Meşru Dropbox Sayfaları Yoluyla Kimlik Bilgilerini Çalmak

selen guvenc
Ekim 11, 2023
  • 2281

Popüler dosya paylaşım hizmeti Dropbox dünya çapında kullanılıyor. Siber suçlular, bunu kimlik avı malzemesi barındıran belgeler oluşturmak için kullanabileceklerini anladılar. 

Birisi ücretsiz bir Dropbox hesabı oluşturuyor. Daha sonra bir belge oluşturup onu bir iş arkadaşı veya arkadaşıyla paylaşırlar. Alıcı, doğrudan Dropbox'tan, birinin bir tıklamayla yorum veya yanıt bekleyen bir içerik paylaştığını belirten bir bildirim alır.

E-posta doğrudan Dropbox'tan gelir ve yasaldır. Alıcının e-posta güvenlik hizmeti, yasal olarak Dropbox'tan geldiği için bunu engellemez ve engellememelidir. E-postadaki bağlantıya tıklandığında bir Dropbox sayfasına yönlendirilir. Bu sayfa aynı zamanda meşrudur; bir Dropbox sayfasıdır ve sahtekarlık yoktur.

Ancak bu sayfanın içine, alıcıyı, kimlik bilgilerini çalmak üzere tasarlanmış harici bir sayfaya yönlendiren bir bağlantı yerleştirilmiştir. 

Bu, bilgisayar korsanlarının devam eden değişimini temsil ediyor. Artık bilgisayar korsanlarının meşru siteleri taklit etmesi gerekmiyor. Aslında tek yapmaları gereken Dropbox gibi meşru bir sitede ücretsiz bir hesaba kaydolmaktı. Kodlama deneyimi gerekmez. Burada marka taklidi de yoktur, her şey normaldir.

Dropbox burada saldırıya uğramıyor veya istismar edilmiyor. Bunun yerine, bilgisayar korsanları ücretsiz Dropbox hesapları oluşturuyor ve ardından bu sayfaya kötü amaçlı içerik yerleştiriyor. Alıcının e-posta güvenlik hizmeti onu engellemez ve son kullanıcılar bunun şüpheli olduğunu düşünmez. Çünkü değil!

Bağlantıya tıkladıklarında bu da güvenli bir Dropbox sayfasına yönlendiriliyor. Tehlike ancak Dropbox sayfasındaki bağlantıya tıkladıklarında ortaya çıkıyor ve sonrası artık çok geç. 

Bu, bilgisayar korsanlarının BEC 3.0 dediğimiz yeni bir yöntemidir. Bu, Ticari E-posta Güvenliği Saldırılarının üçüncü evrimidir. Artık bilgisayar korsanları, CEO'ları veya iş ortaklarını yanıltmak yerine doğrudan yasal hizmetlerden e-posta göndererek zamandan, paradan ve güçlükten tasarruf edebiliyor ve bunları geniş ölçekte dağıtabiliyor. 

Bu saldırılar artıyor ve bilgisayar korsanları Google, Dropbox, QuickBooks, PayPal ve daha fazlası gibi favori üretkenlik sitelerinizin tümünü kullanıyor. 

Bu, gördüğümüz en akıllıca yeniliklerden biri ve bu saldırının şu ana kadarki boyutu göz önüne alındığında, en popüler ve etkili olanlardan biri. 

Saldırı 

Bu saldırıda bilgisayar korsanları, kimlik bilgisi toplama sitelerini barındırmak için Dropbox belgelerini kullanıyor. 

Vektör: E-posta 

Tür: BEC 3.0 

Teknikler: Sosyal Mühendislik, Kimlik Bilgisi Toplama 

Hedef: Herhangi bir son kullanıcı 

E-posta Örneği 

Bu saldırı doğrudan Dropbox'tan gelen bir e-postayla başlıyor. 


Bu, herkesin Dropbox'tan alacağı ve görüntülenecek bir belge olduğunu bildiren standart bir e-postadır. 

Kullanıcı buradan meşru bir Dropbox sayfasına yönlendirilir:


İçerik OneDrive benzeri bir sayfaya ait olsa da URL, Dropbox'ta barındırılıyor. 
“Belge Al” butonuna tıkladığınızda kullanıcı bu son sayfaya yönlendirilir. Burası kimlik bilgisi toplama sayfasıdır. 


Bu, Dropbox dışında barındırılan ve tehdit aktörlerinin kimlik bilgilerinizi çalmak için tıklamanızı istediği sayfadır.

Teknikler 

Ticari E-posta Güvenliği oldukça hızlı bir evrim geçirdi. 
Sadece birkaç yıl önce sözde "Hediye kartı" dolandırıcılıkları hakkında yazılar bulunmakta idi.

