QR kod ile kimlik avı atakları son zamanlarda en hızlı büyüyen e-posta tabanlı saldırı türü haline gelmiştir. Bu tür saldırılar giderek artmakta ve tespit edilmekten kaçınmak için kötü amaçlı içeriğe bağlı QR kod görüntülerini doğrudan e-posta gövdesine yerleştirmektedir. Genellikle farkında olmayan kullanıcıları parola sıfırlama veya iki faktörlü kimlik doğrulama isteği gibi gerçek gibi görünen istemlerle kandırırlar. Bu blog yazısında, Microsoft’un bu tehdidi ele alınmasına ve son kullanıcıları güvende tutmasına nasıl yardımcı olduğumuz hakkında daha fazla ayrıntı paylaşacağım.
QR Kodu nedir?
QR kodu (“Hızlı Yanıt kodu “nun kısaltması), bir akıllı telefon veya kamerayla donatılmış başka bir mobil cihaz kullanılarak taranabilen iki boyutlu bir barkoddur. QR kodları, web sitesi URL’leri, iletişim bilgileri, ürün ayrıntıları ve daha fazlası gibi çeşitli bilgi türlerini içerebilir. En yaygın olarak kullanıcıları web sitelerine, dosyalara veya uygulamalara götürmek için kullanılırlar. Bir QR kodu hakkında düşünmenin en kolay yolu, ona tıpkı bir URL gibi davranabilmektedir.
QR Kod ile Kimlik Avı Saldırıları Her Geçen Gün Artmakta
Son birkaç yılda QR Kodları, özellikle COVID nedeniyle tüm platformlarda popülerlik kazanmıştır. Muhtemelen restoranlarda, otoparklarda veya AVM’lerde görmüşsünüzdür. 2022 yılında Federal Soruşturma Bürosu, siber suçluların kurbanlardan finansal fon çalmak için QR kodlarıyla oynamaları konusunda farkındalığı artırdı. Yakın zamana kadar QR Kodu kimlik avı saldırıları nispeten nadir görülürken, 2023 Eylül ayı ortalarında Microsoft Güvenlik Araştırması ve Tehdit İstihbaratı, QR kodlarıyla ilgili kimlik avı girişimlerinde önemli bir artış gözlemledi. Telemetrimiz, yalnızca bir hafta içinde bu istismarı kullanan saldırılarda %23’lük bir artış olduğunu gösterdi.
Peki kimlik avı için neden QR kodları kullanılıyor?
QR Kodları, posta akışı sırasında bir görüntü olarak göründükleri ve işlenene kadar okunamadıkları için güvenlik sağlayıcıları için benzersiz bir zorluk teşkil etmektedir. QR Kodu işlendikten sonra (insan gözünün gördüğü) daha fazla analiz için taranabilir/işlenebilir.
QR kodları oltalama saldırılarında başlıca iki nedenden dolayı kullanılır:
1- Saldırıyı iyi korunan kurumsal ortamlardan hedefin kişisel olarak sahip olduğu ve daha az güvenli olabilecek mobil cihazlara taşırlar.
2- En yaygın kimlik avı hırsızlığı vektörü olan tek tip kaynak bulucudan (URL) yararlanırlar.
Bir QR kodu, şüphelenmeyen kurbanları kötü amaçlı web sitelerine yönlendirmek veya URL’lerle tamamen aynı şekilde kötü amaçlı yazılım indirmek için kolayca manipüle edilebilir, yalnızca URL’yi tespit edilmesi daha zor bir konuma yerleştirerek. Saldırganlar, örneğin bir BT Yöneticisinden gelen bir mesaj gibi meşru görünecek QR kodları oluşturur ve tarandığında kullanıcıdan kimlik bilgileri aracılığıyla hesabını doğrulamasını veya kullanıcının cihazına kötü amaçlı bir dosya indirmesini ister. Mobil cihazların kısıtlı ekran boyutu, kimlik avı saldırılarının uyarı işaretlerini kullanıcıların fark etmesini zorlaştırabildiğinden, bu durum giderek daha yaygın hale gelmektedir.
Çok katmanlı taktikler, teknikler ve prosedürler (TTP’ler), Defender for Office 365 tarafından görülen QR Kodlu Kimlik Avı mesajlarının çeşitli modellerini ortaya çıkarmaktadır.
