- Katılım
- 18 Ocak 2025
- Mesajlar
- 558
Yeni bir siber saldırı, Signal ve WhatsApp gibi mesajlaşma uygulamalarını kullanan karmaşık bir kimlik avı planı yoluyla Microsoft 365 kullanıcılarını riske atıyor. Siber güvenlik firması tarafından tespit edilen tehdit, muhtemelen Rus kökenli olan ve Ukrayna ve insan haklarıyla ilgili konularda faaliyet gösteren kuruluşların çalışanlarını aldatmak için Avrupa hükümet yetkililerini taklit eden bilgisayar korsanlarını içeriyor. Özellikle OAuth protokolünü istismar etmesi nedeniyle sinsi olan bu teknik, daha geniş hedeflere yayılabilir ve kişisel ve kurumsal verilerin güvenliği açısından giderek artan bir tehlike oluşturabilir.
Siber suçlular, teknik zaaflardan ziyade insan faktörünü öne çıkaran bir yaklaşım geliştirdiler. Ukrayna'nın Avrupa Birliği Misyonu, Bulgaristan'ın NATO Daimi Temsilciliği veya Romanya'nın Avrupa Birliği Daimi Temsilciliği gibi önemli kurumların temsilcileri gibi davranan saldırganlar, hedefledikleri kurbanlara jeopolitik öneme sahip konularda görüntülü konferanslara katılmaları için görünüşte meşru davetler gönderiyorlar.
Saldırının bazı versiyonlarında iletişim, daha önce ele geçirilmiş bir Ukrayna hükümet hesabından gönderilen bir e-postayla başlıyor, ardından güven oluşturmak için Signal veya WhatsApp üzerinden iletişim kuruluyor. Sahte profillerin oluşturulmasındaki ayrıntı düzeyi, titiz bir hazırlığın göstergesi olup, mağdurların iletişimlerin dolandırıcılık niteliğini tespit etmesini özellikle zorlaştırmaktadır.
Dolandırıcılığın temel unsuru, OAuth kimlik avı bağlantısı eşliğinde PDF formatında talimatların gönderilmesidir. Mağdur bağlantıya tıkladığında, Microsoft kimlik doğrulamasını taklit eden bir oturum açma sayfasına yönlendiriliyor ve toplantıya katılmak için paylaşmaları istenen bir kod üretiliyor.
Bu saldırının asıl tehdidi, kullanıcıların kimlik bilgilerini doğrudan paylaşmadan hesaplarına üçüncü taraf uygulamaların erişmesine izin veren meşru bir kimlik doğrulama sistemi olan OAuth protokolünün kötüye kullanılmasında yatıyor. Güvenliği artırmak için tasarlanan bu mekanizma, paradoksal bir şekilde hesapların ele geçirilmesi için kullanılıyor.
Volexity uzmanları, Microsoft 365 hesapları için koşullu erişim politikalarının uygulanmasını, kimlik doğrulamanın yalnızca onaylı cihazlarla sınırlandırılmasını ve oturum açma uyarılarının tetiklenmesini öneriyor. Ancak ilk savunma hattı, kullanıcıların siber suçluların kullandığı sosyal mühendislik taktikleri konusunda farkındalık sahibi olmasıdır.
Bir kimlik avı girişiminin dolandırıcılık olabileceğine dair işaretler arasında , özellikle güvenilir olduğunu düşündüğünüz göndericilerden gelen alışılmadık veya karakter dışı mesajlar, korku veya merak gibi duygusal tepkileri tetikleyen iletişimler ve gerçek olamayacak kadar iyi görünen acil istekler veya teklifler yer alır. Volexity tarafından paylaşılan mesajların ekran görüntüleri, iletişimlerin sahtekarlık niteliğini ortaya çıkarabilecek küçük dil bilgisi ve yazım hatalarını gösteriyor.
Güvenlik uzmanları, özellikle oturum açma kimlik bilgilerini içeren bağlantıları tıklamadan veya ekleri açmadan önce, her zaman alternatif kanallar aracılığıyla isteklerin gerçekliğini doğrulamak suretiyle sıfır güven zihniyetini benimsemeyi öneriyor. Hassas verilerini etkili bir şekilde korumak isteyen her kuruluş için, çalışanlarını ortaya çıkan tehditler konusunda sürekli olarak eğitmek kritik bir yatırımdır.