Bunlar, bir CEO veya yöneticiden geliyormuş gibi görünen ve astlarından "hediye kartları" satın almasını isteyen e-postalardı. 

Buradaki fikir, bilgisayar korsanlarının hediye kartlarını kişisel kazanç için kullanmasıdır. Bu e-postalar genellikle sahte Gmail adreslerinden geliyordu; CEO@company.com değil, CEO@gmail.com adresini düşünün. 

Ayrıca alan adlarının ve iş ortaklarının kimliğine bürünüldüğünü de görebiliriz, bunlar her zaman sahtekarlıktı, gerçek olay bu değildi. 

Bir sonraki evrim, güvenliği ihlal edilmiş hesaplardan geldi. Bu, finans sektöründen biri gibi güvenliği ihlal edilmiş bir dahili kullanıcı veya hatta güvenliği ihlal edilmiş bir iş ortağı kullanıcısı olacak şekilde tasarlanıyordu. Bu saldırılar meşru bir adresten geldiği için daha da yanıltıcıdır. 

Ancak sahte bir O365 giriş sayfasına giden bir bağlantı veya NLP (Natural Language Processing - Doğal Dil İşleme) 'nin anlayabileceği yapmacık bir dil görebilirsiniz. 

Artık meşru hizmetlerden gelen saldırılar olan BEC 3.0'a sahibiz. NLP burada işe yaramaz; dil doğrudan meşru hizmetlerden gelir ve hiçbir şey ters değildir. 

Kullanıcıyı meşru bir Dropbox'a veya başka bir siteye yönlendireceği için URL taraması da çalışmayacaktır. 

Bu saldırıların durdurulması ve tanımlanması hem güvenlik hizmetleri hem de son kullanıcılar açısından inanılmaz derecede zordur. 

Eğitimle başlamak çok önemlidir. Son kullanıcıların kendilerine şu soruyu sormaları gerekir: Bu kişinin bana belge gönderdiğini tanıyor muyum? Belgeye tıklasanız bile bir sonraki soru şu: Dropbox belgesindeki OneDrive sayfası mantıklı mı? 


Gelişmelerimizden haberdar olmak ve fırsatlarımızdan faydalanmak için; bültenimize abone olmayı ve bizi takip etmeyi unutmayın!


İlgili İçerik
Duyurular

LinkedIn'de Doğru Hedefleme Stratejileri ve Reklam Formatları

Bu haftaki programda Dijital Metrikler firmasının kurucu ortağı olan Müge Evşen ile LinkedIn’de doğru hedefleme stratejileri ve reklam formatları hakkında sohbet edecek, sizlerden gelen soruları cevaplandıracağız.

selen guvenc Kasım 28

Nöropazarlamayla Duygulara Fısılda

Yeni sezonunun ikinci webinarı olan "Nöropazarlamayla Duygulara Fısılda" konulu webinarımız,15 Kasım Cuma Günü gerçekleşecek.

selen guvenc Kasım 11

Black Friday 2024: Satın Alma Eğilimleri ve Satış Tahminleri

Black Friday 2024 yılı için yapılan tahminler, küresel çapta ve Türkiye özelinde tüketici davranışlarının dijitalleşme, mobil alışveriş ve sürdürülebilirlik gibi trendlerle şekillendiğini ortaya koyuyor.

selen guvenc Kasım 8

Google'ın Yeni CrUX Vis Aracı ile Performans Analizi ve Core Web Vitals Optimizasyonu

Google, kullanıcı deneyimi performansını izleme ve geliştirme konularında devrim niteliğinde bir araç olan CrUX Vis’i tanıttı.

selen guvenc Kasım 8

Mobildev ile Black Friday Döneminde Etkili SMS Kampanyaları: Müşterilerinizle Güçlü Bağlantılar Kurun

Black Friday döneminde tüketicilerin dikkati birçok kanal tarafından çekilmeye çalışılırken, markaların öne çıkmak ve müşterileriyle etkili bir bağ kurmak için doğru iletişim stratejilerini kullanmaları gerekiyor.

selen guvenc Kasım 8

Ticimax E-Ticaret Sohbetleri'nin Kayseri Etkinliğinde Buluşuyoruz!

19 Kasım Salı Günü Kayseri’de düzenlenecek olan ‘E-Ticarette Başarılı Olmanın Yolları’ konulu etkinlikte, şirketimizin Satış ve Pazarlama Müdürü Vedat Aybar, SMS Pazarlama ve İzin Yönetimine dair bilgi ve tecrübelerini sizlerle paylaşacak.

selen guvenc Kasım 8

Bültene Üye Ol

İşinizi geliştirmenize katkı sağlayacak, başarılı örnekleri, sektörel gelişmeleri ve kampanyaları kaçırmayın.