Direkt Gönderim Özelliği ve Phishing Tehditleri
Microsoft 365 kullanıcıları için en önemli güvenlik tehditlerinden biri, Direkt Gönderim adı verilen bir özelliğin kötüye kullanılmasıdır. Bu özellik, öncelikle yazıcılar, tarayıcılar ve diğer cihazlar gibi yerel cihazların, organizasyonun alan adı üzerinden e-posta göndermesine olanak tanır. Ancak, bu özellik herhangi bir kimlik doğrulama gerektirmediği için saldırganların kolayca istismar edebileceği bir açık oluşturmaktadır. Microsoft, bu özelliğin sadece tecrübeli kullanıcılar için önerildiğini belirtmekte ve yanlış yapılandırmanın ciddi güvenlik problemlerine yol açabileceği konusunda uyarmaktadır.
Phishing Kampanyasının Belirlenmesi
Varonis’in Yönetilen Veri Tespiti ve Yanıtı (MDDR) ekibi, bu phishing kampanyasını tespit etti. Mayıs 2025’te başladığı belirlenen kampanya, ABD’de 70’ten fazla kuruluşu hedef alıyor. Saldırıların büyük kısmı Finans, İnşaat, Mühendislik, Üretim, Sağlık hizmetleri ve Sigorta sektörlerinde gerçekleşmekte.
Joseph Avanzato, Varonis Güvenlik Operasyonları ve Adli Grup Lideri, "Hedef alınan şirketlerin %90’ından fazlası, özellikle finansal hizmetler ve üretim alanında faaliyet göstermektedir" demekte. Saldırılar PowerShell aracılığıyla, şirketin akıllı sunucusunu kullanarak gönderiliyordu. Bu durum, saldırganların dış IP adreslerinden içerik göndermesine olanak tanımaktadır.
Phishing E-postası ve Yöntemleri
Attackers, e-posta kampanyalarını sesli mesaj veya faks bildirimleri şeklinde gönderiyor. E-posta başlıkları genellikle "Yeni Faks Mesajı" veya "Arayan Sesli Mesaj Bıraktı" gibi ifadeler içeriyor. E-postaların içinde, hedefe tıklama yaptıracak şekilde düzenlenmiş PDF dosyaları bulunmaktadır. Bu dosyalar, şirket logosu ile marka imajını güçlendirmektedir.
Örnek bir PowerShell komutu ile e-posta gönderimi yapılabiliyor. Örneğin:
powershell
Send-MailMessage -SmtpServer company-com.mail.protection.outlook.com -To [email protected] -From [email protected] -Subject "Yeni Faks Mesajı" -Body "Bir arama aldınız! Dinlemek için tıklayın. Şimdi Dinle" -BodyAsHtml
Bu, kimlik doğrulaması gerektirmediği için, birçok güvenlik filtresinden kaçış sağlamaktadır. E-postalar içinde yer alan QR kodu, kullanıcıları bir phishing sayfasına yönlendiriyor. Bu sayfa, sahte bir Microsoft giriş formu barındırarak, çalışanların kimlik bilgilerini çalmaya yönelik bir plan içermektedir.
Tehditleri Azaltma Yöntemleri
Varonis, bu tür sucks tehditlerine karşı bazı önlemler almayı öneriyor. Exchange Admin Center içinde "Reject Direct Send" ayarının etkinleştirilmesi, şirketlerden istenilen bir önlem olarak öne çıkıyor. Microsoft, bu özelliği 2025’te tanıttı ve kullanıcıları SPF yumuşak-hata yapılandırmasına geçmeye teşvik ediyor. Bu, bazı durumlarda routing hatalarının önlenmesine yardımcı olmakta.
Daha sıkı bir DMARC politikası (p=reject) benimsemek, kimlik doğrulaması yapılmamış iç mesajların gözden geçirilmesini gerektirmektir. Bunun yanı sıra, Anti-Spoofing politikaları oluşturmak ve çalışanları QR phishing saldırılarına karşı eğitmek de kritik öneme sahiptir.
Direkt gönderim, doğru yapılandırıldığında etkili bir özellik olsa da, yanlış ellerde büyük bir saldırı vektörüne dönüşebilir. Varonis, "E-postalarınızı denetlemek veya bu tür korumaları etkinleştirmemişseniz, şimdi harekete geçmenin tam zamanı." diye vurgulamaktadır. İçeriden gelen e-postaların her zaman güvenli olmadığını unutmamak gerekir.