Bu özel saldırı öncelikli olarak Ukrayna ile bağlantıları olan kuruluşları hedef alsa da, metodoloji daha geniş bir kitleyi hedef alacak şekilde kolaylıkla uyarlanabilir ve bu da tüm bulut platformu kullanıcılarının yüksek düzeyde dijital teyakkuzda olmasını zorunlu hale getirir. Saldırı tekniklerinin sürekli evrimi, siber güvenliğe yönelik, geleneksel teknik önlemlerin ötesine geçen ve insan zaaflarına ilişkin farkındalığı da içeren proaktif bir yaklaşım gerektiriyor.
Siber suçlular, teknik zaaflardan ziyade insan faktörünü öne çıkaran bir yaklaşım geliştirdiler. Ukrayna'nın Avrupa Birliği Misyonu, Bulgaristan'ın NATO Daimi Temsilciliği veya Romanya'nın Avrupa Birliği Daimi Temsilciliği gibi önemli kurumların temsilcileri gibi davranan saldırganlar, hedefledikleri kurbanlara jeopolitik öneme sahip konularda görüntülü konferanslara katılmaları için görünüşte meşru davetler gönderiyorlar.
Saldırının bazı versiyonlarında iletişim, daha önce ele geçirilmiş bir Ukrayna hükümet hesabından gönderilen bir e-postayla başlıyor, ardından güven oluşturmak için Signal veya WhatsApp üzerinden iletişim kuruluyor. Sahte profillerin oluşturulmasındaki ayrıntı düzeyi, titiz bir hazırlığın göstergesi olup, mağdurların iletişimlerin dolandırıcılık niteliğini tespit etmesini özellikle zorlaştırmaktadır.
Dolandırıcılığın temel unsuru, OAuth kimlik avı bağlantısı eşliğinde PDF formatında talimatların gönderilmesidir. Mağdur bağlantıya tıkladığında, Microsoft kimlik doğrulamasını taklit eden bir oturum açma sayfasına yönlendiriliyor ve toplantıya katılmak için paylaşmaları istenen bir kod üretiliyor.
Bu saldırının asıl tehdidi, kullanıcıların kimlik bilgilerini doğrudan paylaşmadan hesaplarına üçüncü taraf uygulamaların erişmesine izin veren meşru bir kimlik doğrulama sistemi olan OAuth protokolünün kötüye kullanılmasında yatıyor. Güvenliği artırmak için tasarlanan bu mekanizma, paradoksal bir şekilde hesapların ele geçirilmesi için kullanılıyor.
Volexity uzmanları, Microsoft 365 hesapları için koşullu erişim politikalarının uygulanmasını, kimlik doğrulamanın yalnızca onaylı cihazlarla sınırlandırılmasını ve oturum açma uyarılarının tetiklenmesini öneriyor. Ancak ilk savunma hattı, kullanıcıların siber suçluların kullandığı sosyal mühendislik taktikleri konusunda farkındalık sahibi olmasıdır.
Bir kimlik avı girişiminin dolandırıcılık olabileceğine dair işaretler arasında , özellikle güvenilir olduğunu düşündüğünüz göndericilerden gelen alışılmadık veya karakter dışı mesajlar, korku veya merak gibi duygusal tepkileri tetikleyen iletişimler ve gerçek olamayacak kadar iyi görünen acil istekler veya teklifler yer alır. Volexity tarafından paylaşılan mesajların ekran görüntüleri, iletişimlerin sahtekarlık niteliğini ortaya çıkarabilecek küçük dil bilgisi ve yazım hatalarını gösteriyor.
Güvenlik uzmanları, özellikle oturum açma kimlik bilgilerini içeren bağlantıları tıklamadan veya ekleri açmadan önce, her zaman alternatif kanallar aracılığıyla isteklerin gerçekliğini doğrulamak suretiyle sıfır güven zihniyetini benimsemeyi öneriyor. Hassas verilerini etkili bir şekilde korumak isteyen her kuruluş için, çalışanlarını ortaya çıkan tehditler konusunda sürekli olarak eğitmek kritik bir yatırımdır.
Bu özel saldırı öncelikli olarak Ukrayna ile bağlantıları olan kuruluşları hedef alsa da, metodoloji daha geniş bir kitleyi hedef alacak şekilde kolaylıkla uyarlanabilir ve bu da tüm bulut platformu kullanıcılarının yüksek düzeyde dijital teyakkuzda olmasını zorunlu hale getirir. Saldırı tekniklerinin sürekli evrimi, siber güvenliğe yönelik, geleneksel teknik önlemlerin ötesine geçen ve insan zaaflarına ilişkin farkındalığı da içeren proaktif bir yaklaşım gerektiriyor.
