Giriş
Son dönemde siber saldırılar, kullanıcıların en hassas bilgilerinin hedef alındığı phishing-as-a-service (PhaaS) operasyonlarıyla daha sofistike hale gelmiştir. Bunlardan biri olan Forg365, Microsoft 365 hesabı kullanıcılarını ciddi tehdit altına sokan yeni bir yöntem sunmaktadır.
Saldırı Nasıl Çalışıyor?
Forg365, temelinde cihaz kodu phishing ve adversary-in-the-middle (AitM) taktikleri içeren karmaşık bir saldırı zinciri oluşturuyor. Bu saldırı zinciri, sahte e-posta lures kullanarak, Amazon Simple Email Service (SES) ve Twilio SendGrid gibi meşru e-posta iletim altyapılarını taklit ederek, hedef kullanıcıları yanıltmaya odaklanıyor.
- Arkada bulunan panel, kullanıcı hesapları, bağlantılar, davetiyeler, OAuth uygulama konfigürasyonu, yeniden yönlendirme bağlantıları, SVG oluşturma ve SMTP profilleri gibi birçok olgun operasyon sürecini kapsıyor.
- Saldırılar, genellikle iş belgeleri veya ödeme onayı temalı phishing içerikleriyle gerçekleştirilir.
Etkilenen Sistemler
Forg365, çoğunlukla Microsoft 365 kullanıcılarını hedef alırken, platform üzerinden erişilen bir kontrol paneli üzerinden kullanıcılara çeşitli hizmetler sunmaktadır. Telegram üzerinden yayılan bu PhaaS kitinin maliyeti aylık $400 veya yıllık $3,800‘dır.
- Platform, ForgCookie adlı bir uzantıyla geliyor; bu uzantı, kullanıcı hesaplarına sürekli erişim sağlayarak otomatik SSO çerezlerini yenileyen bir işlev sunuyor.
- Kullanıcılar, sahte Microsoft kimlik doğrulama sayfalarıyla karşılaşıyor ve gerçek Microsoft oturum açma yüzeylerini görerek dolandırıcılığa maruz kalıyorlar.
Çözüm ve Korunma
Bu tür saldırılardan korunmak için şu önlemler alınabilir:
- Cihaz kodu kimlik doğrulamasını gereksizse kapatın.
- Cihaz kodu olayları sonrasında, e-posta kutusu içindeki kayıtları gözden geçirin ve sıra dışı etkinlik belirtileri arayın.
- Eski e-posta alias’larını gözden geçirin ve artık aktif olmayanları iptal edin.
Son olarak, bu kampanyalar kullanıcıların gelen kutularına ulaşmayı başarmıştır. Çünkü hedef organizasyon hâlâ geçmiş bir isim alanından aktif bir yönlendirme ilişkisine sahipti. Bu da siber saldırganların, mevcut kullanıcıya normal görünümlü iletiler göndermesine olanak tanımıştır.
Siber güvenliğinizi artırmak için hemen harekete geçin ve yukarıdaki önerileri uygulayın.


