Siber suçlara hizmet eden takip pikseli

Siber suçlular bilgi toplamak için pazarlama aracını seçtiler.

Saldırganlar, iş e-postası dolandırıcılığı saldırılarını (BEC’ler) tasarlamak için özenli bir ön çalışma yapma eğilimindedir. Para transferi yapmaya veya gizli bilgi paylaşmaya yetkili biri gibi davrandıklarında, gönderdikleri mesajlarının mümkün olduğunca meşru görünmesi gerekir. Ayrıntılar önemlidir.

Kısa bir süre önce, bir sohbet başlatmak üzere bir şirket çalışanına gönderilen ilginç bir e-posta örneğini elimize geçti.

Metin, söz konusu e-posta türü için oldukça sıradandı. Saldırgan, bir toplantıda olduğunu, dolayısıyla diğer iletişim araçlarıyla iletişim kurmanın o sırada uygun olmadığını açıkça belirtiyordu. Bunu, alıcının e-postadaki imzada görünen kişiyle, görüştüğü kişinin aynı olup olmadığını kontrol etmesinden vazgeçirmek için yaparlar. Saldırganların e-posta adresinin herkese açık bir e-posta hizmetinden gönderildiği gerçeğini gizlemeye çalışmamaları, taklit ettikleri kişinin bu e-posta hizmetini kullandığını bilmelerinden ya da şirketin üçüncü taraf bir e-posta hizmetini kullanan kişilerle iş görüşmesi yapmasının normal karşılanacağını beklemesinden kaynaklanıyordu.

Yine de dikkatimizi çeken başka bir şey vardı: “iPhone’umdan gönderildi” imzası. Bu imza, iOS Mail’de giden mesajlar için otomatik oluşturulur ancak teknik detaylar, e-postanın web arayüzü üzerinden ve spesifik olarak Mozilla tarayıcısından gönderildiğini gösteriyordu.

Saldırganlar neden e-postanın bir Apple telefonundan gönderilmiş gibi görünmesini sağlamaya çalışmıştı? Otomatik imza, mesajın saygın görünmesi için eklenmiş olabilir. Yine de bu kullanılan en zekice numara değil. BEC saldırıları çoğunlukla bir iş arkadaşından geliyor gibi görünür ve bu durumda alıcının o kişinin ne tür bir cihaz kullandığını bilmesi ihtimali yüksektir.

Yani suçlular ne yaptıklarını biliyor olmalı. Ama bunu nasıl bilebilirler? Aslında bu zor değil. Tek gereken, web işaretçisi olarak da bilinen sözde takip pikseli kullanarak biraz keşif yapmaktır.

Takip pikseli nedir ve neden kullanılır?

Genel olarak, müşterilere, ortaklara veya okuyuculara toplu e-posta gönderen şirketler — yani hemen hemen her şirket — elde ettikleri etkileşim düzeyini bilmek ister. Teoride, e-postanın okunduğu bilgisini göndermek için yerleşik bir seçeneği vardır ancak bunun için alıcılar, ki çoğu insan bunu yapmaz, bu seçeneğin kullanımına izin vermelidir. Bu nedenle, akıllı pazarlamacılar takip pikselini buldular.

İzleme pikseli, küçücük bir imajdır. Sadece 1×1 piksel boyutundadır, gözle görülemez ve bir web sitesinde bulunur; bu nedenle bir e-posta istemcisi uygulaması görüntüyü açmak istediğinde, siteyi kontrol eden gönderici, alıcı cihazın IP adresi, e-postanın açıldığı saat ve onu açmak için kullanılan programla ilgili bilgilerle birlikte e-postanın açıldığına dair teyit alır. E-posta istemcinizin, resimleri indirmek için bir bağlantıya tıklayana kadar onları göstermediğini hiç fark ettiniz mi? Bu, performansı artırmak veya trafiği kısıtlamak için değildir. Aslında otomatik görüntü indirme seçeneği genellikle güvenlik sebebiyle varsayılan olarak kapatılıdır.

Bir siber suçlu takip pikselinden nasıl yararlanabilir?

İşte size bir senaryo: Yurtdışı seyahatinizde, iş e-posta adresinize işinizle ilgili gibi görünen bir mesaj alıyorsunuz. Bunun sadece istenmeyen bir talep olduğunu anladığınız anda kapatır ve silersiniz, ancak bu arada saldırgan şunları öğrenir:

  • IP adresinize göre başka bir ülkedesiniz. Bu, iş arkadaşlarınızla olan kişisel iletişiminizin görece daha zor olduğu anlamına gelir. Böylece taklit edilmesi uygun bir kişi olabilirsiniz;
  • Bir iPhone kullanıyorsunuz (mesajı Mail for iOS uygulaması ile açtınız), bu nedenle bir “iPhone’umdan gönderildi” imzası eklemek, sahte e-postaya güvenilirlik katacaktır;
  • E-postayı sabah 11’de okudunuz. Bunun tek başına bir önemi yoktur, ancak mesajları düzenli olarak alıyorsanız, siber suçlular programınızı ve müsait olmadığınız bir döneme denk gelen bir saldırının zamanını belirleyebilir.

Bu tahminleri nasıl etkisiz hale getirebilirsiniz?

Takip edilmeyi engellemeniz zordur. Yine de bu, siber suçluların hayatlarını kolaylaştırmanız gerektiği anlamına gelmez. Şu ipuçlarına dikkat etmenizi öneririz:

  • E-posta istemciniz size “resimleri indirmek için buraya tıklayın” uyarısı veriyorsa bu, görsel içeriğin gizlilik nedeniyle engellendiği anlamına gelir. İzin vermeden önce düşünün. E-posta, resimler olmadan çirkin görünebilir ancak bunları indirmek için onay vererek kendiniz ve cihazınız hakkında yabancılara bilgi sağlarsınız.
  • Spam klasörünüze düşen e-postayı açmayın. Modern spam filtreleri, özellikle e-posta sunucunuz teknolojimiz tarafından korunuyorsa son derece yüksek bir doğruluk düzeyine sahiptir;
  • Toplu gönderilen B2B e-postalarına dikkat edin. Bir şirketin güncellemelerine isteyerek abone olmanızla, bilmediğiniz bir şirketten bilmediğiniz sebeplerle bir e-posta gelmesi çok farklı şeylerdir. İkincisi söz konusuysa, mesajı açmamanız önerilir,
  • Kurumsal e-postanızı korumak için gelişmiş spam ve kimlik avı önleme teknolojilerine sahip sağlam çözümler kullanın.

Hem Kaspersky Total Security for Business (Kaspersky Security for Microsoft Exchange Servers, Kaspersky Security for Linux Mail Server ve Kaspersky Secure Mail Gateway bileşenleri) hem de Kaspersky Security for Microsoft Office 365 spam önleme ve kimlik avı önleme teknolojimize sahiptir.

İpuçları