Cofense Raporu: Phishing Tehdit Aktörleri TLD’leri Kötüye Kullanıyor

Uzmanlar, siber suçluların özellikle .gov üst düzey alan adları (TLD) olan meşru devlet web sitelerini ve alan hizmetlerini istismar ettiklerini uyarıyor. Siber güvenlik uzmanları Cofense Intelligence’ın bir raporuna göre TLD’ler, kimlik avı ile ilgili çeşitli kötü niyetli amaçlar için kullanılıyor. Kağıt, 2022 Kasım ile 2024 Kasım arasında, tehdit aktörlerinin 20’den fazla ülkedeki .gov alan adlarındaki açıklardan faydalandığını belirtiyor.

Kimlik avı
Alan adlarının kullanıldığı şeylerden biri de açık yönlendirmelerdir ve bunlar güvenli e-posta geçitlerini atlamak için bir ana yöntem haline gelmiştir. Açık yönlendirmeler, bir web uygulamasının istemeden bir kullanıcı tarafından kontrol edilen girişin harici bir siteye trafiği yönlendirmesine izin verdiğinde ortaya çıkar ve tehdit aktörleri bunu manipüle edebilir. Bu taktik kullanılarak saldırganlar, masum kurbanları meşru .gov web sitelerinden sahte sayfalara yönlendirebilir. ABD’de .gov alan adları, bu yönlendirmeler için en sık kötüye kullanılanlar arasındadır ve saldırıların %77’sinden fazlası, “noSuchEntryRedirect” parametresiyle ilgili belirli bir zayıflığı kullanarak gerçekleşir. Bu zayıflık, kamu kuruluşları tarafından yaygın olarak kullanılan Liferay gibi platformları etkiler. ABD merkezli .gov alan adları, kötüye kullanılan tüm .gov alan adlarının sadece %9’unu oluşturmasına rağmen, genel kullanımda üçüncü sırada yer aldı.

Kimlik avı, kağıt açıklıyor.
Çoğu hükümet alan adının kimlik avı saldırılarında kullanıldığını, çeşitli kampanyalarda farklı dosyalara ev sahipliği yaptığını belirtiyor. Bu kimlik avı girişimleri genellikle Microsoft gibi güvenilir kaynaklardan gönderilmiş gibi görünen e-postalarla uygunsuz hizmetleri taklit eder. Rapor, .gov alan adlarının kimlik avı ve zararlı sitelere yönlendirme amaçlı kötüye kullanımının birkaç ülkede görüldüğünü de belirtiyor. Özellikle Brezilya, .gov alanlarında kötüye kullanımın çoğunu oluşturarak dikkat çekiyor. Ancak, Brezilya’daki birkaç alan adının, bu kötüye kullanımların çoğundan sorumlu olduğunu, saldırganların önemli hükümet web sitelerine odaklandığını gösteriyor.