Siber güvenlik şirketi Cyberwise’ın güvenlik uzmanları son dönemde oltalama amaçlı e-postaların arttığını ifade ederek uyardı: “Yakın zamanda Proxy Tabanlı oltalama saldırılarında yeniden bir yükseliş gözlemliyoruz. Ancak bu dönemde tehdit aktörleri finansal varlıklara veya hassas bilgilere erişimi olan personele odaklanmış durumdalar. Son dönemde en çok saldırıya uğrayanların Üst Düzey Yönetici, Finans Direktörü ve Yönetici Yardımcısı rollerini üstlendiğini görüyoruz. Dolayısıyla kurumlarda tüm rollerin bu saldırılara karşı dikkatli olması hayati öneme sahip.”
İnsan faktörü, her kurumun en zayıf güvenlik halkası olmaya devam ederken, siber saldırganlar oltalama saldırılarıyla bu zayıf halkayı hedef almaya devam ediyor. ProofPoint araştırmasına göre, son dönemde güvenliği ihlal edilmiş kullanıcılar yaygın olarak Üst Düzey Yönetici, Finans Direktörü ve Yönetici Yardımcısı gibi yönetici pozisyonlarında görevlere sahip. Tehdit aktörleri, kurumlardaki tüm çalışanlara yönelik saldırılar düzenlese de son dönemde odaklarını finansal varlıklara veya hassas bilgilere erişimi olan personele kaydırmış durumdalar. Saldırganların oluşturdukları vekil sunuculardan faydalandıklarını ifade eden Cyberwise uzmanları, saldırganların böylece gerçek erişim sayfaları arasındaki trafiği izleyip, modifiye ederek erişim ve bilgi sızıntısı hedeflerine ulaşabildiğini aktardı.
Son dönemde yükselişte olan saldırı konseptinin MitM (man-in-the-middle) konseptine benzerliğiyle dikkat çektiğinin altını çizen Cyberwise CTI ekibi şunları aktardı: “Gerçek sayfa ile aynı zamanlı iletişim gerçekleştiğinden çoklu kimlik doğrulama gibi önlemler de etkisiz kalıyor. Bu saldırılarda aktörlerin, yük dengeleme sistemlerinde de kullanılan reverse proxy teknolojilerini kendi saldırılarında kullanmaya başladığı görülüyor.”
Oltalama amaçlı saldırılarda, kullanılan altyapılar genellikle başka kurbanların altyapılarından oluşuyor. Cyberwise CTI ekibi bunu şu şekilde açıklıyor: “Saldırganlar, teknik altyapıyı ve oltalama amaçlı e-posta servisleri başka tehdit aktörleri tarafından pazarlanan servisleri kullanmak yoluyla elde edebiliyorlar. Bu durum saldırı sonrası yapılan çalışmalarda geriye takibi ve tehdit aktörünün kimliğinin tespitini zorlaştırıyor. Bu servislerden bazıları oltalama kurbanının, organizasyondaki yerine göre önem seviyesini de ilişkilendirerek, servis kullanıcısını yönlendirebiliyor, böylece saldırganlar daha hedef odaklı bir şekilde saldırılarını gerçekleştirebiliyorlar.”
Cyberwise CTI ekibi, son olarak güvenlik uzmanlarına şu ipuçlarını veriyor:
- Kurumda yöneticiler dahil olmak üzere, her düzeydeki personel için farkındalık eğitimlerinin ve gerçekçi tatbikatlar gerçekleştirin ve bunu düzenli aralıklarla tekrarlayın
- Masa başı tatbikatları ve fidyeyazılım simülasyonları ile ekiplerin bu tip saldırılara karşı hazırlık seviyelerini ölçün ve geliştirin
- Saldırı öncesi önlem ve saldırı sonrası tespit amaçlı veri akışı için siber tehdit istihbaratı sağlanması önemli, bununla ilgili gerekli önlemleri alın
- Yerinde ya da bulut sistemleri fark etmeksizin, kullanılan tüm uygulamaların ayar ve kural değişikliklerinin takibini ve uygulama erişim günlüklerinin takibini mutlaka yapın
- Zararlı yazılımların etkilerini azaltmak için EDR çözümlerinden faydalanın
- Çok faktörlü doğrulama (MFA) halen en basit ve ucuz önlemlerden birisi, MFA kullanımını tüm erişilebilir servislere yaygınlaştırın
- E-posta güvenliği için DMARC-SPF-DKIM mekanizmalarını doğru biçimde yapılandırın
- Olay müdahale harekat planlarını oluşturun, bulut sistemlerde olay müdahale süreçlerini geliştirirken servis sağlayıcıların kılavuzlarını da dikkate alın.