Müşterileriniz Görmeden Bir Klonu Bulmamızın Dokuz Yolu

Marka taklidi saldırılarının çoğu çok geç yakalanır; bir müşteri kimlik bilgilerini girdikten veya para gönderdikten sonra. Sınırlanmış bir olay ile maliyetli bir olay arasındaki fark genellikle dakikalarla ölçülür. Bu yüzden tespiti bir kapsam ve hız sorunu olarak ele alıyoruz: tek bir sinyal yeterli değildir, bu nedenle aynı anda birçok sinyali izler ve hızlı hareket ederiz.

Clonedown her gün 7 milyondan fazla tehdidi analiz eder ve tespitten kaldırmaya kadar uçtan uca çalışır; varsayılan olarak otomatikleştirilmiştir ve 7/24 çalışan bir müdahale ekibi tarafından desteklenir. Medyan müdahale süremiz 15 dakikanın altındadır ve ortaya çıkardığımız ortalama bir tehdit yalnızca yaklaşık 2,6 saat yaşar. İşte bunu mümkün kılan dokuz yöntemden bazıları.

1. Sertifika Şeffaflığı izleme

Birisi yeni bir alan adı için bir SSL sertifikası oluşturduğunda, bu işlem herkese açık Sertifika Şeffaflığı (Certificate Transparency) günlüklerine kaydedilir. Bu günlükleri sürekli olarak izleyerek, koruduğumuz markalara benzeyen alan adlarına verilen sertifikaları arıyoruz. İnandırıcı bir benzer site kuran bir saldırgan neredeyse her zaman HTTPS’ye ihtiyaç duyar; bu da bir kayıt bıraktığı anlamına gelir. Sertifikayı çoğu zaman kimlik avı sayfası daha yayına bile girmeden görürüz.

2. Yeni kaydedilen ve benzer alan adlarının keşfi

Yeni kaydedilen alan adlarını sürekli olarak keşfeder ve bunları koruduğumuz adlara göre puanlarız. Buna yazım yanlışı (typosquat) varyasyonları, tireli varyantlar, alternatif üst düzey alan adları ve bir Latin karakterinin başka bir alfabeden neredeyse aynı görünen bir karakterle değiştirildiği homoglif saldırıları dahildir. Bir benzer alan adını kayıt anında yakalamak, çoğu zaman üzerinde herhangi bir içerik barındırılmadan önce bize avantaj sağlar.

3. Arama motoru ve SERP izleme

Klonlar her zaman kurbanlara doğrudan ulaşmaz; bazen kurbanlar onları arama yoluyla bulur. Marka terimleri ve ilgili sorgular için arama motoru sonuçlarını izleyerek, meşru markaya karşı sıralanan taklit siteleri arıyoruz. Bir marka adı için sonuçlarda yükselen sahte bir sayfa hızla geniş bir kitleye ulaşabilir; bu nedenle ivme kazanmadan önce işaretleriz.

4. Tersine görsel arama

Saldırganlar bir markayı nadiren sıfırdan yeniden oluşturur. Logoları, ürün görsellerini ve hatta tam sayfa ekran görüntülerini yeniden kullanırlar. Bu görsel varlıklar üzerinde tersine görsel arama yaparak, çevredeki metin veya alan adı hiçbir ipucu vermese bile onları kopyalamış sayfaları buluruz. Görsel yeniden kullanım, bir saldırganın kaçınmasının en zor olduğu sinyallerden biridir, çünkü klonun doğru görünmesi gerekir.

5. Şüpheli sayfaların özyinelemeli taranması

Tek bir şüpheli URL nadiren tüm hikâyeyi anlatır. İşaretlenen sayfaları özyinelemeli olarak tarar; yönlendirmeleri, gömülü bağlantıları ve saldırganların altyapılarını gizlemek için kullandıkları zincirleme sıçramaları takip ederiz. Bu, çoğu zaman bir yönlendirmenin arkasındaki gerçek açılış sayfasını, aynı altyapıda barındırılan ilgili kitleri ve ortak bir operatörü paylaşan ek klonları ortaya çıkarır.

6. Parazit SEO tespiti

Her tehdit, saldırganın sahip olduğu bir alan adında yaşamaz. Parazit SEO, sahte içeriği meşru ve yüksek itibarlı platformlarda barındırarak bu platformların otoritesini istismar eder; örneğin bir forum gönderisi, bir belge barındırma hizmeti veya kullanıcı tarafından oluşturulmuş bir alt sayfa. Ana alan adı güvenilir olduğundan, bu sayfalar iyi sıralanır ve basit alan adı tabanlı filtreleri atlar. Aksi takdirde göz önünde gizlenebilecek, yüksek otoriteli sitelerde barındırılan marka istismarını özellikle ararız.

7. Sunucu ve alt alan adı numaralandırması

Kötü amaçlı bir altyapıyı belirlediğimizde, onu haritalandırırız. Sunucu ve alt alan adı numaralandırması, bir saldırganın aynı sunucularda, IP aralıklarında veya adlandırma kurallarında kurduğu diğer varlıkları bulmamızı sağlar. Keşfedilen tek bir klon sıklıkla bir kümeye yol açar ve sunucuyu numaralandırmak, tek bir tespiti bir kampanyanın tam ayak izine dönüştürür.

8. Sohbet ve mesajlaşma platformlarının izlenmesi

Dolandırıcılığın giderek artan bir kısmı tamamen açık web dışında koordine edilir ve dağıtılır. Kimlik avı bağlantılarının, sahte tekliflerin ve taklit kampanyalarının kullanıcılar arasında doğrudan yayıldığı Telegram, WhatsApp ve Discord gibi sohbet ve mesajlaşma platformlarını izleriz. Birçok saldırı, bir tarayıcıda görünmeden önce bu kanallarda ekildiği için, onları izlemek tespiti daha erkene taşır.

9. Kendi geçmiş tehdit veritabanımız

Şimdiye kadar ele aldığımız her tehdit, bir sonrakini bilgilendirir. Yeni bulguları geçmiş veritabanımızla ilişkilendirerek taze tehditleri bilinen aktörlere, yeniden kullanılan kitlere, tekrar eden altyapıya ve yerleşik davranış kalıplarına bağlarız. Daha önce engellenmiş bir saldırgan kendini tekrar etme eğilimindedir ve bu geçmiş, bir kampanyayı sıfırdan araştırmak yerine görür görmez tanımamızı sağlar.

Kapsam ve hız, birlikte

Bu yöntemlerin hiçbiri tek başına yeterli değildir. Sabırlı bir saldırgan tek bir sinyalden kaçınabilir, ancak hepsinden aynı anda kaçınmak çok daha zordur. Tespitimiz açık webi, yeni kaydedilen ve benzer alan adlarını, uygulama mağazalarını, sosyal platformları, sohbet ve mesajlaşma uygulamalarını ve ücretli reklamları kapsar; ayrıca Cloudflare, Google Safe Browsing, AbuseIPDB, Spamhaus ve Netcraft entegrasyonlarıyla güçlendirilmiştir. Müşterileriniz görmeden bir klonu bulmamızı ve ardından buna hızla müdahale etmemizi sağlayan şey bu birleşimdir.

Clonedown OÜ, Tallinn, Estonya’da bulunmaktadır. Çevrimiçi bir markayı korumaktan sorumluysanız, bunun kendi tehdit yüzeyiniz için nasıl göründüğünü size memnuniyetle anlatırız.