Kaspersky uzmanlarına göre, 2022’den beri dolandırıcılar, e-posta kimlik avı saldırıları için Gezegenler Arası Dosya Sistemini (IPFS) aktif olarak kullanmaya başlarken, bu yıldan itibaren IPFS kimlik avı saldırılarının ölçeği büyüdü.
Kaspersky’nin açıklamasına göre siber dolandırıcılar, saldırılarında merkezi olmayan bir evrak sistemi kullanarak “gezegenler arası” hale geldi.
Kaspersky uzmanları, siber suçluların e-posta kimlik avı baskınlarında Gezegenler Arası Dosya Sistemini (IPFS) nasıl kullandıklarını keşfetti.
IPFS, dünyanın her yerindeki kullanıcıların dosya alışverişinde bulunmasına izin veren dağıtılmış bir dosya sistemi olarak bilinse de, merkezi dosya sistemlerinin aksine IPFS, dosya yolları yerine benzersiz içerik tanımlayıcılarına (CID) dayalı adresleme kullanır.
Bu teknikte, dosyanın kendisi, onu IPFS’ye “yükleyen” kullanıcının bilgisayarında bulunur ve doğrudan o bilgisayardan indirilir.
Normalde, bir dosyayı IPFS’ye yüklemek veya indirmek için özel yazılım (IPFS istemcisi) kullanmak gerekir. Ancak özel ağ geçitleri sayesinde kullanıcılar herhangi bir yazılım yüklemeden IPFS’deki belgeleri özgürce görüntüleyebilirler.
2022’de dolandırıcılar, e-posta kimlik avı saldırıları için IPFS’yi aktif olarak kullanmaya başladı. Bu teknikte phishing formu içeren HTML dökümanları IPFS içerisine yerleştirilmekte ve proxy olarak ağ geçitleri kullanılmaktadır.
Böylece kurbanlar, cihazlarında bir IPFS istemcisi çalıştırsalar da çalıştırmasalar da belgeyi açabilirler. Dolandırıcılar, kurbanlara gönderilen kimlik avı mesajlarına ağ geçidi aracılığıyla belge erişim kişilerini de dahil eder.
Saldırılara karşı bu merkezi olmayan, dağıtılmış belge sistemini kullanmak, saldırganların bir kimlik avı sayfası barındırma konusunda tasarruf etmelerini sağlar.
Ayrıca üçüncü kişiler tarafından yüklenen belgelerin IPFS’den silinmesi mümkün değildir. Birisi bir belgenin sistemden tamamen kaybolmasını istiyorsa, belgenin sahibi onu bilgisayarından silmeye teşvik etmelidir. Ancak bu sistem siber hatalar söz konusu olduğunda çok gerçekçi değil.
IPFS ağ geçidi sağlayıcıları, alternatif olarak sahte belgelere giden kişileri sistematik olarak silerek IPFS kimlik avı ile mücadele etmeye çalışır.
Ancak, ağ geçidi düzeyinde kişileri tespit etme ve silme işlemi her zaman bir kimlik avı web sitesini, bulut formunu veya belgeyi engellemek kadar hızlı değildir.
IPFS belgelerinin URL adresleri ilk olarak Ekim 2022’de ortaya çıktı
Verilen bilgilere göre IPFS dosyalarının URL adresleri ilk olarak Ekim 2022’de ortaya çıktı. Şimdilik bu kampanya devam ediyor ve adresler Kaspersky tarafından engelleniyor.
IPFS ilişkilendirmelerini içeren kimlik avı raporları da yepyeni görünmekle birlikte, hepsi kurbanın hesap oturum açma bilgilerini ve parolasını ele geçirmeyi amaçlayan tipik kimlik avı mesajları içerir. Bu teknikte farklı olan tek şey, HTML sayfası bağlantılarının nereye gittiğidir.
URL parametresi, alıcının e-posta adresini içerir. Değiştirildiğinde, oltalama formunun üst kısmında yer alan kurumsal logo ve giriş alanına girilen e-posta adresi de değişir. Bu formda, farklı kullanıcıları hedef alan çeşitli, hatta bazen onlarca phishing kampanyalarında tek bir kişi kullanılabilir.
Şubat, IPFS kimlik avı etkinlikleri için en yoğun ay oldu
Kaspersky, 2022’nin sonlarına doğru bazı durumlarda günde 15.000’e ulaşan IPFS kimlik avı trafiğini gözlemledi. Bu yıldan itibaren IPFS kimlik avı saldırılarının ölçeği artmaya başladı ve Ocak ve Şubat aylarında günde 24.000 iletinin üzerine ulaştı.
Şubat, IPFS kimlik avı için en yoğun ay oldu. Araştırmacılar yalnızca bu ay yaklaşık 400.000 mesaj gözlemledi. Bu, Kasım ve Aralık 2022’ye kıyasla 100.000’lik bir artışa karşılık geliyor.
Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Uzmanı Roman Dedenok şunları söyledi:
“Saldırganlar kâr elde etmek için en son teknolojileri kullandılar ve kullanmaya devam edecekler. Son zamanlarda, hem büyük hem de amaçlı IPFS kimlik avı saldırılarının sayısında bir artış görüyoruz. Dağıtılmış belge sistemi, dolandırıcıların alan adından tasarruf etmesine olanak tanıyor. Ayrıca, bu teknikle bir belgeyi tamamen silmek kolaydır, ancak IPFS ağ geçidi düzeyinde dolandırıcılıkla başa çıkmak için bazı girişimler vardır. başka herhangi bir kimlik avı teması. Bunu tespit etmek için bir dizi buluşsal yöntem kullanırız.”
“Kaspersky Endpoint Security for Business gibi kimlik avına karşı koruma özelliklerine sahip bir savunma çözümü kullanın”
Bireyleri ve şirketleri spam e-posta kampanyalarından korumak için Kaspersky şunları önerir:
“Personelinize temel siber güvenlik hijyeni konusunda eğitim verin. Kimlik avı e-postalarını nasıl tespit edeceklerini bildiklerinden emin olmak için simüle kimlik avı saldırıları gerçekleştirin. Kimlik avı e-postası yoluyla bulaşma olasılığını azaltmak için uç noktalarda ve posta sunucularında Kaspersky Endpoint Security for Business gibi kimlikler kullanın.” kimlik avı önleme özelliklerine sahip çözüm. Microsoft 365 bulut hizmeti kullanıyorsanız korumayı da unutmayın. Kaspersky Security for Microsoft Office 365, güvenli bir iş bağlantısı için spam ve kimlik avına karşı korumanın yanı sıra SharePoint, Teams ve OneDrive uygulamalarına yönelik savunmaya sahiptir.”
