Kimlik avının etkinliği, onu siber suçlular tarafından kullanılan yaygın bir saldırı yöntemi haline getirir. Kimlik avının arkasındaki kavram basittir: Şüphelenmeyen bir kurbanı bir dosyayı indirmeye çekmek veya kurbanı bir bağlantıya tıklamaya ikna etmek için meşru bir web sitesi gibi davranmak - ancak şimdi siber suçlular tarafından kullanılan stratejiler giderek daha karmaşık hale geliyor. Araştırmacılar, benzersiz oturum açma özelliklerine sahip kimlik avı web sayfalarını ararken, tespit edilen kimlik avı saldırılarından kaçınmak için bir gizleme yöntemi olarak SingleFile adlı yasal bir aracın kullanıldığını keşfettiler.
SingleFile, kullanıcıların web sayfalarını tek bir HTML dosyası olarak kaydetmelerine olanak tanıyan, Google Chrome ve Mozilla Firefox için bir web uzantısıdır. Web tarayıcıları kullanıcıların sayfaları ".htm" belgeleri olarak kaydetmelerine izin verse de, web sayfalarında kullanılan farklı dosyalar için farklı klasörler vardır. Sayfanın tamamı, tüm CSS ve resimler vb. Dahil olmak üzere bir HTML dosyasına kaydedilebilir, böylece kullanıcılar bir HTML belgesinde bile içeriğin tamamına göz atabilir. Bununla birlikte, araştırmacılar kimlik avı saldırılarını gizlemek için SingleFile'ı kötüye kullandıklarını fark ettikleri için saldırganlar için de yararlıdır.
SingleFile for Chrome için araç seçenekleriÖrneğe dayanarak, araştırmacılar, siber suçluların bir kimlik avı kampanyasının parçası olarak meşru bir web sitesinin giriş sayfasını kopyalamak için SingleFile kullanabileceğini buldu. Giriş sayfasını oluşturma yöntemi çok basittir:
Saldırgan, saldırıya uğrayacak web sitesinin giriş sayfasını ziyaret eder (araştırmacı tarafından bulunan örnek, ödeme işleme web sitesi Stripe'dir). Ardından, resimler dahil (svg dosyaları olarak kaydedilir) tüm sayfayı içeren bir dosyayı kaydetmek ve oluşturmak için SingleFile kullanırlar.
Yöntem basit olsa da, aldatma yöntemi çok etkili görünmektedir çünkü aslında yasal oturum açma sayfasının bir kopyasını oluşturur.
Orijinal web sayfası ile sahte web sayfasının karşılaştırılması (tek bariz fark URL'dir) Base64 kodlaması kullanılarak .svg dosyası olarak kaydedilen resim koduBir kimlik avı oturum açma sayfası oluşturmak için SingleFile kullanmak, kimlik avı saldırılarını gizlemede çok etkilidir çünkü diğer gizleme yöntemlerinin aksine, oluşturulan kimlik avı sayfası oturum açma formu HTML kodunu ve orijinal oturum açma sayfası tarafından kullanılan JavaScript'i statik algılama araçlarından gizler. Sahte oturum açma sayfasında görüntülenen URL, orijinal web sayfasından tamamen farklı ve bulunması kolay olsa da, daha güçlü saldırganlar, potansiyel kurbanları daha ikna edici hale getirmek için daha makul bir URL kullanabilir.
Bu saldırılar, 27 Şubat 2019'da e-posta kampanyasının başlaması ve araştırmacılar tarafından bulunan örneklerin 10 Şubat 2019'da saldırgan tarafından kurtarılması nedeniyle son zamanlarda meydana geldi.
Kimlik avı sayfasının kaynak kodu SingleFile tarafından oluşturulur. Lütfen sayfa kaydetme tarihini ve saat dilimini kodda bulabileceğinizi unutmayın. Lütfen buradaki SingleFile'ın kötü amaçlı kullanılmasına rağmen, yine de güvenli bir yazılım olduğunu unutmayın.
Öneriler ve çözümler
Kimlik avı saldırılarını önleme yöntemlerinde ısrar ederek, kişiler ve kuruluşlar bu saldırı tehdidini en aza indirebilir. Bunlar aşağıdakileri içerir:
Olağandışı bir URL'ye sahip herhangi bir web sitesi kötü amaçlı olabilir, çünkü çoğu şirket web sitesi kendi adını veya markasını taşır.
Bazı saldırganlar tarafından oluşturulan URL, resmi web sitesinin URL'si ile hemen hemen aynı görünür, ancak bazı küçük farklılıklar vardır. Bu nedenle, kullanıcılar ziyaret ettikleri web sitelerinin URL'lerini dikkatlice kontrol etmelidir.
Web sitesindeki bağlantılara kolayca tıklamayın ve e-postadaki ekleri kolayca indirmeyin.
Yazar: Gump, http: //www.mottoin.com/detail/3844.html adresinden yeniden üretilmiştir.