Son dönemde, siber güvenlik tehditleri hızla evrim geçirmeye devam ediyor. Yeni bir kimlik avı (phishing) yöntemi Word belgelerinin bozulmuş hâllerini kullanarak güvenlik yazılımlarını atlatmayı başarıyor. Bu yeni yöntem, zararlı yazılımların tespitini zorlaştırarak, siber suçlulara daha etkili bir saldırı aracı sunuyor. Bu yazıda, Word dosyalarını kullanarak gerçekleştirilen bu yeni kimlik avı saldırısının nasıl işlediği, hangi tekniklerin kullanıldığı ve kullanıcıların bu tür tehditlerden nasıl korunabilecekleri hakkında bilgi vereceğiz.
Bozuk Word Dosyaları Kullanıcıları Ağına Düşürüyor
Kimlik avı saldırılarının temel amacı, kullanıcıların kimlik bilgilerini ele geçirmek oluyor. Bunun için ilk olarak sahte e-postalar gönderilir. Gönderilen bu e-postalar, kullanıcıları kötü amaçlı sitelere yönlendirir. Son zamanlarda, bir grup siber suçlu, Microsoft Word dosyalarını kötüye kullanarak bu tür saldırıların etkinliğini artırmayı başardı. Özellikle, bozulmuş Word belgelerinin kullanılması, bu saldırının tespit edilmesini oldukça zorlaştırıyor.
Bu yeni kimlik avı saldırısında, hedefe gönderilen e-postalarda, Word dosyaları ekli olarak yer alıyor. E-posta, genellikle şirketlerin bordro ya da insan kaynakları departmanlarından geliyormuş gibi görünüyor ve dosyanın içeriği, çalışanlara yönelik yıllık fayda ve bonuslarla ilgili bilgiler içeriyor. Örneğin;
Annual_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx
Annual_Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.binBu belgeler, Word tarafından açılmaya çalışıldığında, kullanıcıya okunamayan içerik uyarısı veriliyor. Bu mesaj, dosyanın bozulduğunu ve kullanıcıya dosyayı onarma seçeneği sunduğunu belirtiyor. Kullanıcılar bu dosyayı onarmak için “tamam” diyerek devam ediyor. Bu talimat sonrası onarılan dosya açılıyor.
QR Kodu Açıldığında Kullanıcı Tamamen Savunmasız Kalıyor
Dosya onarıldığında, kullanıcıyı yeni bir aşama bekliyor. Onarılan Word belgesinde, şirketin logosu ile süslenmiş bir QR kodu bulunuyor. Kullanıcı, bu QR kodunu taradığında, onu sahte bir Microsoft giriş sayfasına yönlendiren zararlı bir site açılıyor.
Bu sahte site, kullanıcının Microsoft hesap bilgilerini çalmayı amaçlıyor. Bu tür bir saldırının amacı, kullanıcının giriş bilgilerini çalarak, kişisel verileri ve finansal bilgileri ele geçirmek oluyor. Ancak, bu saldırıların en tehlikeli kısmı, genellikle kullanıcının doğrudan kötü amaçlı siteye yönlendirilmeden önce dosyanın bozulmuş olduğuna inanması oluyor.
Bu yeni kimlik avı saldırısının başarılı olmasının en önemli nedenlerinden biri, kullanılan bozulmuş Word belgelerinin güvenlik yazılımlarını atlatabilmesidir. Genellikle, antivirüs yazılımları ve güvenlik sistemleri, bozulmuş dosyaları düzgün bir şekilde analiz edemiyor. Any.Run tarafından yapılan açıklamalara göre, bu bozulmuş dosyalar VirusTotal gibi popüler virüs tarama platformlarında temiz olarak işaretleniyor. Çünkü bu dosyalar, güvenlik yazılımlarının doğru şekilde analiz etmesine engel oluyor.
Word dosyasının bozulmuş hâli, aslında zararlı yazılım içermiyor gibi görünüyor. Ancak, dosya onarıldığında, içerdiği QR kodu sayesinde kötü amaçlı bir web sayfasına yönlendirme yapıyor. Bu da saldırıların tespit edilmeden çalışmasına olanak tanıyor.
Kimlik Avı Saldırılarından Nasıl Korunabiliriz?
Bu yeni phishing saldırısından korunmanın birkaç etkili yolu bulunuyor. İlk olarak, e-postaların göndericilerini dikkatlice kontrol etmek önemlidir. Bilinmeyen bir kişiden veya şüpheli bir kaynaktan gelen e-postalar, özellikle ekler içeriyorsa, açılmadan önce dikkatlice incelenmelidir. Şüpheli görünen e-postalar hemen silinmeli veya bir ağ yöneticisine başvurulması gerekir.
Ayrıca, QR kodları yalnızca güvenilir kaynaklardan gelen mesajlardan alınması önemli. Bilinmeyen kaynaklardan gelen QR kodları, kullanıcıyı kötü amaçlı sitelere yönlendirebilir.
Word dosyalarıyla gerçekleştirilen bu yeni kimlik avı saldırısı, güvenlik yazılımlarını atlatma konusunda oldukça başarılı bir yöntem sunuyor. Ancak, bilinçli kullanıcılar ve doğru güvenlik önlemleri ile bu tür tehditlerden korunabilirsiniz.