Kaspersky, yeni bir oltalama yöntemi tespit etti. Saldırganlar, bireysel ve kurumsal kullanıcılarla iletişime geçmek için SVG (Scalable Vector Graphics - Ölçeklenebilir Vektör Grafikleri) formatında ek içeren e-postalar göndermeye başladı. Bu yöntem, kullanıcıları Google ve Microsoft hizmetlerini taklit eden sahte oltalama sayfalarına yönlendirerek oturum açma bilgilerini çalmayı amaçlıyor. Mart 2025'te, Şubat ayına kıyasla SVG dosyaları aracılığıyla gerçekleştirilen oltalama saldırılarında neredeyse altı kat artış gözlemlendi. Yıl başından bu yana dünya genelinde 4.000'den fazla bu tür e-posta tespit edilmiş durumda.

SVG, iki boyutlu vektörel grafiklerin tanımlanmasına olanak tanıyan XML tabanlı bir formattır. Geleneksel görsel formatların aksine, SVG dosyaları JavaScript ve HTML desteği sunar. Bu özellik, tasarımcıların grafik olmayan içeriklerle (metin, formül ve etkileşimli öğeler gibi) daha verimli çalışmasına olanak tanırken, aynı zamanda saldırganların kötü amaçlı içerikler yerleştirmesine de zemin hazırlıyor. Kullanıcılar, bu dosyaları sadece birer görsel olarak düşündüklerinden ötürü merakla açabiliyorlar.

Örneklerden biri, ekli SVG dosyasının, grafik tanımı içermeyen bir HTML sayfası olarak davranmasıdır. Kullanıcı, bu dosyayı bir web tarayıcısında açtığında, bir ses dosyasına yönlendirdiği izlenimini veren bir bağlantıyla karşılaşıyor. Ancak bu bağlantıya tıklayan kullanıcı, aslında Google Voice ses kaydını taklit eden bir oltalama sayfasına yönlendiriliyor. Sözde ses kaydı, sabit bir görselden ibaretken, "Sesi Oynat" butonuna tıklandığında kurumsal bir e-posta giriş ekranını taklit eden başka bir sahte sayfaya aktarılıyor. Böylece saldırganlar, kullanıcının e-posta adresi ve şifre bilgilerini ele geçirebiliyor.

Başka bir örnekte, saldırganlar bir e-imza hizmetinden geliyormuş gibi görünen bir bildirim kılıfına girerek, SVG ekini incelenmesi ve imzalanması gereken bir belge olarak sundular. Bu kez SVG dosyası, içerdiği JavaScript kodu sayesinde doğrudan kullanıcıyı Microsoft giriş ekranını taklit eden bir oltalama sitesine yönlendirdi.

Kaspersky Antispam Uzmanı Roman Dedenok, dolandırıcıların sürekli olarak yeni teknikler geliştirdiğini belirtiyor. Saldırganlar, tespit mekanizmalarını aşmak için bazen kullanıcı yönlendirmeleriyle kafa karıştırmaya çalışıyor, bazen de farklı ek formatları deneyerek taktiklerini çeşitlendiriyorlar. SVG eki içeren saldırılardaki artışın net bir şekilde görülmesi dikkat çekiyor. Dedenok, şu anki saldırıların göreceli olarak basit olduğunu, SVG dosyalarının ya doğrudan oltalama bağlantıları içeren bir sayfaya yönlendirdiğini ya da sahte bir siteye giden bir betik barındırdığını ifade ediyor. Ancak SVG'nin kötü amaçlı içerik taşıyıcısı olarak kullanımı, gelecekte daha gelişmiş ve hedefli saldırı senaryolarıyla karşımıza çıkabilir.

Kaspersky uzmanları, kimlik avı veya kötü amaçlı mesajların kurbanı olmamak için şu tavsiyelerde bulunuyor:

  • Yalnızca gönderenin güvenilir olduğundan eminseniz e-postaları açın ve bağlantılara tıklayın.
  • Eğer bir gönderici sahici görünüyorsa ancak mesajın içeriği garipse, alternatif bir iletişim aracıyla göndericiyle kontrol edin.
  • Bir kimlik avı sayfasıyla karşılaştığınızı düşünüyorsanız, web sitesinin URL'sinin yazımını kontrol edin. URL, I yerine 1 veya O yerine 0 gibi ilk bakışta fark edilmesi zor hatalar içerebilir.
  • İnternette gezinirken kanıtlanmış bir güvenlik çözümü kullanın.