Kaspersky uzmanları, siber kabahatlilerin e-posta kimlik avı hamlelerinde InterPlanetary File System ’i IPFS nasıl kullandığını keşfetti. Dolandırıcılar, 2022 ’nin sonlarından bu yana Web 3.0 ’ın en ileri teknolojilerinden biri olarak kabul edilen, tehlikesiz, merkezi olmayan ve emin dosya dağıtım yöntemini dünyanın dört bir yanındaki işletmeleri hedef almak için kullanıyor. Kaspersky tarafından hazırlanan yeni raporda tahlilciler, saldırganların web barındırma maliyetlerini düşürmek için kimlik avı HTML dosyalarını IPFS ’ye nasıl yerleştirdiğini ortaya koydu. Şubat 2023 ’te halihazırda devam eden toplu ve hedefli kimlik avı kampanyaları için kullanılan bu yeni tekniğin yer aldığı takribî 400 bin kimlik avı e-postası tespit etti.
IPFS, dünyanın dört bir yanındaki kullanıcıların dosya alışverişi yapmasına imkân tanıyan dağıtık bir dosya sistemine verilen ad. Merkezi dosya sistemlerinin aksine IPFS, dosya yollarına göre değil, eşsiz içerik tanımlayıcılarına CID göre yapılan adreslemeyi kullanıyor. Bu teknikte dosyanın kendisi, onu IPFS ’ye “yükleyen” kullanıcının bilgisayarında bulunuyor ve doğrudan bu bilgisayardan indiriliyor. Sıradanda IPFS ’ye bir dosya yüklemek veya indirmek için özel bir yazılım IPFS istemcisi kullanmak gerekiyor. Bununla beraber özel ağ geçitleri sayesinde kullanıcıların IPFS ’de bulunan dosyaları rastgele bir yazılım yüklemeden hürce görüntülemesi sağlayabiliyor.
2022 senesinde dolandırıcılar IPFS ’yi e-posta kimlik avı atakları için etkin olarak kullanmaya başladı. Bu teknikte IPFS ’ye kimlik avı formu kapsayan HTML dosyaları yerleştiriliyor ve ağ geçitlerini proxy olarak kullanılıyor. Böylece kurbanlar makinelerinde bir IPFS istemcisi çalıştırıyor olsalar da olmasalar da dosyayı açabiliyorlar. Dolandırıcılar ayrıca ağ geçidi üzerinden dosya ulaşım irtibatlarını kurbanlara sevk edilen kimlik avı iletilerine dahil ediyor.
Ataklardan merkezi olmayan, dağıtık özellikteki bu dosya sisteminin kullanılması saldırganların kimlik avı sayfası barındırma maliyetlerinden tasarruf etmelerini sağlıyor. Bunun yanı gizeme üçüncü kişiler tarafından yüklenen dosyaları IPFS ’den silmek olası olmuyor. Birisi bir dosyanın sistemden tamamen kaybolmasını istiyorsa dosya sahibinin onu bilgisayarından silmeye teşvik etmesi gerekiyor. Ancak bu yöntem, siber kabahatliler söz mevzusu olduğunda pek de reelci değil.
IPFS ağ geçidi sağlayıcıları, seçenek olarak sahte dosyalara giden irtibatları kumpaslı olarak silerek IPFS kimlik avı ile çaba etmeye çalışıyor.
Ancak ağ geçidi seviyesinde iletişimlerin tespiti ve silinmesi harekâtı her zaman bir kimlik avı web sitesinin, bulut formunun veya evrakın yasaklanması kadar süratli hakikatleşmiyor. IPFS dosyalarının URL adresleri ilk olarak Ekim 2022 ’de ortaya çıktı. Şu an için bu kampanya devam ediyor ve adresler Kaspersky tarafını yasaklanıyor.
IPFS irtibatları kapsayan oltalama iletileri de orijinal olmaktan oldukça uzak. Hepsi kurbanın hesap giriş bilgilerini ve parolasını elde etmeyi amaçlayan tipik oltalama iletileri kapsıyorlar. Bu teknikle alakalı enteresan olan tek şey HTML sayfası iletişimlerinin nereye gittiği.
URL parametresi akdikeninin e-posta adresini kapsıyor. Değiştirildiğinde, oltalama formunun üstündeki müessesesel logo ve giriş alanına girilen e-posta adresi de değişiyor. Bu biçimde tek bir irtibat değişik kullanıcıları hedefleyen muhtelif kimlik avı kampanyalarında, hatta bazen düzinelerce kampanyada kullanılabiliyor.
Kaspersky, 2022 ’nin sonlarına doğru bazı vaziyetlerde günde 15 bine erişen IPFS kimlik avı ileti trafiği gözlemledi. Bu seneden itibaren de IPFS kimlik avı hamlelerinin ölçeği gelişmeye başladı ve Ocak ve Şubat aylarında günde 24 binden fazla iletiye erişti.
IPFS kimlik avı hamlelerinin sayılarındaki başkalaşım, Kasım 2022 – Şubat 2023.
Şubat ayı IPFS kimlik avı faaliyetleri açısından en yoğun ay oldu. Tahlilciler sadece bu ayda takribî 400 bin ileti gözlemledi. Bu Kasım ve Aralık 2022 ’ye mukayeseyle 100 bin çoğalışa karşılık geliyor.
Kaspersky Güvenlik Uzmanı Roman Dedenok, mevzuyla alakalı şunları söylüyor: “Saldırganlar kâr elde etmek için en son teknolojileri kullandılar ve kullanmaya devam edecekler. Son zamanlarda hem kitlesel hem de hedefli IPFS kimlik avı hamlelerinin sayısında bir çoğalış gözlemliyoruz. Dağıtık dosya sistemi, dolandırıcıların alan isminden tasarruf etmelerini sağlıyor. Ayrıca bu teknikte bir dosyayı tamamen silmek kolay değil. Ancak IPFS ağ geçidi seviyesinde dolandırıcılıkla çaba etmeye dair bazı teşebbüsler de mevcut. İyi haber şu ki, anti-spam çözümleri IPFS ’deki kimlik avı dosyalarına giden irtibatları tıpkı öbür kimlik avı iletişimlerinde olduğu gibi tespit ederek yasaklayabiliyor. Özellikle Kaspersky mahsullerinde IPFS kimlik avını tespit etmek için bir dizi sezgisel yöntem kullanıyoruz.”
IPFS kimlik avı atakları hakkında daha fazla bilgi için Securelist ’e bakabilirsiniz.
Kaspersky, kendinizi ve firmanızı spam e-posta kampanyalarından gözetmek için alttakileri öneriyor:
Personelinize temel siber güvenlik hijyeni eğitimi verin. Kimlik avı e-postalarını nasıl ayırt edeceklerini bildiklerinden emin olmak için simüle edilmiş kimlik avı atakları tertip edin Kimlik avı e-postası yoluyla bulaşma ihtimalini eksiltmek için uç noktalarda ve posta sunucularında Kaspersky Endpoint Security for Business gibi kimlik avı temkine özelliklerine sahip bir koruma çözümü kullanın. Microsoft 365 bulut hizmeti kullanıyorsanız, onu da korumayı unutmayın. Kaspersky Security for Microsoft Office 365, tehlikesiz iş bağlantıyı için SharePoint, Teams ve OneDrive uygulamalarına müteveccih gözetmenin yanı gizeme spam ve kimlik avı temkine özelliğine sahiptir.
Kaynak: BYZHA Beyaz Haber Ajansı