Siber dolandırıcılar saldırıları 'Gezegenler arası' hale getirdi

Kaspersky uzmanları, siber suçluların e-posta kimlik avı saldırılarında InterPlanetary File System'i (IPFS) nasıl kullandığını keşfetti. Dolandırıcılar, 2022'nin sonlarından bu yana Web 3.0'ın en ileri teknolojilerinden biri olarak kabul edilen, güvenli, merkezi olmayan ve güvenilir dosya dağıtım yöntemini dünyanın dört bir yanındaki şirketleri hedef almak için kullanıyor. Kaspersky tarafından hazırlanan yeni raporda araştırmacılar, saldırganların web barındırma maliyetlerini düşürmek için kimlik avı HTML dosyalarını IPFS'ye nasıl yerleştirdiğini ortaya koydu. Şubat 2023'te halihazırda devam eden toplu ve hedefli kimlik avı kampanyaları için kullanılan bu yeni tekniğin yer aldığı yaklaşık 400 bin kimlik avı e-postası tespit etti.

IPFS, dünyanın dört bir yanındaki kullanıcıların dosya alışverişi yapmasına olanak tanıyan dağıtık bir dosya sistemine verilen isim. Merkezi dosya sistemlerinin aksine IPFS, dosya yollarına göre değil, benzersiz içerik tanımlayıcılarına (CID) göre yapılan adreslemeyi kullanıyor. Bu teknikte dosyanın kendisi, onu IPFS'ye "yükleyen" kullanıcının bilgisayarında bulunuyor ve doğrudan bu bilgisayardan indiriliyor. Normalde IPFS'ye bir dosya yüklemek veya indirmek için özel bir yazılım (IPFS istemcisi) kullanmak gerekiyor. Bununla birlikte özel ağ geçitleri sayesinde kullanıcıların IPFS'de bulunan dosyaları herhangi bir yazılım yüklemeden serbestçe görüntülemesi sağlayabiliyor.

2022 yılında dolandırıcılar IPFS'yi e-posta kimlik avı saldırıları için aktif olarak kullanmaya başladı. Bu teknikte IPFS'ye kimlik avı formu içeren HTML dosyaları yerleştiriliyor ve ağ geçitlerini proxy olarak kullanılıyor. Böylece kurbanlar cihazlarında bir IPFS istemcisi çalıştırıyor olsalar da olmasalar da dosyayı açabiliyorlar. Dolandırıcılar ayrıca ağ geçidi üzerinden dosya erişim bağlantılarını kurbanlara gönderilen kimlik avı mesajlarına dahil ediyor.

Saldırılardan merkezi olmayan, dağıtık özellikteki bu dosya sisteminin kullanılması saldırganların kimlik avı sayfası barındırma maliyetlerinden tasarruf etmelerini sağlıyor. Bunun yanı sıra üçüncü şahıslar tarafından yüklenen dosyaları IPFS'den silmek mümkün olmuyor. Birisi bir dosyanın sistemden tamamen kaybolmasını istiyorsa dosya sahibinin onu bilgisayarından silmeye teşvik etmesi gerekiyor. Ancak bu yöntem, siber suçlular söz konusu olduğunda pek de gerçekçi değil.

IPFS ağ geçidi sağlayıcıları, alternatif olarak sahte dosyalara giden bağlantıları düzenli olarak silerek IPFS kimlik avı ile mücadele etmeye çalışıyor.

Kimlik avı sayfası silme bildirimi

Ancak ağ geçidi düzeyinde bağlantıların tespiti ve silinmesi işlemi her zaman bir kimlik avı web sitesinin, bulut formunun veya belgenin engellenmesi kadar hızlı gerçekleşmiyor. IPFS dosyalarının URL adresleri ilk olarak Ekim 2022'de ortaya çıktı. Şu an için bu kampanya devam ediyor ve adresler Kaspersky tarafından engelleniyor.

IPFS bağlantıları içeren oltalama mesajları da orijinal olmaktan oldukça uzak. Hepsi kurbanın hesap giriş bilgilerini ve şifresini elde etmeyi amaçlayan tipik oltalama mesajları içeriyorlar. Bu teknikle ilgili ilginç olan tek şey HTML sayfası bağlantılarının nereye gittiği.

Kimlik avı için kullanılan HTML sayfası

URL parametresi alıcının e-posta adresini içeriyor. Değiştirildiğinde, oltalama formunun üstündeki kurumsal logo ve giriş alanına girilen e-posta adresi de değişiyor. Bu şekilde tek bir bağlantı farklı kullanıcıları hedefleyen çeşitli kimlik avı kampanyalarında, hatta bazen düzinelerce kampanyada kullanılabiliyor.

Kaspersky, 2022'nin sonlarına doğru bazı durumlarda günde 15 bine ulaşan IPFS kimlik avı mesaj trafiği gözlemledi. Bu yıldan itibaren de IPFS kimlik avı saldırılarının ölçeği büyümeye başladı ve Ocak ve Şubat aylarında günde 24 binden fazla mesaja ulaştı.

 IPFS kimlik avı saldırılarının sayılarındaki değişim, Kasım 2022 - Şubat 2023.

Şubat ayı IPFS kimlik avı faaliyetleri açısından en yoğun ay oldu. Araştırmacılar yalnızca bu ayda yaklaşık 400 bin mesaj gözlemledi. Bu Kasım ve Aralık 2022'ye kıyasla 100 bin artışa karşılık geliyor.

IPFS kimlik avı mesajlarının aylara göre dağılımı, Kasım 2022 - Şubat 2023

Kaspersky Güvenlik Uzmanı Roman Dedenok, konuyla ilgili şunları söylüyor: "Saldırganlar kâr elde etmek için en son teknolojileri kullandılar ve kullanmaya devam edecekler. Son zamanlarda hem kitlesel hem de hedefli IPFS kimlik avı saldırılarının sayısında bir artış gözlemliyoruz. Dağıtık dosya sistemi, dolandırıcıların alan adından tasarruf etmelerini sağlıyor. Ayrıca bu teknikte bir dosyayı tamamen silmek kolay değil. Ancak IPFS ağ geçidi düzeyinde dolandırıcılıkla mücadele etmeye dair bazı girişimler de mevcut. İyi haber şu ki, anti-spam çözümleri IPFS'deki kimlik avı dosyalarına giden bağlantıları tıpkı diğer kimlik avı bağlantılarında olduğu gibi tespit ederek engelleyebiliyor. Özellikle Kaspersky ürünlerinde IPFS kimlik avını tespit etmek için bir dizi sezgisel yöntem kullanıyoruz."

IPFS kimlik avı saldırıları hakkında daha fazla bilgi için Securelist’e bakabilirsiniz.

Kaspersky, kendinizi ve şirketinizi spam e-posta kampanyalarından korumak için aşağıdakileri öneriyor:

Personelinize temel siber güvenlik hijyeni eğitimi verin. Kimlik avı e-postalarını nasıl ayırt edeceklerini bildiklerinden emin olmak için simüle edilmiş kimlik avı saldırıları düzenleyin
Kimlik avı e-postası yoluyla bulaşma olasılığını azaltmak için uç noktalarda ve posta sunucularında Kaspersky Endpoint Security for Business gibi kimlik avı önleme özelliklerine sahip bir koruma çözümü kullanın.
Microsoft 365 bulut hizmeti kullanıyorsanız, onu da korumayı unutmayın. Kaspersky Security for Microsoft Office 365, güvenli iş iletişimi için SharePoint, Teams ve OneDrive uygulamalarına yönelik korumanın yanı sıra spam ve kimlik avı önleme özelliğine sahiptir.