Kaspersky, saldırganların bireysel ve kurumsal kullanıcılara SVG (Scalable Vector Graphics – Ölçeklenebilir Vektör Grafikleri) formatında ek içeren e-postalar göndererek yeni bir oltalama yöntemi benimsediğini tespit etti. Görsel dosyaları için yaygın olarak kullanılan bu format üzerinden açılan dosyalar, kullanıcıları Google ve Microsoft hizmetlerini taklit eden oltalama sayfalarına yönlendiriyor ve oturum açma bilgilerini çalmayı hedefliyor. Mart 2025’te, Şubat ayına kıyasla SVG dosyaları aracılığıyla gerçekleştirilen oltalama saldırılarında neredeyse altı kat artış görüldü. Yılbaşından bu yana dünya genelinde 4.000’den fazla bu tür e-posta tespit edildi.
SVG, XML kullanan ve iki boyutlu vektörel grafiklerin tanımlanmasını sağlayan bir formattır. XML, herhangi bir verinin tanımlanmasına olanak tanıyan bir işaretleme dili olarak işlev görüyor. SVG, JPEG veya PNG gibi geleneksel görsel formatlarının aksine JavaScript ve HTML’i destekliyor. Bu özellik, tasarımcıların metin, formül ve etkileşimli öğeler gibi grafik olmayan içeriklerle daha rahat çalışmasını sağlıyor. Ancak saldırganlar bu avantajı kötüye kullanarak, SVG dosyalarının içine oltalama sayfalarına yönlendiren bağlantılar içeren kötü amaçlı betikler yerleştiriyor. Kullanıcılar bu dosyaları yalnızca bir görsel olduğunu düşünerek merakla açabiliyor.
SVG eki içeren bir kimlik avı e-postası
Ekli SVG dosyası, grafik tanımı içermeyen bir HTML sayfası niteliğinde oluyor. Bu dosya bir web tarayıcısında açıldığında, kullanıcıya bir ses dosyasına yönlendirdiği izlenimi veren bir bağlantı içeren bir web sayfası gibi görünüyor. Ancak bu bağlantıya tıklayan kullanıcı, Google Voice ses kaydını taklit eden bir oltalama sayfasına yönlendiriliyor. Sözde ses kaydı aslında sabit bir görselden ibaret oluyor. “Sesi Oynat” butonuna tıklandığında ise kullanıcı, kurumsal e-posta giriş ekranını taklit eden bir başka sayfaya aktarılıyor ve bu sayede saldırganlar kullanıcı adı ve şifre bilgilerini ele geçirebiliyor. Bu sahte sayfada da Google Voice adı geçer ve hedeflenen kuruma ait logo yer alıyor; bu da kullanıcının şüphe duymasını engellemeyi amaçlıyor.
Sahte bir giriş formu
Başka bir örnekte ise saldırganlar, bir e-imza hizmetinden gelmiş gibi görünen bir bildirim kılığına girerek SVG formatındaki eki, incelenmesi ve imzalanması gereken bir belge olarak sundu.
Kimlik avı amaçlı bir e-imza Talebi
İlk örneğin aksine, burada SVG dosyası bir HTML sayfası gibi davranmak yerine, içerdiği JavaScript kodu sayesinde dosya açıldığında tarayıcıda sahte bir oturum açma sayfası başlatıyor. Bu kez kullanıcıyı Microsoft giriş ekranını taklit eden bir oltalama sitesine yönlendiriyor.
Kaspersky Antispam Uzmanı Roman Dedenok, konuyla ilgili olarak şu değerlendirmede bulunuyor: “Dolandırıcılar, tespit mekanizmalarını aşmak için durmaksızın yeni teknikler geliştiriyor. Bazen kullanıcı yönlendirmeleriyle kafa karıştırmaya çalışıyor, bazen de farklı ek formatları deneyerek taktiklerini çeşitlendiriyorlar. SVG eki içeren saldırılar ise net bir şekilde artış gösteriyor. Şu anda bu saldırılar görece basit düzeyde; SVG dosyaları ya doğrudan oltalama bağlantısı içeren bir sayfa ya da sahte bir siteye yönlendirme yapan bir betik barındırıyor. Ancak SVG’nin zararlı içerik taşıyıcısı olarak kullanılması, gelecekte çok daha gelişmiş ve hedefli saldırı senaryolarında da karşımıza çıkabilir.”
Kaspersky uzmanları, kimlik avı veya kötü amaçlı mesajların kurbanı olmamak için aşağıdakileri öneriyor:
- Yalnızca gönderene güvenebileceğinizden eminseniz e-postaları açın ve bağlantılara tıklayın.
- Bir gönderici yasalsa ancak mesajın içeriği garip görünüyorsa, alternatif bir iletişim aracı aracılığıyla göndericiyle kontrol etmeye değer.
- Bir kimlik avı sayfasıyla karşı karşıya olduğunuzdan şüpheleniyorsanız, bir web sitesinin URL’sinin yazımını kontrol edin. URL, I yerine 1 veya O yerine 0 gibi ilk bakışta fark edilmesi zor hatalar içerebilir.
- İnternette gezinirken kanıtlanmış bir güvenlik çözümü kullanın.
Kaynak: (BYZHA) Beyaz Haber Ajansı
