ABD’deki Microsoft 365 ve Outlook müşterileri, sesli posta temalı e-postaları kimlik avı cazibesi olarak kullanan başarılı bir kimlik bilgisi çalma kampanyasının hedefindedir. Araştırmacılar, tehdidi demirleyen kötü niyetli e-postaların selinin, Microsoft 365 ortamlarının güvenliğini sağlama konusundaki daha büyük sorunun simgesi olduğunu söylüyor.
Zscaler’ın ThreatLabz’ından yapılan bir analize göre, yazılım güvenliği, ABD ordusu, güvenlik çözümü sağlayıcıları, sağlık/ilaç ve üretim tedarik zinciri dahil olmak üzere belirli dikeyleri hedefleyen yüksek oranda hedefli bir saldırı Mayıs ayından bu yana devam ediyor.
Kampanya, çeşitli siber suç son oyunları için kullanılabilecek çok sayıda kimlik bilgisinden ödün vermede başarılı oldu. Bunlar, belgelere erişmek ve bilgileri çalmak için hesapları devralmayı, yazışmaları dinlemeyi, inandırıcı iş e-postası ele geçirme (BEC) e-postalarını göndermeyi, kötü amaçlı yazılım yerleştirmeyi ve kurumsal ağlara daha derine girmeyi içerir. Kullanıcı kimliği/şifre kombinasyonları, kurbanların şifreleri diğer hesap türleri (çevrimiçi bankacılık gibi) için yeniden kullanma hatasına düştükleri ümidiyle kimlik bilgileri doldurma listelerine de eklenebilir.
Egress’in CISO’su Robin Bell, “Microsoft 365 hesapları genellikle toplu olarak indirilebilen bir veri hazinesidir” diyor. “Ayrıca, bilgisayar korsanları, kurbanın kişilerine kimlik avı e-postaları göndermek ve saldırılarının etkinliğini en üst düzeye çıkarmak için güvenliği ihlal edilmiş Microsoft 365 hesaplarını kullanabilir.”
Sesli Posta Kimlik Avı Saldırı Zinciri
Teknik açıdan, saldırılar, onları daha başarılı kılan birkaç tuhaflık ile klasik bir kimlik avı akışını takip ediyor.
Saldırılar, HTML ekleri içeren e-posta yoluyla gönderildiği iddia edilen cevapsız sesli posta bildirimleriyle başlar.
HTML ekleri, kötü niyetli olmadıkları için genellikle e-posta ağ geçidi filtrelerini geçerler. Ayrıca, meşru Office bildirimleri bu şekilde gönderildiğinden, sesli posta bildirim ayarında kullanıcılar için kırmızı bayraklar oluşturma eğiliminde değildirler. Ve daha fazla gerçekçilik için, e-postalardaki “Kimden” alanları, yakın zamanda yapılan bir araştırmaya göre hedeflenen kuruluşun adıyla uyumlu olacak şekilde özel olarak hazırlanmıştır. Zscaler blog yazısı.
Bir hedef eke tıklarsa, JavaScript kodu kurbanı saldırgan tarafından kontrol edilen bir kimlik bilgisi toplama web sitesine yönlendirir. Araştırmacılara göre, bu URL’lerin her biri, hedeflenen şirkete uyacak şekilde özel olarak oluşturulmuştur.
“Örneğin, Zscaler’daki bir kişi hedeflendiğinde, URL şu biçimi kullandı: zscaler.zscaler.briccorp[.]com/
Ancak, işaret sayfaya erişmeden önce bir Google reCAPTCHA kontrolü açılır – giderek daha popüler olan teknik otomatik URL analiz araçlarından kaçınmak için.
CAPTCHA’lar, insan olduklarını doğrulamak için kullanılan zorluklar olarak çoğu İnternet kullanıcısına aşinadır. Turing test-ish bulmacaları genellikle belirli bir nesneyi içeren bir ızgaradaki tüm fotoğrafları tıklamayı veya bulanık veya bozuk metin olarak sunulan bir kelimeyi yazmayı içerir. Buradaki fikir, e-ticaret ve çevrimiçi hesap sitelerindeki botları ayıklamaktır – ve aynı amaca sahtekarlar için hizmet ederler.
Hedefler CAPTCHA’ları başarılı bir şekilde çözdükten sonra, Microsoft 365 kimlik bilgilerini girmelerinin istendiği kimlik avı sayfasına gönderilirler – ki bunlar elbette URL’nin diğer ucundaki kötü adamlar tarafından derhal yakalanır.
Güvenlik farkındalığı savunucusu Erich Kron, “Tipik bir O365 oturum açma işlemine benzeyen bir oturum açma istemiyle karşı karşıya kaldığında, kişi gerçek oturum açma web sitesinde olduklarından emin olmak için tarayıcının URL çubuğuna bakmadan bilgilerini girmekte rahat hissedebilir.” KnowBe4, Dark Reading’i anlatıyor. “Bu aşinalık ve hedeflenen bir kurbanın iş günlerinde bir şey için düzenli olarak O365 kullanması ihtimalinin yüksek olması, bunu saldırganlar için harika bir cazibe haline getiriyor.”
Sesli postayı cazibe olarak kullanmak yeni bir teknik değil – ama başarılı bir teknik. Araştırmacılar, iki kimlik avı dalgası arasındaki taktikler, teknikler ve prosedürlerde (TTP’ler) önemli bir örtüşme göz önüne alındığında, mevcut kampanyanın aslında Temmuz 2020’de görülen önceki faaliyetlerin yeniden canlanması olduğunu belirtti.
