Kurbanlardan milyonlarca dolar çalmaya çalışan bir kimlik avı ve iş e-postası güvenliği (BEC) kampanyası, çok faktörlü kimlik doğrulamayı (MFA) atlayabilen saldırılarla Microsoft 365 hesaplarını hedefliyor.
Çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılmak, kullanıcı hesaplarının güvenliğinin ihlal edilmesini önlemeye yardımcı olmak için yapılabilecek en iyi şeylerden biridir. Ancak diğer tüm siber güvenlik önlemleri gibi, kötü niyetli bilgisayar korsanları da onu atlatmanın yollarını bulmaya çalışır.
Bu duruma bir örnek Mitiga siber güvenlik araştırmacıları tarafından detaylandırıldıMFA’yı atlatmak için kimlik avı ve ortadaki adam saldırılarını birleştiren bir kampanyayı ortaya çıkaran .
E-posta ile sahte ödeme talepleri
Saldırılar, başta CEO’lar ve CFO’lar olmak üzere yöneticilerin bulut tabanlı Office 365 hesaplarını hedef alarak finansal transferler talep eden, ticari işlemlerle ilgili devam eden ve meşru e-posta konuşmalarına gizlice giren, ancak sahte bir ödeme talebi içeren sahte e-postalar gönderir.
Saldırganlar, transfer onaylanırsa ödeme almak için banka bilgilerini değiştirir. Araştırmacılara göre, bu kampanyanın arkasındaki saldırganlar her işlemden milyonlarca dolar çalmaya çalışıyor.
Kurbanlara kümülatif toplam milyarlarca dolara mal olan birçok BEC dolandırıcılığı vakasında, dolandırıcılık çok geç olana ve saldırganlar parayı alana kadar fark edilmez.
Ancak, araştırmacılar tarafından açıklanan saldırı başarılı olmadı, çünkü hedeflenen kurbanlar bir şeylerin yanlış olduğunu fark ettiler ve olayı araştırdılar, BEC saldırılarının nasıl geliştiğine dair fikir verdi. güçlendirilmiş savunmaları atlamak için.
Çoklu kimlik doğrulamanın gizli baypas edilmesi
Bu saldırılar, hedeflenen kuruluşların liderlerine özel olarak hazırlanmış kimlik avı e-postalarıyla başlar.
DocuSign’ın yasal belgeleri gibi görünecek şekilde tasarlanmışlardır, ancak kurban kötü amaçlı bağlantıyı tıklatırsa, Microsoft 365 oturum açma sayfası gibi görünen bir yere götürülürler. koordinatları, saldırgana kullanıcı adını ve parolasını sağlar.
Bu saldırı aynı zamanda, istemci ile gerçek Microsoft sunucusu arasında bulunan ve birden çok kimlik doğrulamasını gizlice atlamasına izin veren proxy sunucuları kullanır. Bunu yapmak için kurbandan, geçerli bir oturum tanımlama bilgisi döndüren MFA isteklerini cihazlarında onaylaması istenir. Saldırgan, bir parolayı veya MFA isteğini yeniden girmek zorunda kalmadan kurbanın oturumunun kontrolünü ele geçirmek için proxy sunucusunu kullanır.
Bu izinlerle, saldırgan, orijinal kullanıcının bilgisi olmadan kendileri için ikinci bir MFA kimlik doğrulama uygulaması kurabilir ve böylece, güvenliği ihlal edilmiş hesapta tam kalıcılığa sahip olmalarına ve e-postaları ve diğer etkinlikleri izlemelerine olanak tanır.
Saldırganların bir işlemle ilgili gerçek yazışmalara yanıt göndermesine ve bir ödemeyi kendi hesaplarına yönlendirmeye çalışmasına izin veren bu yaklaşımdı. Saldırganlar bir aktarımı güvence altına almayı başaramadı, ancak olay BEC’lerin ve diğer siber suç sistemlerinin evrimini gösteriyor.
Ek güvenlik önlemleri gerekli
“Siber saldırılar bir iştir ve birileri yeni bir güvenlik kontrolü oluşturdu diye gelirlerinden vazgeçemezler. MFA, kimlik avı saldırılarıyla mücadele etmek için harika bir yol gibi görünüyordu ve saldırganlar yalnızca MFA’ya sahip olmayanları avlamayı seçtiklerinden bir süre için öyleydi. Mitiga teknik direktörü Ofer Maor, ZDNET’e verdiği demeçte, artık yaygın olduğu için saldırganlar bunu atlatmak için teknolojiler geliştirdiler.
“İşte bu nedenle güvenlik devam eden bir süreçtir ve saldırganlar geliştikçe gelişmeye devam etmelidir ve bu nedenle, çoğu saldırının onlara odaklanmaması için kuruluşlar güvenlikleri söz konusu olduğunda eğrinin önünde kalmalıdır. »
Mitiga, bu saldırılar hakkında Microsoft ile temasa geçti ve ZDNET de yorum için Microsoft ile temasa geçti.
MFA, kullanıcıları ve kuruluşları siber saldırılardan korumaya yardımcı olmak için önemli bir araç olmaya devam ediyor, ancak güvenliği güçlendirmek ve hesapları korumak için ek adımlar atılabilir.
Mitiga araştırmacıları, siber suçluların başka bir konumdan bulut uygulamaları ve hizmetleri için hesaplardan ödün vermesini önlemeye yardımcı olabilecek belirli, yetkili bilgisayarlara ve telefonlara hesap güvenliğini bağlamayı önermektedir.
Kaynak : ZDNet.com
