Ocak-Nisan 2022 arasında Kaspersky araştırmacıları, HTML ekleri içeren yaklaşık 2 milyon kimlik avı e-postasını engelledi. Kimlik avı mesajlarında HTML dosyalarını kullanmak, dolandırıcılar tarafından başvurulan en yeni ve popüler numaralardan biri. Pek çok kullanıcı, kimlik avı e-postalarındaki dosyaların güvensiz olabileceğinin farkında bile değil. Bu nedenle siber suçlular tarafından kullanılan tehlikeli HTML eklerini düşünmeden açıyorlar. Üstelik dolandırıcılar bir şirketin resmi web sitesindeki sayfayla aynı görünecek şekilde HTML eklerini biçimlendirebiliyor. Böylece resmi web sitesinin kullanıcılarını hedef alıyorlar ve bunu kurbanlarını kandırmak için yem olarak kullanıyorlar.
Siber suçlular tarafından kullanılan iki ana HTML eki türü bulunuyor: Kimlik avı bağlantısı içeren HTML dosyaları veya kötü amaçlı sayfalar. İlk durumda saldırganlar, bir bankanın büyük bir para transferi girişimiyle ilgili bildirimi gibi önemli verilere sahip olduğu süsü vererek kullanıcıya içinde metin olan bir HTML dosyası gönderiyor. Kullanıcıdan işlemi durdurmak için bankanın sitesine giden bir bağlantıya tıklaması isteniyor, bu da kullanıcıyı bir kimlik avı sayfasına yönlendiriyor. Hatta bazı durumlarda kurbanın bağlantıya tıklaması bile gerekmiyor. Kullanıcı HTML ekini açmaya çalıştığında otomatik olarak kötü amaçlı bir siteye yönlendiriliyor. Bu sayfada mağdurlardan işle ilgili dosyaları gözden geçirmesi, banka hesaplarını korumak ve hatta devletten ödeme almak için bir veri giriş formu doldurması isteniyor. Ardından kurban, kişisel verilerinin ve banka bilgilerinin çalındığını öğreniyor.
İkinci tür HTML eki, kapsamlı kimlik avı sayfalarıdır. Bu dosyalarda veri toplamak için kullanılan kimlik avı formu ve komut dosyası ekte yer aldığından, siber suçluların barındırma ücretlerinden tasarruf etmesine ve web sitelerini kullanmaktan kaçınmasına olanak tanıyor. Kimlik avı olarak kullanılan HTML dosyası, amaçlanan hedefe ulaşmak ve kurbanın güvenini kazanmak için kullanılan saldırı vektörüne bağlı olarak kişiselleştirilebiliyor. Örneğin dolandırıcı şirketin çalışanlarına dair bir sözleşmeyi doğrulamak istiyormuş gibi görünen, ancak aslında kötü amaçlı bir HTML dosyası olan bir kimlik avı e-postası dağıtabiliyor. Bu tür ekler şirketin tüm görsel özelliklerine sahip oluyor: Logo, stil ve hatta gönderen yöneticinin adına kadar. Dosya içerisinde mağdurun belgeye erişebilmesi için kurumsal hesabın kullanıcı adını ve şifresini girmesi isteniyor. Bu veriler daha sonra doğrudan şirketin kurumsal ağına girmek için bu bilgileri kullanacak olan siber suçluların eline geçiyor.
Güvenlik çözümleri kötü amaçlı komut dosyaları veya düz metin olarak gönderilen kimlik avı bağlantıları içeren HTML eklerini engelleyebiliyor. Bu nedenle siber suçlular engellenmemek için farklı taktikler kullanıyor. Örneğin dolandırıcılar genellikle kimlik avı bağlantısını veya HTML dosyasının tamamını karışık veya işe yaramaz kodlarla bozuyor. Bu önemsiz ve tutarsız metinler kullanıcının ekranında görünmese de istenmeyen posta önleme motorlarının e-postayı algılamasını ve dolayısıyla e-postayı engellemesini zorlaştırıyor.
Kaspersky Güvenlik Araştırmacısı Roman Dedenok şunları söylüyor: "Siber suçlular, kurbanları kullanıcı adlarını ve şifrelerini girmeleri için kandırmak adına akıllıca gizlenmiş oturum açma kimlik bilgisi mesajları kullanıyor. Her yıl milyonlarca kimlik avı sayfasını engelliyoruz ve bu sayının daha da artmasını bekliyoruz. Bu da kullanıcıların tetikte kalması ve bu tarz e-postaların getirebileceği tehlikelerin farkında olması gerektiği anlamına geliyor. Siber suçlular, acemi dolandırıcıların bile hazır şablonları kullanarak binlerce kimlik avı sayfası oluşturabileceği ve ardından çok sayıda kullanıcıyı hedefleyebileceği karmaşık ve gelişmiş altyapılar oluşturdu. Artık amatörlerin bile kendi kimlik avı sayfasını oluşturabildiği bir ortamda, e-posta veya mesajlaşma yazılımlarından gelen herhangi bir bağlantıyı açarken özellikle dikkatli olmalısınız.”
Kimlik avı saldırılarından korunmak için Kaspersky şunları öneriyor:
Tıklamadan önce her bağlantı kontrol edilmelidir. URL'ye ön izleme yapmak, yazım yanlışlarına veya diğer düzensizliklere dikkat etmek için fareyle site adresinin üzerine gelinebilir.
Yalnızca güvenli bir bağlantı üzerinden kullanıcı adı ve parola girilmelidir. Site URL'sinden önce, siteyle bağlantının güvenli olduğunu gösteren HTTPS ön eki aranmalıdır.
Mesaj veya e-posta en iyi arkadaşlardan gelmiş gibi görünse bile, onların hesaplarının da ele geçirilmiş olabileceği unutulmamalıdır. Her durumda dikkatli olunmalı ve dostça bir kaynaktan geliyor gibi görünse dahi tüm bağlantılar ve ekler dikkatle incelenmelidir.
Bankalar, vergi daireleri, çevrimiçi mağazalar, seyahat acenteleri, havayolları vb. gibi resmi kuruluşlardan geliyormuş gibi görünen mesajlara özellikle dikkat edilmelidir. Ofisten gelen dahili mesajlara bile tedbirli yaklaşılmalı. Suçluların meşru görünen sahte bir e-posta üretmesi zor değildir.
Çevrimiçi oyun arkadaşlarından veya diğer çevrimiçi arkadaşlardan gönderilen beklenmedik dosyaları açmaktan kaçınılmalıdır. Tıpkı resmi görünümlü e-posta ekleri gibi, fidye yazılımı ve casus yazılım içerebilirler.
Personele temel siber güvenlik hijyeni eğitimi verilmelidir. Kimlik avı e-postalarını gerçek olanlardan nasıl ayırt edeceklerini bildiklerinden emin olmak için bir kimlik avı saldırı simülasyonu gerçekleştirilebilir.
Kimlik avı e-postaları yoluyla bulaşma olasılığını azaltmak için, Kaspersky Endpoint Security for Business gibi kimlik avına karşı koruma özelliklerine sahip, uç nokta ve posta sunucusu koruma çözümü kullanılmalıdır.
Microsoft 365 bulut hizmeti kullanılıyorsa, Kaspersky Security for Microsoft Office 365 ile korunmalıdır. Bu çözüm, özel bir istenmeyen posta önleme ve kimlik avı önleme işlevinin yanı sıra iş iletişimlerini güvende tutmak için SharePoint, Teams ve OneDrive uygulamalarına yönelik korumaya sahiptir.