Kaspersky uzmanları, siber dolandırıcıların e-posta kimlik avı saldırılarında InterPlanetary File System’i (IPFS) nasıl kullandığı ortaya çıkardı.
Hacker’lar, 2022’nin sonlarından bu zamana Web 3.0’ın en gelişmiş teknolojilerinden biri kabul edilen, güvenli, merkezi olmayan ve güvenilir dosya dağıtım yöntemini dünyanın dört bir yanındaki şirketleri hedefe almak amacıyla kullanım sağlıyor. Kaspersky aracılığıyla hazırlanan yeni sunmuş olduğu raporda uzmanlar, korsanların web barındırma maliyetlerini azaltmak adına kimlik avı HTML dosyalarını IPFS’ye nasıl yerleştirdiğini açıkladı. Şubat 2023’de şuanda sürdürülen toplu ve hedefli kimlik avı kampanyaları için kullanımı sağlanan bu yeni tekniğin bulunduğu 400 bin kimlik avı e-postasını keşfetti.
IPFS, dünyanın dört bir tarafındaki kullanıcıların dosya alışverişi yapabilmesine fırsat sunan dağıtık bir dosya sitemine verilen bir isimdir. Merkezi dosya sistemlerine karşı IPFS, dosya yollarına göre değil, benzersiz içerik tanımlayıcılarına (CID) bakılırsa yapılan adreslemenin kullanımını sağlıyor. Bu teknikte dosyanın kendisi, onu IPFS’ye yüklemeyi gerçekleştiren kullanıcının bilgisayarında yer alıyor ve direkt olarak bu bilgisayardan indirmesi gerçekleştiriliyor. Normalde IPFS’ye bir dosya yükleyebilmek veya indirebilmek adına özel bir yazılım (IPFS istemcisi) kullanımını yapmak gerekiyor. Bununla beraber özel ağ geçitleri neticesinde kullanıcıların IPFS’de yer alan dosyaları herhangi bir yazılım yüklemeye gerek kalmadan rahat bir şekilde görüntülemesini gerçekleştirebiliyor.
2022 senesinde dolandırıcılar IPFS’yi e-posta kimlik avı saldırıları için sürekli olarak kullanmaya başladı. Bu teknikte IPFS’ye kimlik avı formu yer alan HTML dosyaları konumlandırılıyor ve ağ geçitlerini proxy olarak kullanımını sağlıyor. Böylece kurbanlar cihazlarında bir IPFS istemi çalıştırıyor olsa da olmasa da dosyayı maalesef açabiliyor. Korsanlar ayrıca ağ geçidi üstünden dosya erişim bağlantılarını kurbanlara gönderilen kimlik avı mesajlarına yerleştiriyor.
Saldırılardan merkezi olmayan, dağıtık özellikteki bu dosya sisteminin kullanılması saldırganların kimlik avı sayfası bulundurma maliyetlerinden tasarruf etmelerine katkı sağlamış oluyor. Bunun yanında üçüncü şahıslar aracılığıyla yüklenen dosyaları IPFS’den kaldırmak ise imkansız. Birisi bir dosyanın sistemden tamamen yok olmasını istiyorsa dosya sahibinin onu bilgisayarından silmeye ikna etmesi gerekiyor. Fakat bu yöntem, siber saldırganlar söz konusu olduğu zaman pek de inandırıcı görünmüyor.
IPFS ağ geçidi sağlayıcıları, alternatif olarak sahte dosyalara giden bağlantıları devam olarak silerek IPFS kimlik avı ile baş etmeye çalışıyor.
Fakat ağ geçidi seviyesinde bağlantıların tespit edilmesi ve silinmesi işlemi her zaman bir kimlik avı web sitesinin, bulut formunun veya belgenin engellenmesi kadar hızlı olmuyor. IPFS dosyalarının URL adresleri ilk olarak Ekim 2022’de tespit edildi. Şuan için bu kampanya sürüyor ve adresler Kaspersky aracılığıyla engellenmesi gerçekleştiriliyor.
IPFS bağlantıları bulunan ortalama sohbetleri de gerçekçi olmaktan oldukça uzak görünüyor. Hepsi kurbanın hesap giriş bilgilerini ve şifresini elde etmeyi hedefleyen tipik oltalama mesajlarını barındırıyor. Bu teknik ile alakalı ilginç olan tek şey HTML sayfası bağlantılarının nereye kaybolduğu oluyor.
URL parametresi alıcının e-posta adresini barındırıyor. Değiştirildiğinde, oltalama formunun üzerindeki kurumsal logo ve giriş alanına girilen e-posta adresi de değişiyor. Böylece tek bir bağlantı farklı kurbanları amaçlayan çeşitli kimlik avı kampanyalarında, hatta bazı durumlarda bir dizi kampanyada kullanımı gerçekleştiriliyor.
Şubat ayı IPFS kimlik avı çalışmaları açısından en yoğun ay olmuş oldu. Uzmanlar sadece bu ayda tahminen 400 bin mesaja ulaştı. Bu Kasım ve Aralık 2022’ye kıyaslayacak olursak 100 bin artışa denk gelmiş oluyor.
Kaspersky Güvenlik Uzmanı Roman Dedenok, konuya ilişkin şu açıklamalara yer verdi: ‘’Saldırganlar kar elde etmek için en son teknolojileri kullandılar ve kullanmaya devam edecekler. Son zamanlarda hem kitlesel hem de hedefli IPFS kimlik avı saldırılarının sayısında bir artış gözlemliyoruz. Dağıtık dosya sistemi, dolandırıcıların alan adından tasarruf etmelerini sağlıyor. Ayrıca bu teknikte bir dosyayı tamamen silmek kolay değil. Ancak IPFS ağ geçidi düzeyinde dolandırıcılıkla mücadele etmeye dair bazı girişimler de mevcut. İyi haber şu ki, anti-spam çözümleri IPFS’deki kimlik avı dosyalarına giden bağlantıları tıpkı diğer kimlik bağlantılarında olduğu gibi tespit ederek engelleyebiliyor. Özellikle Kaspersky ürünlerinde IPFS kimlik avını tespit etmek için bir dizi sezgisel yöntem kullanıyoruz.’’
