Kaspersky uzmanları, siber saldırganların bireysel ve kurumsal kullanıcılara ölçeklenebilir vektör grafikleri (SVG) formatında ek içeren e-postalar göndererek yeni oltalama yöntemleri benimsediğini ortaya çıkardı.
Şirketten yapılan açıklamaya göre, genişletilebilir işaretleme dili (XML) kullanan ve iki boyutlu vektörel grafiklerin tanımlanmasını sağlayan SVG formatı, "JPEG" veya "PNG" gibi geleneksel görsel formatlarının aksine "JavaScript" ve "HTML"yi de destekliyor. Tasarımcıların metin, formül ve etkileşimli öğeler gibi grafik olmayan içeriklerle daha rahat çalışması gibi avantajlar sağlayan bu format, siber saldırganların da ilgisini bu alana yönlendiriyor.
Saldırganlar, SVG formatının kullanıcılara sağladığı avantajları kötüye kullanarak, kullanıcıları oltalama sayfalarına yönlendiren betikler yerleştiriyor. Kullanıcılar, bu dosyaları yalnızca bir görsel olduğunu düşünerek açabiliyor. Ekli SVG dosyası, grafik tanımı içermeyen bir HTML sayfası niteliğinde oluyor. Bu dosya, internet tarayıcısında açıldığında, kullanıcıya ses dosyasına yönlendirildiği izlenimi veren bir bağlantı içeren internet sayfası gibi görünüyor. Ancak bu bağlantıya tıklayan kullanıcı, "Google Voice" ses kaydını taklit eden bir oltalama sayfasına yönlendiriliyor. Sözde ses kaydı, aslında sabit bir görselden ibaret oluyor. "Sesi Oynat" butonuna tıklandığında ise kullanıcı, kurumsal e-posta giriş ekranını taklit eden bir başka sayfaya aktarılıyor ve bu sayede saldırganlar, kullanıcı adı ve şifre bilgilerini ele geçirebiliyor.
Diğer yöntemde ise saldırganlar, bir e-imza hizmetinden gelmiş gibi görünen bir bildirim kılığına girerek SVG formatındaki eki, incelenmesi ve imzalanması gereken bir belge olarak sunuyor. İlk örneğin aksine, burada SVG dosyası HTML sayfası gibi davranmak yerine, içerdiği JavaScript kodu sayesinde dosya açıldığında tarayıcıda sahte bir oturum açma sayfası başlatıyor. Bu kez kullanıcıyı, Microsoft giriş ekranını taklit eden bir oltalama sitesine yönlendiriyor.
SVG oltalama saldırıları 6 kat arttı
Kaspersky istatistiklerine göre, martta, şubata kıyasla SVG dosyaları aracılığıyla gerçekleştirilen oltalama saldırılarında neredeyse 6 kat artış görüldü. Yılbaşından bu yana dünya genelinde ise 4 binden fazla bu tür e-posta tespit edildi.
Kaspersky uzmanları, kimlik avı veya kötü amaçlı mesajların kurbanı olmamak için yalnızca gönderene güvenilen e-postaların açılması ve bağlantılara tıklanması gerektiğini vurguluyor. Göndericinin yasal olmasına rağmen mesaj içeriğinin garip görünmesi halinde göndericiyle alternatif bir iletişim aracı kullanılması, kimlik avı sayfasıyla karşı karşıya olunduğundan şüphelenilmesi halinde internet sitesinde URL yazımı doğruluğunun kontrol edilmesi tavsiye ediliyor.
Açıklamada görüşlerine yer verilen Kaspersky Antispam Uzmanı Roman Dedenok, dolandırıcıların tespit mekanizmalarını aşmak için durmaksızın yeni taktikler geliştirdiğini belirtti.
SVG eki içeren saldırılarda net bir şekilde artış yaşandığına değinen Dedenok, "Şu anda bu saldırılar görece basit düzeyde. SVG dosyaları, ya doğrudan oltalama bağlantısı içeren bir sayfa ya da sahte bir siteye yönlendirme yapan bir betik barındırıyor. Ancak SVG'nin zararlı içerik taşıyıcısı olarak kullanılması, gelecekte çok daha gelişmiş ve hedefli saldırı senaryolarında da karşımıza çıkabilir." değerlendirmesinde bulundu.
