Menlo Security tarafından yapılan araştırma, siber güvenlik yazılımlarının, kuruluşları korumak için tasarlandıkları siber saldırıları, özellikle de bowser katmanında düzenli olarak tespit edip engelleyemediği konusunda uyardı.
9 Haziran'da yayınlanan Menlo Security'nin 2026 Tarayıcı Tehdit Raporu, kurumsal tarayıcı kullanıcılarını hedef alan beş kimlik avı saldırısından birinin, ağı ve kullanıcılarını saldırılara karşı koruması gereken araçlar tarafından tamamen tespit edilemediğini ortaya çıkardı.
1 Ocak ile 31 Mart 2026 tarihleri arasında kurumsal müşteri ortamlarındaki milyonlarca aktif tarayıcı oturumundaki platform telemetrisine dayanan araştırma, tehdit aktörlerinin tarayıcı oturumu katmanı aracılığıyla kurumsal ortamlara giriş sağladığı konusunda uyardı.
Uzmanların Görüşleri
Makaleye göre sorun, tarayıcı üzerinden yapılan saldırıların, birçok geleneksel kurumsal siber güvenlik ürününün şüpheli etkinlikleri tanımlamak veya önlemek için tasarlanmadığı alanları hedef almasıdır.
Önemli Gelişmeler
E-posta, SaaS uygulamaları, işbirliği araçları, yapay zeka asistanları, finansal sistemler ve kimlik bilgisi yönetimi yazılımı gibi kurumsal etkinlikler artık genellikle bir uygulama yerine bir tarayıcı oturumunda gerçekleşiyor.
Teknik Analiz
Ancak birçok kurumsal güvenlik ürünü bu düşünceyle tasarlanmamıştır ve bu da siber suçlular için fırsatlar yaratmaktadır. Menlo'ya göre, kullanıcılar tarafından aktif olarak kullanılan beş kimlik avı bağlantısından biri, eski URL filtreleme tarafından tamamen tespit edilemedi.
Menlo Security CEO'su Bill Robbins, "Çoğu kuruluşun güvendiği araçlar tam olarak tasarlandığı gibi performans gösteriyor. Sorun da bu. Hiçbiri tarayıcı oturumu katmanında çalışacak şekilde tasarlanmadı ve saldırganlar tam da bu noktada yaşamayı öğrendi" dedi.
Detaylar ve Etkileri
Güvenlik Atlaması Olarak Sosyal Mühendislik
Tarayıcı tabanlı saldırılarla ilgili en önemli sorunlardan biri, yalnızca teknik güvenlik açıklarından yararlanmakla kalmayıp, aynı zamanda insanların tarayıcıyla etkileşiminden de aktif olarak yararlanmalarıdır.
İnsanların CAPTCHA'lar, hata mesajları ve Cloudflare doğrulama ekranları gibi tarayıcı içi uyarılarla düzenli olarak etkileşime girmesi gerekir. Saldırganlar buna sosyal mühendislik tekniklerini bu gerçekliğe uyacak şekilde uyarlayarak yanıt verdiler.
Sonuç ve Değerlendirme
Örneğin, ClickFix saldırılarını uygulayan saldırgan, insanı genellikle siber güvenlik çözümleri tarafından izlenmeyen araçlara kod yapıştırmaya teşvik eder.
Veya öyle olsalar bile, kurban komutu kendisi çalıştırdığı için etkinlik, "kötü niyetli davranış" üzerindeki teknik kontrolleri atlar çünkü etkinlik, meşru bir eylem gerçekleştiren meşru bir kullanıcı olarak görülür. Her iki durumda da, modern kimlik avı saldırılarının doğası gereği geleneksel savunmaları aşmanın yollarını bulmuştur.
Menlo'ya göre bu tehdide karşı koymak için kuruluşların tarayıcı oturum katmanının güvenliğini sağlamaya daha fazla dikkat etmesi gerekiyor.
Sistem Güvenliği
Şirket, "Bu katmanı yöneten kuruluşlar, hem kendi iş güçlerini hem de kendi ortamlarında zaten çalışmakta olan yapay zeka aracı oturumlarını varsayılan olarak koruyacak konumda olacak. Bunu yapmayanlar, saldırganların kullandığı tehdit modeli için oluşturulmuş araçlara güvenmeye devam edecek" dedi.