- URL yeniden yönlendirme
- Minimum veya hiç metin kullanımının olmaması
- Bilinen markalardan geliyormuş gibi kullanımların yapılması
- Meşru bir e-posta izlenimi için bilinen altyapının kullanımı
- 2FA gibi doğrulama türlerinin kullanıldığı izleniminin verilmesi
- QR kodlarını eklere gömme ve işletme
Birkaç örnek ile konuyu işlersek:
QR Kodları e-posta gövdesine satır içi görüntüler olarak gömülmektedir.
Aşağıdaki örnekte, QR kodu e-postanın gövdesine satır içi olarak yerleştirilmiştir ve tarandığında kullanıcıyı kimlik bilgilerini toplamaya çalışan bir kimlik avı web sitesine yönlendiriyor.
E-posta gövdesinde bir resim içinde QR Kodu’n kullanılması
Aşağıdaki örnekte QR kodu, e-postanın gövdesine satır içi gömülü bir görselin içine yerleştirilmiştir.
Ekte görüntü olarak QR Kodu’n Kullanımı
Aşağıdaki örnekte, QR kodu PDF olan bir ekin içine yerleştirilmiştir ve bu ek tarandığında kullanıcıyı kimlik bilgilerini toplamaya çalışan bir kimlik avı web sitesine yönlendirmektedir.
Defender For Office 365 QR Kod Attacklarına Karşı Sistemi Nasıl Korumaktadır ?
Bu saldırı teknikleri göz önüne alındığında, QR kod kimlik avının işlevsel olarak credential harvesting attack ile aynı olduğu açıktır. Office 365 için Defender’ın bunlara karşı nasıl koruma sağladığını incelersek;
Görüntü Algılama
Gelişmiş görüntü çıkarma teknolojileri sayesinde Defender for Office 365, posta akışı sırasında bir iletideki QR Kodunu algılar. Sistem, bir QR Kodundan URL meta verilerini çıkarır ve bu sinyali URL’ler için mevcut tehdit koruma ve filtreleme yetenekleriyle güçlendirir. Bu sinyaller kullanılarak, temel URL de patlatılmak üzere bir sanal alan ortamına gönderilebilir ve kötü niyetli tehditler proaktif olarak tanımlanır ve bir kullanıcının posta kutusuna ulaşmadan önce engellenir.
Tehdit Sinyalleri
Defender for Office 365, bir iletiyi belirlemek ve üzerinde işlem yapmak için çeşitli mail flow sinyalleri kullanmaktadır. Esasen, bir e-postanın kesin sınıflandırmasını tek bir işlem belirlemez. Sağlam bir bağlam oluşturmak için her zaman birkaç sinyalin bir bileşimi gerekmektedir. QR Kodu sinyali, gönderen bilgisi, mesaj başlıkları, alıcı ayrıntıları, içerik filtreleme ile birlikte kullanılır ve bunlar arasında paylaşılan ilişkiler, bağlamın izin verdiği en yüksek kalitede sonucu üretmek için makine öğrenimi algoritmalarıyla beslenir.
URL Analizi
QR Kodlarından çıkarılan URL’ler makine öğrenimi modelleri tarafından analiz edilir, hem dahili hem de harici bilinen kaynaklarında kontrol edilir ve Defender for Office 365 Plan 1 / Plan 2 lisansları için gerektiğinde daha fazla araştırma için sandboxed diye tabir ettiğimiz izole alana alınır.
Proaktif ve Sezgisel Temelli Kurallar
Microsoft ayrıca kötü niyetli iletiler üzerinde mantık yürütmek ve bunları engellemek için Defende for Office 365 ‘in heuristic(sezgisel) kuralları kullanır. Bu özellik, en esnek ve en hızlı hareket eden mitigationları oluşturmaktadır ve QR Kodu kimlik avı gibi büyük kampanyalar sırasında günden güne değişen saldırı modellerini mitigation için kapsamlı bir şekilde kullanılmaktadır.
Microsoft Defender for Office 365 QR Kodlu Kimlik Avını Büyük Ölçekte Engellemektedir
İşte bu stratejiyi bir perspektife oturtmaya yardımcı olacak birkaç veriyi incelersek:
- Mevcut yeteneklerin ve oluşturduğumuz sağlam araçların gücüyle, son birkaç ay içinde e-posta gövdesinde günde ~1,5 milyon QR kodlu kimlik avının engellenmesine yol açan birçok sezgisel tabanlı kural dakikalar içinde yayınlandı ve kullanıma sunuldu! Saldırı modelleri geliştikçe, yeni kurallar yayınlanmaya ve gerektiğinde geliştirilmeye devam edecektir.
