Kurumsal Kullanıcıları Oturum Açma Kimlik Bilgilerini Çalmaya Yönelik Büyük Ölçekli AitM Saldırıları

Kimlik avı saldırıları tehdidi son birkaç ay içinde önemli ölçüde arttı. Yeni ve büyük ölçekli bir saldırı gerçekleştirmek için AitM tekniklerini kullanan bir kimlik avı kampanyası yapıldı.

Bu kampanyaların yardımıyla güvenlik korumalarından ödün vererek kurumsal e-posta hesaplarına erişim elde etmek. Zscaler araştırmacıları Sudeep Singh ve Jagadeeswar Ramanukolanu bunu doğruladı.

Bu saldırıda, tehdit aktörleri çok faktörlü kimlik doğrulamasını atlamak için AitM tekniğini kullanır. Bu kampanyada, Microsoft'un e-posta hizmetleri özellikle kurumsal kuruluşların son kullanıcılarına yöneliktir.

Birincil Hedefler

Aşağıdakiler de dahil olmak üzere bir dizi önemli hedef belirlenmiştir:

• Fintech
• Kredi
• Sigorta
• Enerji
• Üretim
• Federal Kredi Birliği

Tüm bu öncelikli hedefler ağırlıklı olarak aşağıdaki ülkelerde yer alır:

• ABD
• Birleşik Krallık
• Yeni Zelanda
• Avustralya

Teknik Arıza

Zaman içinde ortaya çıkan birkaç kimlik avı saldırısı olmuştur, ancak bu ilk olmayacaktır. Microsoft, Eylül 2021'den bu yana AITM teknikleri kullanılarak toplam 10.000'den fazla kuruluşun hedeflendiğini açıkladı.

Haziran 2022'de başlayacak olan devam eden kampanya kapsamında hedeflere arka plan temalı bir elektronik iletişim gönderilecek. Bu e-postanın HTML eki, içine katıştırılmış bir kimlik avı URL'si içerir ve bu URL'ye tıklandığında sizi bir kimlik avı sayfasına veya web sitesine götürür.

Kimlik avı sayfası, üzerinde Microsoft Office logosu bulunan bir Microsoft Office oturum açma ekranı gibi görünür. Ele geçirilen makinenin, amaçlanan hedef olarak kabul edilip edilmemesi gerektiğini belirlemek mümkün olmadan önce parmak izi alınmalıdır.

Bu kampanyada, onu öne çıkaran çeşitli yöntemler vardır:

• Google Ads tarafından barındırılan yönlendirme sayfaları açılır.
• Snapchat tarafından barındırılan yönlendirme sayfaları açılır.

Amaçları, kullanıcıyı tıklaması için kandırmak için kimlik avı URL'sini yüklemektir.

Geleneksel kimlik avı saldırılarına kıyasla, AitM kimlik avı saldırıları, şüphelenmeyen kullanıcıların şifresini elde etmek için çeşitli yöntemler kullanmak üzere tasarlanmıştır.

Sahte bir açılış sayfasının parçası olarak geliştirilen bir kimlik avı kiti kullanılarak, bunu atlatmak için bir proxy kullanılır. Burada, istemci ve e-posta sunucusu birbirleriyle iletişim kurabilmek için çeşitli şartlar ve koşullar üzerinde anlaşırlar.

Ayrıca, Microsoft etki alanlarına yönelik tüm bağlantıların kimlik avı etki alanlarına eşdeğer bağlantılarla değiştirilmesi gerekir. Sahte web sitesinin kullanımı sırasında, bu, sahte web sitesi ile yazışmaların web sitesinin kullanımı boyunca bozulmadan kalmasını sağlayacaktır.

Öneriler

Aşağıda, Zscaler'daki güvenlik uzmanları tarafından önerilen tüm ortak ihtiyati tedbirlerden bahsettik:

• Güvenilmeyen veya bilinmeyen bir kaynak tarafından gönderilmiş gibi görünen bir e-posta alırsanız, içerdiği ekleri açmamalısınız.
• Tanımadığınız bir kaynaktan gönderilmiş gibi görünen bir e-posta alırsanız, buradaki bağlantılara tıklamayın.
• URL'nin her zaman onaylanması gerektiğinden, tarayıcı adres çubuğuna herhangi bir kimlik bilgisi girerken çok dikkatli olun.
• Kimlik bilgilerinizi düzenli olarak değiştirerek mümkün olduğunca sık güncel tutun.
• Sağlam bir güvenlik sistemi kullanmak, yapabileceğiniz en önemli şeylerden biridir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.