Microsoft, bilgisayar korsanlarının çok faktörlü kimlik doğrulama ile korunuyor olsalar bile Outlook e-posta hesaplarını ele geçirebilecekleri konusunda uyardı.
Tehdit İstihbarat Merkezi’nden şirketin siber güvenlik ekipleri ve Microsoft 365 Defender Araştırma Ekibi ortaya çıkardı (yeni sekmede açılır) geçen yıl 10.000’den fazla işletmeyi hedef alan büyük ölçekli yeni bir kimlik avı kampanyası.
Güvenliği ihlal edilmiş e-posta hesapları daha sonra, kurbanın iş ortaklarının, müşterilerinin ve müşterilerinin paraları için dolandırıldığı iş e-posta güvenliği (BEC) saldırıları için kullanılır.
Oturum çerezlerini çalmak
Kurban, Outlook hesabına giriş yapmak için bir bağlantı içeren bir kimlik avı e-postası alacaktı. Ancak bu bağlantı, onları yasal olanla aynı görünen bir proxy sitesine yönlendirir. Kurban oturum açmaya çalışacak ve proxy sitesi tüm verileri göndererek buna izin verecekti.
Ancak, kurban kimlik doğrulama işlemini tamamladıktan sonra, saldırgan oturum çerezini çalacaktır. Kullanıcının her yeni sayfa ziyaretinde kimliğinin yeniden doğrulanması gerekmediğinden, bu, tehdit aktörüne de tam erişim sağlar.
Microsoft’un blog gönderisinde, “Gözlemlerimize göre, güvenliği ihlal edilmiş bir hesap, kimlik avı sitesinde ilk kez oturum açtıktan sonra, saldırgan, çevrimiçi Outlook’ta (outlook.office.com) kimlik doğrulaması yapmak için çalınan oturum tanımlama bilgisini kullandı” dedi. “Birden çok durumda, çerezlerin bir MFA’sı vardı (yeni sekmede açılır) Bu, kuruluşun bir MFA politikasına sahip olsa bile, saldırganın, güvenliği ihlal edilmiş hesap adına erişim elde etmek için oturum tanımlama bilgisini kullandığı anlamına gelir.”
E-posta hesabını ele geçirdikten sonra, saldırganlar, çalınan kimlikleri kullanarak çeşitli boyutlarda ödemeler göndermeye çalışmak ve onları kandırmak için gelen kutusundaki kişileri hedef almaya devam edecekti.
Saldırganlar, asıl kurbanın e-posta hesaplarının kötüye kullanıldığından habersiz kalmasını sağlamak için uç noktada gelen kutusu kuralları ayarlayarak e-postalarını varsayılan olarak okundu olarak işaretler ve hemen arşive taşır. Saldırganların gelen kutusunu birkaç günde bir kontrol edeceği söylendi.
Microsoft, “Bir keresinde, saldırgan aynı anda ele geçirilmiş posta kutusundan birden çok dolandırıcılık girişimi gerçekleştirdi” diyor. “Saldırgan her yeni dolandırıcılık hedefi bulduğunda, oluşturdukları Gelen Kutusu kuralını bu yeni hedeflerin kuruluş alanlarını içerecek şekilde güncelledi.”