Sıradışı Dolandırıcılık Yöntemi Boş Görselle Kullanıcıları Hedefliyor

Uzmanlar, kullanıcıları tuzağa düşürmek için “boş görseller” kullanan sıradışı bir sahtekarlık yöntemi keşfetti. DocuSign belgeleri gibi görünen .htm eklerinin içine boş .svg dosyalarını gizleyen bu yöntem URL güvenlik tespitinin atlatılmasına neden oluyor. Araştırmacılar bu teknikle herkesin hedef alınabileceğini söyleyerek dikkatli olunması konusunda uyarıyor.

Diğer kimlik avı saldırılarında olduğu gibi kurbanlar bu yöntemde de e-posta aracılığıyla hedef alınmakta. Elektronik sözleşmeler yönetim hizmeti olan DocuSign’dan gelmiş gibi gösterilen e-postada, kullanıcının e-postasına inceleyip imzalaması için  “Scanned Remittance Advice” isimli bir belge gönderiliyor.

Tehlikeli olan durum ise, diğer saldırılardan farklı olarak e-postada “dokümanı göster” butonu tıklandığında kullanıcı gerçek DocuSign sitesine yönlendiriliyor. Böylelikle kullanıcının gelen e-postaya güvenmesi ve ekteki dosyaya  tıklaması sağlanıyor. Asıl tehlike DocuSign bağlantısıyla birlikte gönderilen ekteki .htm uzantılı dosyada gizli. Kullanıcı ekteki dokümana tıkladığında kötü amaçlı bir siteye yönlendiriliyor ve olaylar zinciri başlıyor.

E-postadaki ek, bir kodlama şemasıolan  Base64 kullanılarak kodlanmış bir SVG görüntüsü içeriyor. Boş olan bu görüntü, kötü amaçlı URL’ye yönlendiren ve içinde JavaScript olan aktif içerikten oluşuyor. Bu sayede gönderilen e-posta anti-virüs programlarına veya URL tespitlerine takılmamış oluyor.

SVG görüntüsü herhangi bir grafik veya şekil içermiyor, bu nedenle ekranda hiçbir şey oluşturmuyor. Bu boş görüntü, kötü amaçlı komut dosyası için bir yer tutucu görevi görüyor. Kullanıcı eke tıkladığını sanarak aslında bu boş görüntüye tıklıyor ve sahte siteye yönlendiriliyor.

Bunun gibi saldırılardan korunmak için uzmanlar HTML ve ek dosya içeren postalara karşı ekstra dikkatli olunması konusunda uyarıyor. Şirketler ise bu tarz saldırılardan korunmak için bu dosyaları içeren postaları tamamen engellemeyi tercih edebilir.