hedeflenen Güvenlik Çözümleri

E-posta pazarlama hizmetleri aracılığıyla kimlik avı

ESP tabanlı kimlik avı neden işe yarıyor?

ESP’ler nasıl kötüye kullanılıyor?

ESP’ler ne düşünüyor?

Ne yapılmalı?

Kimlik avı kokuyor: güvenli işaretlenmiş e-postalar

Wise kullanıcılarına yönelik kimlik avı

GReAT, AMA (Bize İstediğinizi Sorun) 2.0

İpuçları

Akılcı bir yol: çocuklarınızın ilk cihazı için ebeveyn rehberi

Çocukların ilk cihazı için ebeveyn kontrol listesi

Kaspersky’ye geçiş: adım adım geçiş kılavuzu

Patron mu, dolandırıcı mı? Patronunuzdan gelen emirler gibi gösterilen dolandırıcılık

Başlıklarımızı gelen kutunuza almak için kaydolun

Ev Çözümleri

Küçük Ölçekli İşletme Ürünleri

Orta Ölçekli İşletme Ürünleri

Kurumsal Çözümler

Securelist

Eugene Personal Blog