Parolasız Kimlik Avı Alarmı

Siber güvenlik uzmanları, Microsoft 365 kullanıcılarını hedef alan yeni nesil bir kimlik avı yöntemi konusunda uyarıda bulundu. “EvilTokens” adı verilen saldırı yöntemi, kullanıcıların parolalarını çalmaya veya sahte giriş sayfaları oluşturmaya ihtiyaç duymadan hesapların ele geçirilmesine olanak tanıyor.

Siber güvenlik şirketi ESET tarafından yapılan incelemeye göre EvilTokens, Microsoft’un meşru kimlik doğrulama süreçlerini kötüye kullanarak kullanıcı hesaplarına erişim sağlıyor. Cihaz kodu kimlik avı yöntemine dayanan saldırılar, kullanıcıları sahte bir giriş ekranına yönlendirmek yerine gerçek Microsoft oturum açma sayfasında kimlik doğrulama işlemini tamamlamaya ikna ediyor.

Uzmanlar, saldırganların öncelikle hedef hesapların aktif olup olmadığını tespit ettiği bir keşif süreci yürüttüğünü belirtiyor. Bu aşamanın, gerçek saldırı girişiminden yaklaşık 10 ila 15 gün önce gerçekleştirildiği ifade ediliyor.

Saldırının devamında kullanıcılar, genellikle fatura, paylaşılan belge, takvim daveti veya SharePoint erişim isteği gibi görünen e-postalarla hedef alınıyor. Güvenilir markaları taklit eden bu mesajlarda yer alan bağlantılar, kullanıcıları cihaz kodu girmeye yönlendiren sayfalara götürüyor.

Kullanıcıların girdikleri kodlar kendi cihazları için değil, saldırganların oturumları için oluşturulduğundan, farkında olmadan siber suçluların erişim taleplerini onaylamış oluyorlar. Böylece saldırganlar, Microsoft tarafından sağlanan erişim ve yenileme belirteçlerini kullanarak kurumsal e-postalara, Teams hesaplarına, SharePoint verilerine, OneDrive dosyalarına ve diğer Microsoft 365 kaynaklarına erişebiliyor.

Uzmanlara göre finans, insan kaynakları, lojistik ve satış departmanları bu tür saldırıların öncelikli hedefleri arasında yer alıyor. Ele geçirilen hesaplar daha sonra veri hırsızlığı, kurumsal e-posta dolandırıcılığı (BEC) ve farklı siber saldırılar için kullanılabiliyor.

ESET, kullanıcıların beklenmedik cihaz kodu taleplerine karşı dikkatli olması gerektiğini vurguluyor. Uzmanlar, herhangi bir belge veya uygulamanın açık bir gerekçe olmaksızın cihaz doğrulama kodu istemesi durumunda bunun şüpheli olarak değerlendirilmesini öneriyor.

Kuruluşlara ise cihaz kodu akışını yalnızca gerekli kullanıcılarla sınırlandırmaları, olağan dışı oturum açma faaliyetlerini takip etmeleri ve çalışanlara yönelik siber güvenlik farkındalık eğitimlerini güncel tehditlere göre düzenlemeleri tavsiye ediliyor.

Siber güvenlik uzmanları, modern kimlik avı saldırılarının artık her zaman parola çalmaya dayanmadığını, kullanıcıların gerçek platformlarda gerçekleştirdiği işlemlerin de kötü niyetli kişiler tarafından istismar edilebildiğini belirterek dikkatli olunması gerektiği uyarısında bulunuyor.

• KATEGORİLER:
• | Siber Güvenlik Haberleri |
• | Teknoloji Haberleri |