- QR koduyla ilgili meta dataları (URL ve metin) ayıklamak için oluşturulan gelişmiş tespit teknolojileri, haftada ortalama 200 milyondan fazla benzersiz URL’yi taradı ve bunların 100 milyondan fazlası QR kodlarından geldi.
- Gelişmiş tespit teknolojileri, e-posta gövdesinde QR kod görüntüsü içeren 18 milyondan fazla benzersiz kimlik avı e-postasını haftalık ortalama olarak ve günde yaklaşık 3 milyon benzersiz QR kod kimlik avı e-postasını engelledi.
- QR kodlu kimlik avı koruması, Ticari e-postaların yanı sıra Tüketici e-postalarını da içermekte. Bunların %96’sından fazlası yalnızca Enterprise’da teknolojilerimiz tarafından engellenen QR kodlu kimlik avı e-postalarıdır.
Microsoft , Oluşabilecek tehdit aktörlerinin faaliyetlerini sürekli olarak takip ediyor ve yeni ve gelişen teknikler ve kalıplarla mücadele etmek için çalışmalarını geliştirmektedir.
Korunmak için ne yapılmalıdır ?
Extended Detection and Response (XDR): Microsoft Defender XDR, birleşik algılama, araştırma ve yanıt deneyimi ile uçtan uca koruma sunarak QR kodlu kimlik avı gibi gelişmiş tehditlere karşı kapsamlı savunma sağlar. Uç noktalar, hibrit kimlikler, e-posta, işbirliği araçları ve bulut uygulamaları arasında yerel entegrasyon ile XDR, en karmaşık kötü niyetli aktörlere karşı bile merkezi görünürlük, güçlü analizler ve otomatik saldırı engelleme sağlar. QR kodlu kimlik avı genellikle adversary-in-the-middle (AiTM) saldırıları yoluyla hesap kimliklerini hedef alır, kimlik bilgilerini ve oturum çerezlerini ele geçirir. Bu gibi saldırılar, tespit etmeye yönelik bütünsel yaklaşımı sayesinde Microsoft Defender XDR tarafından etkili bir şekilde engellenebilir. Defender XDR, ürünlerdeki sinyalleri yüksek doğruluklu tespitlerle ilişkilendirerek saldırıları erkenden engeller, etkilerini ve ilerlemelerini sınırlandırır ve yaygın hasara neden olmadan önce kurumları korur.
Endpoint Protection : Kullanıcılar mobil cihazlarını kullanarak QR kodlarını tarar ve gömülü URL’yi cihaz web tarayıcısında açarlar. Android ve iOS’ta Microsoft Defender for Endpoint, QR kodu kimlik avı saldırıları için de geçerli olan kimlik avı sitelerine erişimi engelleyen kimlik avı önleme özellikleri içerir. Microsoft Defender for Endpoint, URL bağlantısı aracılığıyla indirilebilecek veya yüklenebilecek kötü amaçlı yazılımlara karşı da koruma sağlar.
End User Training: Defender for Office 365 müşterileri, gerçek dünyadaki kimlik avı saldırılarını ve diğer siber tehdit türlerini simüle ederek son kullanıcılarını eğitmek için Attack Simulation Training modülünü kullanabilir. Bu eğitim, kullanıcıların şüpheli e-postalar veya bağlantılar gibi kimlik avı saldırısı belirtilerini fark etmelerine yardımcı olabilir ve bu tehditlere uygun şekilde nasıl yanıt vereceklerini öğretebilir. Kazanılacak olan farkındalık sayesinde, bu tarz gelebilecek ataklara karşı hazır olunabilir.
QR kodu kimlik avı saldırılarının yükselişi, tehditlerin Kurumsal Güvenlik savunmalarını atlatmak için sosyal mühendislik taktiklerinin bir parçası olarak görüntülerden yararlanmaya yönelik daha büyük bir teknik değişimin parçasıdır. Bilinmeyen kaynaklardan gelen QR kodlarını tararken dikkatli olmak ve herhangi bir işlem yapmadan önce e-postanın ve içeriğinin güvenilir olduğunu her zaman doğrulamak önemlidir.
Kaynak : Urja Gandhi @UrjaGandhi