Olayın Özeti
Son dönemlerde, siber saldırganlar, Microsoft 365 kullanıcılarını hedef alarak sesli yolla sahte güvenlik talepleriyle yeni Entra şifre anahtarı kaydetmeye zorlamakta. Bu durum, veri sökümü saldırılarına zemin hazırlamaktadır.
Kimler Hedef Alınıyor?
Saldırılar, geniş bir sektör yelpazesinde etkili olup, özellikle şu alanları hedef almaktadır:
- Gıda ve içecek
- Teknoloji
- Sağlık
- Otomotiv
- İnşaat
- Havacılık
Saldırı Nasıl Çalışıyor?
Saldırgan, O-UNC-066 koduyla takip edilmektedir ve sahte bir şifre anahtarı kayıt sürecini hedef alan bir panel kontrollü phishing kiti kullanmaktadır. Okta araştırmacısı Houssem Eddine Bordjiba’nın belirttiğine göre, bu saldırgan, “passkey” kelimesini içeren alan adları kaydederek sesli oltalama (‘vishing’) stratejisi uygulamaktadır. Kullanıcılar, sahte bir platform üzerinden Microsoft’un geçerli süreçlerine çok benzer bir şifre anahtarı kaydetme sürecine yönlendirilmektedir.
Phishing Kiti Aşaması
Saldırı süreci şu aşamalardan oluşmaktadır:
- İlk sayfa (/gate): Kullanıcıdan bilgi almak için anti-analiz kontrolleri yapmaktadır.
- İkinci sayfa (/identify): Kullanıcı kullanıcı adını girmesini istemektedir.
- Üçüncü sayfa (/password): Şifre talep edilmektedir.
- Kredentialler, “/backend.php” adresine POST isteği ile gönderilmektedir.
- Saldırgan, çalınan kredentialleri gerçek Microsoft giriş sayfasında kullanarak oturum açmaktadır.
- Şifre ve MFA süreçlerine yönelik yeni aşamalar sunulmaktadır.
- Sonuç olarak, kullanıcıdan OTP (Tek Seferlik Şifre) talep edilmektedir.
Geçerli Sayfalar ve Kullanıcı Aldatmacası
Saldırı sürecinde, kullanıcıların dikkatini dağıtmak için birçok sayfa kullanılarak işlemler yürütülmektedir:
- “/passkey/register”: Kullanıcıdan yeni bir şifre anahtarı oluşturması istenmektedir.
- “/passkey”: Microsoft marka sayfa, kurtarma anahtarı kaydetmesini istemektedir.
- “/done”: Kayıt işleminin başarılı olduğu bilgisi verilmektedir.
Etkilenen Kullanıcılara Uyarılar
Bu saldırılar, kullanıcıların passkey doğrulama mekanizmasına aşina olmaması nedeniyle etkili olmaktadır. Kullanıcılar, süreç hakkında yeterli bilgiye sahip olmadıkları için kolayca aldatılabilmektedirler.
Çözüm ve Korunma
Kullanıcıların güvenliğini artırmak için önerilen önlemler şunlardır:
- Microsoft 365 uygulamalarını ve güvenlik ayarlarını güncel tutun.
- Şifreleme anahtarlarını hiçbir koşulda başka kişilerle paylaşmayın.
- Etkilenen kullanıcılar, güvenlik ihlalleri için hesaplarını gözden geçirmelidir.
- Şüpheli aramalara karşı dikkatli olun ve doğrulama yapmadan bilgilerinizi paylaşmayın.
Sonuç olarak, kullanıcıların riskleri azaltmak için güvenlik önlemlerini güncellemeleri ve bilinçli olmaları hayati önem taşımaktadır. Microsoft 365 gibi kritik sistemlerdeki güvenlik süreçlerine ilişkin eğitime ve bilince yatırım yapmak, benzer saldırılara karşı en etkili koruma yöntemidir.


