Kaspersky uzmanlarına göre, 2022’den beri dolandırıcılar, e-posta kimlik avı saldırıları için Gezegenler Arası Dosya Sistemini (IPFS) aktif olarak kullanmaya başlarken, bu yıldan itibaren IPFS kimlik avı saldırılarının ölçeği büyüdü.
Kaspersky’nin açıklamasına göre siber dolandırıcılar, saldırılarında merkezi olmayan bir belge sistemi kullanarak “gezegenler arası” hale geldi.
Kaspersky uzmanları, siber suçluların e-posta kimlik avı saldırılarında Gezegenler Arası Dosya Sistemini (IPFS) nasıl kullandıklarını keşfetti.
IPFS, dünyanın her yerindeki kullanıcıların dosya alışverişinde bulunmasına izin veren dağıtılmış bir dosya sistemi olarak bilinse de, merkezi dosya sistemlerinin aksine IPFS, dosya yolları yerine benzersiz içerik tanımlayıcılarına (CID) dayalı adresleme kullanır.
Bu teknikte, dosyanın kendisi, onu IPFS’ye “yükleyen” kullanıcının bilgisayarında bulunur ve doğrudan o bilgisayardan indirilir.
Normalde, bir dosyayı IPFS’ye yüklemek veya indirmek için özel yazılım (IPFS istemcisi) kullanmak gerekir. Ancak özel ağ geçitleri sayesinde kullanıcılar herhangi bir yazılım yüklemeden IPFS’deki belgeleri özgürce görüntüleyebilirler.
2022’de dolandırıcılar, e-posta kimlik avı saldırıları için IPFS’yi aktif olarak kullanmaya başladı. Bu teknikte phishing formu içeren HTML dökümanları IPFS içerisine yerleştirilmekte ve proxy olarak ağ geçitleri kullanılmaktadır.
Böylece kurbanlar, cihazlarında bir IPFS istemcisi çalıştırsalar da çalıştırmasalar da belgeyi açabilirler. Dolandırıcılar, kurbanlara gönderilen kimlik avı mesajlarına ağ geçidi aracılığıyla belge erişim kişilerini de dahil eder.
Saldırılara karşı bu merkezi olmayan, dağıtılmış belge sistemini kullanmak, saldırganların bir kimlik avı sayfası barındırma konusunda tasarruf etmelerini sağlar.
Ayrıca üçüncü kişiler tarafından yüklenen belgelerin IPFS’den silinmesi mümkün değildir. Birisi bir belgenin sistemden tamamen kaybolmasını istiyorsa, belge sahibi onu bilgisayarından silmeye teşvik etmelidir. Ancak bu formül siber hatalar söz konusu olduğunda çok gerçekçi değil.
IPFS ağ geçidi sağlayıcıları, alternatif olarak geçersiz belgelerle olan ilişkilendirmeleri düzenli olarak silerek IPFS kimlik avı ile başa çıkmaya çalışır.
Ancak, ağ geçidi düzeyinde kişileri tespit etme ve silme işlemi her zaman bir kimlik avı web sitesini, bulut formunu veya belgeyi engellemek kadar hızlı değildir.
IPFS belgelerinin URL adresleri ilk olarak Ekim 2022’de ortaya çıktı
Verilen bilgilere göre IPFS dosyalarının URL adresleri ilk olarak Ekim 2022’de ortaya çıktı. Şimdilik bu kampanya devam ediyor ve adresler Kaspersky tarafından engelleniyor.
IPFS bağlantılarını içeren kimlik avı mesajları da tamamen yeni görünmekle birlikte, hepsi kurbanın hesap oturum açma bilgilerini ve parolasını ele geçirmeyi amaçlayan tipik kimlik avı mesajları içerir. Bu teknikte farklı olan tek şey, HTML sayfası ilişkilerinin nereye gittiğidir.
URL parametresi, alıcının e-posta adresini içerir. Değiştirildiğinde, oltalama formunun üst kısmında yer alan kurumsal logo ve giriş alanına girilen e-posta adresi de değişir. Bu sayede tek bir kişi, farklı kullanıcıları hedef alan çeşitli, hatta bazen onlarca phishing kampanyalarında kullanılabilir.
Şubat, IPFS kimlik avı etkinlikleri için en yoğun ay oldu
Kaspersky, 2022’nin sonlarına doğru bazı durumlarda günde 15.000’e ulaşan IPFS kimlik avı trafiğini gözlemledi. Bu yıldan itibaren IPFS kimlik avı saldırılarının ölçeği artmaya başladı ve Ocak ve Şubat aylarında günde 24.000 iletinin üzerine ulaştı.
Şubat, IPFS kimlik avı için en yoğun ay oldu. Araştırmacılar yalnızca bu ay yaklaşık 400.000 mesaj gözlemledi. Bu, Kasım ve Aralık 2022’ye kıyasla 100.000’lik bir artışa karşılık geliyor.
Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Uzmanı Roman Dedenok şunları söyledi:
“Saldırganlar kar elde etmek için en son teknolojileri kullandı ve kullanmaya devam edecek. Son zamanlarda, hem büyük hem de spekülatif IPFS kimlik avı saldırılarının sayısında bir artış görüyoruz. Dağıtılmış evrak sistemi, dolandırıcıların alan adından tasarruf etmelerini sağlar. Üstelik bu teknikle bir belgeyi tamamen silmek çok kolay. Ancak IPFS ağ geçidi düzeyinde kimlik avı girişimlerinde bazı girişimler var. İyi haber şu ki, anti-spam analizleri, IPFS’deki kimlik avı belgelerine yönelik bağlantıları, tıpkı diğer kimlik avı iletişim kişileri gibi algılayabilir ve engelleyebilir. Bunu tespit etmek için bir dizi buluşsal prosedür kullanıyoruz.”
“Kaspersky Endpoint Security for Business gibi kimlik avına karşı koruma özelliklerine sahip bir savunma çözümü kullanın”
Bireyleri ve şirketleri spam e-posta kampanyalarından korumak için Kaspersky şunları önerir:
“Personelinize temel siber güvenlik hijyeni konusunda eğitim verin. Kimlik avı e-postalarını nasıl tespit edeceklerini bildiklerinden emin olmak için simüle kimlik avı saldırıları düzenleyin. Kimlik avı e-postaları, uç noktalarda ve posta sunucularında Kaspersky Endpoint Security for Business gibi kimliklerin bulaşma olasılığını azaltmak için “Bir kimlik avına karşı koruma özelliklerine sahip çevreleme çözümü. Bir Microsoft 365 bulut hizmeti kullanıyorsanız onu da savunmayı unutmayın. Kaspersky Security for Microsoft Office 365, spam ve kimlik avına karşı korumanın yanı sıra güvenli bir iş bağlantısı için SharePoint, Teams ve OneDrive uygulamalarını içerir.”