Egress’ Bell Dark Reading’e “Bu saldırılar insan doğasını hedef alıyor, kurbanlarını psikolojimizde oynayan teknikleri kullanarak manipüle ediyor” diyor. “İşte bu nedenle, güvenlik bilinci eğitimine yatırım yapmasına rağmen, birçok kuruluş hala kimlik avının kurbanı oluyor. Buna ek olarak, tehdit aktörleri, birçok insanın ‘gerçek şeyden’ ayırt edemediği, giderek daha karmaşık, son derece inandırıcı saldırılar yapıyor. Kullanıcılar genellikle gönderenin gerçek bilgileri gibi ayrıntıları göremediğinden, mobil cihazların artan kullanımı bu durumu daha da kötüleştiriyor.”
Microsoft 365 Popüler Hedef Olmaya Devam Ediyor
Daha önce Office365 veya O365 olarak bilinen ve şirket tarafından Microsoft 365 olarak yeniden adlandırılan Microsoft’un üretkenlik paketinin bulut sürümü, 1 milyondan fazla şirket ve 250 milyondan fazla kullanıcı tarafından kullanılıyor. Bu nedenle, siber dolandırıcılara siren bir şarkı görevi görür.
2022 Çıkış raporuna göre, “Kimlik Avı ile Mücadele: BT Liderinin Görüşü,” Microsoft 365 kullanan kuruluşların %85’i, son 12 ay içinde kimlik avı kurbanı olduğunu ve kuruluşların %40’ının kimlik bilgileri hırsızlığına maruz kaldığını bildirdi.
Bell, “Microsoft O365 ve Outlook tahminen 1 milyon şirket tarafından kullanılıyor, bu nedenle kurbanlarının ve kurbanın kuruluşunun bu hizmetleri kullanması için iyi bir şans var” diyor. “Böylesine yüksek hacimli hesaplarla, bilgisayar korsanlarının, bir saldırıya uğrama olasılığı daha yüksek olan, düşük teknoloji bilincine sahip hedeflere ulaşma şansı daha yüksek.”
Kron, Microsoft 365 kimlik avlarının da, normal iş günü etkinlikleriyle karıştığı için popüler saldırı vektörleri olduğunu belirtiyor.
“İş günümüzün büyük bir kısmını otomatik pilota yakın bir modda geçiriyoruz, görevler beklendiği sürece tekrarlanan görevleri neredeyse otomatik olarak yapıyoruz” diye açıklıyor. “İnsanlar ancak beklenmedik bir şey olduğunda farkına varır ve eleştirel düşünmeyi uygularlar. Birçoğumuz için, bir O365 portalına giriş yapma eylemi, şüphelerimizi artıracak kadar olağandışı değildir. Çoğu zaman, insanlar bunlara giriş yaptığında Sahte portallar, kimlik bilgilerini çalma yazılımı, bilgileri görünmez bir şekilde meşru oturum açma portalına iletir ve bu da başarılı bir oturum açmayla sonuçlanır ve kurban, kandırıldıklarının asla farkında olmaz.”
CISO’lar Sosyal Mühendisliğe Karşı Nasıl Savunma Yapabilir?
Araştırmacılar, temel olarak insan doğasını düzeltmenin imkansız olması nedeniyle, CISO’lar için bu tür bir tehdit vektörünü kapatmanın önemli zorlukları olduğunu söylüyor. Bununla birlikte, giriş yapmadan önce URL’yi kontrol etmek gibi çalışanları temel korumaları gerçekleştirmeye teşvik etmek için kullanıcı eğitimi uzun bir yol kat edebilir.
Kron, “Phishing, vishing ve smishing içeren sosyal mühendislik saldırılarının kalıcı olduğu gerçeğiyle yüzleşmeliyiz” diyor. “Kimlik avı neredeyse e-posta başladığından beri yaygındı ve verilen hasar ve verilen kayıplar göz ardı edilemeyecek kadar yüksek, ancak en iyisini umuyorduk. CISO’ların bu riskleri anlaması ve herkesin bunu kullandığı modern dünyamızda çalışanların bunu anlaması gerekiyor. Bilgisayarlar ve bilgileri bir şekilde işler, siber güvenlik herkesin işinin bir parçasıdır ve yakın gelecekte de öyle olacaktır.”
Bu temel en iyi uygulamanın ötesinde, CISO’lar, kaçınılmaz olarak yapacakları gibi, insanların hata yaptığı zamanları doldurmak için arka uç teknoloji adımlarını da atmalıdır. Bell’e göre bu, standart güvenli e-posta ağ geçidi filtrelerinin ötesine geçmelidir.
“Riski gerçekten azaltmak için kuruluşların doğru teknolojiye ihtiyacı var” diye tavsiyede bulunuyor. “CISO’ların, insanlarının ve verilerinin korunmasını sağlamak için e-posta platformlarını ek koruma katmanlarıyla zenginleştirdiklerinden emin olarak güvenlik yığınlarını değerlendirmeleri gerekiyor. Teknoloji, en karmaşık saldırıları bile belirlemelerine yardımcı olmak için çalışanlarla ortaklık kurarak, kimlik bilgileri ve e-posta hesapları tehdit aktörleri tarafından ele geçirilemez.”
Kron, hem teknolojiyi hem de eğitimi birleştiren sağduyulu bir savunma yaklaşımı önerir.
“Bunu fark etmeyen ve bu saldırılara tamamen teknik araçlarla karşılık vermeye çalışan CISO’lar için başarı şansı oldukça düşük” diyor. “Bu saldırıların insan güvenlik açıklarından yararlandığını anlayan ve teknik kontrollerin bir karışımını dağıtmanın yanı sıra eğitim ve öğretim yoluyla insan sorununu ele alan CISO’lar için sonuçlar genellikle çok daha iyi.”