Kaspersky uzmanları, HTML dosyalarıyla birlikte gerçekleştirilen kimlik avı e-postası tehditlerinin arttığı konusunda kullanıcıları uyarıyor. Ocak-Nisan 2022 arasında Kaspersky araştırmacıları, HTML ekleri içeren yaklaşık 2 milyon kimlik avı e-postasını engelledi. Kimlik avı mesajlarında HTML dosyalarını kullanmak, dolandırıcılar tarafından başvurulan en yeni ve popüler numaralardan biri. Genellikle bu tür bağlantılar, istenmeyen posta önleme motorları veya virüsten koruma yazılımları tarafından kolayca algılanıyor. Ancak HTML eklerinin kullanılması siber suçluları tespit edilmekten kurtarıyor.
Pek çok kullanıcı, kimlik avı e-postalarındaki dosyaların güvensiz olabileceğinin farkında bile değil. Bu nedenle siber suçlular tarafından kullanılan tehlikeli HTML eklerini düşünmeden açıyorlar. Üstelik dolandırıcılar bir şirketin resmi web sitesindeki sayfayla aynı görünecek şekilde HTML eklerini biçimlendirebiliyor. Böylece resmi web sitesinin kullanıcılarını hedef alıyorlar ve bunu kurbanlarını kandırmak için yem olarak kullanıyorlar.
Siber suçlular tarafından kullanılan iki ana HTML eki türü bulunuyor: Kimlik avı bağlantısı içeren HTML dosyaları veya kötü amaçlı sayfalar. İlk durumda saldırganlar, bir bankanın büyük bir para transferi girişimiyle ilgili bildirimi gibi önemli verilere sahip olduğu süsü vererek kullanıcıya içinde metin olan bir HTML dosyası gönderiyor. Kullanıcıdan işlemi durdurmak için bankanın sitesine giden bir bağlantıya tıklaması isteniyor, bu da kullanıcıyı bir kimlik avı sayfasına yönlendiriyor. Hatta bazı durumlarda kurbanın bağlantıya tıklaması bile gerekmiyor. Kullanıcı HTML ekini açmaya çalıştığında otomatik olarak kötü amaçlı bir siteye yönlendiriliyor. Bu sayfada mağdurlardan işle ilgili dosyaları gözden geçirmesi, banka hesaplarını korumak ve hatta devletten ödeme almak için bir veri giriş formu doldurması isteniyor. Ardından kurban, kişisel verilerinin ve banka bilgilerinin çalındığını öğreniyor.
İkinci tür HTML eki, kapsamlı kimlik avı sayfalarıdır. Bu dosyalarda veri toplamak için kullanılan kimlik avı formu ve komut dosyası ekte yer aldığından, siber suçluların barındırma ücretlerinden tasarruf etmesine ve web sitelerini kullanmaktan kaçınmasına olanak tanıyor. Kimlik avı olarak kullanılan HTML dosyası, amaçlanan hedefe ulaşmak ve kurbanın güvenini kazanmak için kullanılan saldırı vektörüne bağlı olarak kişiselleştirilebiliyor. Örneğin dolandırıcı şirketin çalışanlarına dair bir sözleşmeyi doğrulamak istiyormuş gibi görünen, ancak aslında kötü amaçlı bir HTML dosyası olan bir kimlik avı e-postası dağıtabiliyor. Bu tür ekler şirketin tüm görsel özelliklerine sahip oluyor: Logo, stil ve hatta gönderen yöneticinin adına kadar. Dosya içerisinde mağdurun belgeye erişebilmesi için kurumsal hesabın kullanıcı adını ve şifresini girmesi isteniyor. Bu veriler daha sonra doğrudan şirketin kurumsal ağına girmek için bu bilgileri kullanacak olan siber suçluların eline geçiyor.
Güvenlik çözümleri kötü amaçlı komut dosyaları veya düz metin olarak gönderilen kimlik avı bağlantıları içeren HTML eklerini engelleyebiliyor. Bu nedenle siber suçlular engellenmemek için farklı taktikler kullanıyor. Örneğin dolandırıcılar genellikle kimlik avı bağlantısını veya HTML dosyasının tamamını karışık veya işe yaramaz kodlarla bozuyor. Bu önemsiz ve tutarsız metinler kullanıcının ekranında görünmese de istenmeyen posta önleme motorlarının e-postayı algılamasını ve dolayısıyla e-postayı engellemesini zorlaştırıyor.
Kaspersky Güvenlik Araştırmacısı Roman Dedenok şunları söylüyor: ”Siber suçlular, kurbanları kullanıcı adlarını ve şifrelerini girmeleri için kandırmak adına akıllıca gizlenmiş oturum açma kimlik bilgisi mesajları kullanıyor. Her yıl milyonlarca kimlik avı sayfasını engelliyoruz ve bu sayının daha da artmasını bekliyoruz. Bu da kullanıcıların tetikte kalması ve bu tarz e-postaların getirebileceği tehlikelerin farkında olması gerektiği anlamına geliyor. Siber suçlular, acemi dolandırıcıların bile hazır şablonları kullanarak binlerce kimlik avı sayfası oluşturabileceği ve ardından çok sayıda kullanıcıyı hedefleyebileceği karmaşık ve gelişmiş altyapılar oluşturdu. Artık amatörlerin bile kendi kimlik avı sayfasını oluşturabildiği bir ortamda, e-posta veya mesajlaşma yazılımlarından gelen herhangi bir bağlantıyı açarken özellikle dikkatli olmalısınız.”
Kimlik avı HTML ekleri hakkındaki raporun tamamı Securelist’te bulunabilir.
Kimlik avı saldırılarından korunmak için Kaspersky şunları öneriyor: