Daha önce bildirilmemiş bir hizmet olarak kimlik avı (PaaS) aracı, komut dosyası çocuklarına bile işletmelere karşı zorlayıcı, etkili kimlik avı saldırıları oluşturma olanağı tanır.
Cisco Talos’taki araştırmacılar, bir siber suçlunun tüm kimlik avı ihtiyaçları için tek adres olan “Büyüklük” konusundaki bulgularını ayrıntılı olarak açıkladı. Greatness ile, en temel teknik becerilere sahip olan herkes, Microsoft 365 tabanlı zorlayıcı kimlik avı tuzakları oluşturabilir, ardından çok faktörlü kimlik doğrulama (MFA) karşısında bile kimlik doğrulama bilgilerini çalan ortadaki adam saldırıları gerçekleştirebilir ve çok daha fazlasını yapabilir.
Araç en az 2022’nin ortalarından beri dolaşımda ve diğer sektörlerin yanı sıra üretim, sağlık ve teknoloji sektörlerindeki işletmelere yönelik saldırılarda kullanılıyor. Şimdiye kadar hedeflerin yarısı ABD’de yoğunlaştı ve Batı Avrupa, Avustralya, Brezilya, Kanada ve Güney Afrika’da başka saldırılar meydana geldi.
Cisco Talos’un sosyal yardım başkanı Nick Biasini, “Erişilebilir olacak şekilde tasarlandı” diyor. “Kimlik avı kampanyalarına erişimi demokratikleştiriyor.”
Büyüklük Nasıl Çalışır?
Bir kurbana Büyüklük, bağlantı içeren bir e-posta veya genellikle bir HTML sayfasını gizleyen bir ek şeklinde gelir. Eki tıklamak, yükleme tekerleğinin arkasında bir Microsoft belgesinin bulanık bir görüntüsünü açarak dosyanın yüklendiği izlenimini verir. Ancak belge asla yüklenmez. Bunun yerine, kurban bir Microsoft 365 oturum açma sayfasına yönlendirilir.
Kurbanın e-posta adresinin yanı sıra şirket logosunun sayfada önceden doldurulmuş olması ve tüm meseleye bir meşruiyet havası vermesi gerçeği olmasa, bu şüpheli görünebilir.
Bu noktada, ortadaki adam şeması başlar. Kurban, kendi saldırganının oturum açmasına yardımcı olduklarını bilmeden parolasını 365’e gönderir. Bir kurbana MFA uygulanmış olsa bile sorun değil. 365 bir kod ister, kurban onu gönderir, Greatness onu durdurur ve oyun devam eder. Greatness, kimliği doğrulanmış oturum çerezlerini toplar ve Telegram veya yönetici paneli aracılığıyla tehdit aktörüne iletir.
Eskiden zaman, çaba ve kodlama oltalama saldırıları yapmak bu ikna edici. Greatness ile yapmanız gereken tek şey bir form doldurmak: başlık, resim yazısı, onları kandırmak için bir Excel elektronik tablosunun görüntüsü vb. “Otomatik yakalama” özelliğinin etkinleştirilmesi, 365 oturum açma sayfasını kurbanın e-posta adresiyle otomatik olarak önceden doldurur, Talos’un bulgularına göre.
Biasani, “Temelde sadece ödeme yaparsınız, API’nize erişim elde edersiniz ve hepsi bu kadar” diyor. “API anahtarlarının ne olduğu ve portalda nasıl uygulanacağı gibi bazı temel şeyleri anlamanız gerekiyor, ancak oldukça kullanıcı dostu.”
Büyüklük Neden Bu Kadar Harika Çalışıyor?
Greatness sunumu çok ustaca olduğundan ve MFA’yı zahmetsizce atlattığından, basit farkındalık ve siber hijyen bir işletmeyi elinden kurtarmaya yetmeyebilir.
Kuruluşların yapabileceği basit bir değişiklik, çerez oturumu zaman aşımlarını ayarlamaktır. Biasani, “İki haftalık gibi bir zaman aşımı değerine sahip olmak, bugün baktığımız tehdit manzarasında iyi bir görünüm değil” diye açıklıyor. Yine de şunu ekliyor: “Zorluk şu ki, sizin de bir kullanıcı tabanınız var ve insanları her beş dakikada bir MFA’yı kullanmaya zorlamak da pek iyi olmayacak. Yani o orta alanda oturuyorsunuz: a güvenlik kararına karşı kullanılabilirlik kararı. Bu çok zor bir denge.”
Basit düzeltmelerin sorunu çözmediği durumlarda daha gelişmiş güvenlik gerekir. “Burası anormallik tespiti ve konuma dayalı oturum açma gibi konulara girmeye başladığınız yer. Bunun gibi şeyler. Tespitinizi bir üst düzeye çıkarmanız gerekecek.”
Yine de, Biasani umut ışığı görüyor. “Bana göre bu, MFA’nın gerçekten işe yaradığını gösteriyor… çünkü onlar [attackers] Şimdi gerçekten aktif olarak buna karşı koymak için bir şeyler yapmaya çalışıyor” diyor. “MFA artık bunu görmezden gelemeyecekleri bir noktaya geliyor.”