Bu çalışmada araştırmacılar 19 Temmuz- 2 Ağustos 2021 tarihleri içinde 5.307 kimlik avı sayfası örneğini çözümleme etti. Bağlantıların mühim bir kısmı (1.784) izlemenin ilk gününden sonrasında etken olmayı bırakırken bir çok sayfa ilk saatlerde yok oldu. Sonuçta izlemenin başlangıcından 13 saat sonrasında sayfaların dörtte biri etkinliğini yitirdi ve yarısı 94 saatten fazla dayanamadı.
Kimlik avı sayfasının ömrü, site yöneticileri tarafınca görünür hale geldiği ve onlar tarafınca kaldırıldığı ana bağlı. Kimlik avcıları satın alınan tesir alanında kendi sunucularını konuşlandırmış olsa ve sahtekarlık faaliyetinden şüphelenilse bile, barındırma şirketleri kimlik avcılarını bu alandaki verileri barındırma hakkından yoksun edebilir.
Bu amaçla oluşturulan her yeni site, ömrünün her saatinde daha çok kimlik avı önleme veritabanında belirir. Bu da daha azca potansiyel kurbanın siteyi ziyaret edeceği anlamına gelir. Bu tür sayfaların yaşam döngüsü oldukça kısa olduğundan kimlik avcıları, siteleri hala aktifken ilk saatlerde potansiyel kurbanlara mümkün olan en geniş erişimi sağlamak için ilk oluşturuldukları anda kimlik avı sayfalarına bağlantılar dağıtmaya odaklanırlar.
Saldırganlar oldukça daha sık halde mevcut bir sayfayı değişiklik yapmak yerine yeni bir sayfa oluşturmayı seçer. Ek olarak kimlik avcıları nadiren engellenmemek için sayfayı değiştirebilir. Mesela kimlik avcıları bir markayı yem olarak kullanırsa, onu başka bir markayla değiştirebilirler. Sadece bir çok sayfa, kimlik avcılarının etkinlik biçimini değiştirmeye karar vermesiyle engellenir. Bunun yanında başka bir yöntem de kullanıcı tarafınca görülmeyen, sadece kimlik avı önleme motorlarının belirsiz bir süre süresince bu tarz şeyleri engellemesini önleyen rastgele hazırlanmış kod öğeleri oluşturmaktır. Her neyse ki Kaspersky kimlik avı önleme motoru bu hileleri ustaca atlatabilme kabiliyetine haiz.
İçeriği engellenmemesi için değiştirilen sayfaların büyük çoğunluğu, popüler çevrimiçi oyunun en malum etkinliklerinden önde gelen PUBG çekilişini öykünmek ediyor. Saldırganlar, yeni sezonla oyundaki geçici bir vakası eşleştirmek yada kimlik avı sayfasının orijinaline olabildiğince yakın olmasını sağlamak için sayfanın içeriğini zaman içinde değiştiriyor.
Kaspersky Güvenlik Araştırmacısı Egor Bubnov, şunları söylüyor: “Bu tür araştırmalar yalnızca veritabanlarımızı güncellemek adına yararlı olmakla kalmıyor, bununla birlikte vaka yanıtını iyileştirmek için de kullanılabiliyor. Mesela bir kurum düzmece bağlantılarla spam saldırısı geçiriyorsa, kimlik avcılarının etkinliği için en yararlı süre olması sebebiyle ilk saatlerde bunu püskürtmek mühim. Buna karşılık kullananların bir bağlantı aldıklarında ve sitenin meşruluğu mevzusunda şüpheleri olduğunda birkaç saat beklemelerini tavsiye ettiğimizi hatırlatırız. Bu süre zarfında yalnızca kimlik avı önleme veritabanlarına eklenme olasılığı artmakla kalmayacak, kimlik avı sayfasının kendisi de etkinliğini durdurabilecektir. Yalnızca kimlik avını yakalamakla kalmayıp bununla birlikte saldırıları başarıyla savuşturmak suretiyle yaptığımız araştırmalar yardımıyla kullanıcılarımız iyi korunduklarından güvenli olabilirler.”
Kimlik avı sayfalarının yaşam döngüsü hakkında tam raporu Securelist’te bulabilirsiniz.
Kimlik avının kurbanı olmaktan kaçınmak için Kaspersky, kullanıcılara şunları öneriyor:
- Halka açık Wi-Fi ağları vasıtasıyla çevrimiçi bankacılık ve benzeri hizmetlere giriş yapmaktan kaçının. Bunun için güvenli bir ağ kullanmak daha iyidir. Açık ağlar, öteki şeylerin yanı sıra bağlantı üstünden internet sayfası adreslerini öykünmek eden ve böylece sizi düzmece bir sayfaya yönlendiren suçlular tarafınca oluşturulabilir.
- Kimi zaman e-postalar ve internet sayfaları tıpkı gerçekler şeklinde görünür. Bu suçluların ödevlerini ne kadar iyi yaptıklarına bağlı. Sadece köprüler büyük olasılıkla yazım hatalarıyla yada sizi değişik bir yere yönlendirebilirler.
- Güvenli bir bağlantı üstünden yalnızca kullanıcı adı ve parola girmek güvenli olsa da dolandırıcılar da SSL sertifikası yayınlayabildiğinden HTTPS öneki bile devamlı siteye meydana getirilen bağlantının güvenli bulunduğunun göstergesi değildir.
- Güvenilir bir güvenlik çözümü kurun ve tavsiyelerine uyun. Güvenlik çözümleri, sorunların çoğunu otomatikman çözecek ve gerekirse sizi uyaracaktır.
Kuruluşların kendini korunması için Kaspersky aşağıdakileri öneriyor:
- Personelinize temel siber güvenlik hijyeni eğitimi verin. Kimlik avı e-postalarını nasıl ayırt edeceklerini bildiklerinden güvenli olmak için bir kimlik avı simülasyonu saldırısı gerçekleştirin
- Kimlik avı e-postası kanalıyla bulaşma olasılığını azaltmak için, uç noktalar ve posta sunucularına yönelik Kaspersky Endpoint Security for Business şeklinde kimlik avına karşı koruma özelliklerine haiz bir koruma çözümü kullanın.
- Microsoft 365 bulut hizmetini kullanıyorsanız onu da korumayı ihmal etmeyin. Kaspersky Security for Microsoft Office 365, güvenli iş iletişimi için SharePoint, Teams ve OneDrive uygulamalarına yönelik korumanın yanı sıra istenmeyen posta önleme ve kimlik avı korumasına haizdir.