Dağıtılmış, eşler arası (P2P) Gezegenler Arası Dosya Sistemi (IPFS), kimlik avı sitesi depolama alanı haline geldi: IPFS kullanan kimlik avı URL’lerini içeren binlerce e-posta, kurumsal gelen kutularında görünüyor.
Trustwave SpiderLabs tarafından hazırlanan bir rapora göre, şirket son üç ayda müşteri telemetrisinde bu e-postalardan 3.000’den fazla buldu. Kurbanları sahte Microsoft Outlook oturum açma sayfalarına ve diğer kimlik avı web sayfalarına yönlendirirler.
IPFS, bir HTTP ana bilgisayarı ve yolu tarafından belirtilen statik bir URI kaynağı yerine dosya ve hizmet paylaşımı için P2P bağlantılarını kullanır. perşembe analizi — kötü niyetli kullanıcılar için büyük faydalar sunan.
Bir kez olsun, IPFS, içeriği birden fazla yerde kullanıma sunarak sansüre karşı dirençli olacak şekilde tasarlanmıştır – yani, bir kimlik avı sitesi bir yerden kapatılsa bile, diğer konumlara hızla dağıtılabilir. Bu, bir kimlik avı kampanyasını başladıktan sonra durdurmayı çok zorlaştırır.
Raporda, “Merkezi bir ağda, sunucu kapalıysa veya bir bağlantı koparsa verilere erişilemez. Oysa IPFS’de veriler kalıcıdır”. “Doğal olarak, bu ağda depolanan kötü amaçlı içeriğe kadar uzanır.”
P2P ayrıca, içeriğin statik, engellenebilir bir adresi olmadığı için bu kimlik avcılarına ek bir şaşırtma katmanı (ve potansiyel olarak birden çok katman) sağlar – ve bu, kimlik avı e-postalarının tarayıcılardan kaçma ve kurbanın gelen kutusuna ulaşma olasılığını artırır.
“Yani, saldırganlar için faydalarına ek olarak [related to] Trustwave SpiderLabs’ın kıdemli güvenlik araştırma müdürü Karl Sigler, Dark Reading’e “geleneksel bulut hizmetleri”, bu gizleme katmanı saldırganlara ek faydalar sağlıyor” diyor.
Ayrıca, IPFS merkezi olmayan bir sistem olduğundan, bir kimlik avı sitesini kapatabilecek merkezi bir otorite olmadığı anlamına gelir. Bu, kolluk kuvvetleri ve güvenlik araştırmacılarının IPFS’de barındırılan kimlik avı sitelerini indirmesini çok daha zor hale getiriyor.
Kimlik avı önleme şirketi SlashNext’in kurucusu ve baş ürün sorumlusu Atif Mushtaq, “Bu, kimlik avı sitelerini çökertmek ve bunlara erişimi engellemek artık çok daha zor olduğundan, kimlik avında önemli bir evrimi temsil ediyor” diyor. “Organizasyonların bu yeni gelişmenin farkında olması ve savunmalarını buna göre ayarlaması gerekiyor.”
Bunu yapmanın bir yolunun IPFS tabanlı kimlik avı sitelerine erişimi engellemek için DNS düdenini kullanmak olduğunu açıklıyor. Bu, bir kimlik avı sitesi için DNS isteklerinin sahte bir sunucuya yönlendirildiği bir tekniktir.
Mushtaq, “Bu, kullanıcıların yalnızca sahte sunucuya erişebilecekleri için kimlik avı sitesine erişmelerini engeller” diyor. “Kuruluşlar, IPFS tabanlı kimlik avı sitelerine erişimi engellemek için Web filtrelerini de kullanabilir.”
Mushtaq, kimlik avcılarının siteleri çoğaltmak için, P2P sistemlerinde sıklıkla kullanılan ve verileri birçok farklı makineye dağıtmanın bir yolunu sağlayan bir tür veri yapısı olan dağıtılmış karma tabloları (DHT’ler) kullanmak gibi daha da karmaşık yöntemler kullanmaya başlayabilecekleri konusunda uyarıyor.
Sigler, kötü niyetli aktörler tarafından IPFS’nin daha fazla benimsenmesinin muhtemel olacağını ve bunun da tekniği daha yaygın hale getirme ve muhtemelen daha kolay fark edilmesini sağlama etkisine sahip olacağını söylüyor.
“Ancak, bu saldırganların daha fazla odaklanmasıyla, masaya daha fazla yaratıcılığın getirildiğini ve IPFS’nin henüz görmediğimiz şekillerde kullanıldığını göreceğiz” diye ekliyor.
Kimlik avı saldırıları, kuruluşlar için şimdiden büyük güvenlik sorunlarına neden oluyor: Daha bu hafta, Facebook hesaplarını ele geçirmek için LinkedIn aracılığıyla pazarlama ve İK uzmanlarını hedef alan Ducktail keşfedildi. Ve bu ayın başlarında Microsoft, kimlik bilgilerini çalmak için bir Office 365 kimlik doğrulama sayfasını taklit eden bir kimlik avı saldırısında 10.000 kuruluşun hedef alındığını duyurdu.
Sigler, şaşırtma için IPFS kullanmanın güvenlik yöneticilerine daha önce düşünmemiş olabilecekleri yeni bir saldırı vektörü sağlayabileceğini açıklıyor.
“Kendinizi ve personelinizi IPFS’nin nasıl çalıştığı konusunda eğitmenizi ve IPFS’nin belirli şekillerde nasıl kullanıldığına ilişkin blog gönderisindeki belirli örneklere göz atmanızı öneririz” diyor. “Şu anda kimlik avı kampanyaları tarafından nasıl kullanıldığı göz önüne alındığında, IPFS işaretçileri içeren URL’ler için beklenmeyen e-postaların izlenmesini de öneririz.”
Kurumsal siber risk iyileştirmesi için SaaS sağlayıcısı olan Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, kimlik avıyla ilgili ilk yanıtın her zaman aynı olduğunu söylüyor: daha iyi kullanıcı eğitimi.
“Bir kimlik avcısı, sayısız formlarından herhangi birinde, dikkatli olmayan ve yemlerine düşen bir hedefe güvenir” diye açıklıyor. “Burada, saldırganlar kökenlerini gizlemek için IPFS kullanıyorlar, ancak hazırlıklı bir kullanıcı hileyi görebilmeli ve yemi almamalı.”
Tehdit aktörlerinin ileride tekniklerini nasıl değiştireceğini söylemenin zor olduğuna dikkat çekiyor.
“Savunma araçları daha iyi hale geldikçe, saldırganlar oyunlarını uyarlar ve geliştirir. Zorluk, kullanıcıları bu saldırıları fark etmeleri ve yemi almamaları için eğitmektir” diye açıklıyor. “Dağıtım için IPFS’ye geçmek, tehdit aktörlerine bazı avantajlar sağlıyor, ancak bu saldırıların çoğunun kurbanın saldırıya uğradığını fark etmemesine bağlı olduğu gerçeğini değiştirmiyor.”