Phishing Saldırısının Yeni Yöntemi: Microsoft Altyapısını Kullanma
Son dönemde, hackler yeni bir teknikle dikkat çekiyor. Bu teknik, meşru office.com bağlantılarını ve Active Directory Federation Services (ADFS) kullanarak kullanıcıları Microsoft 365 oturum bilgilerini çalan bir phishing sayfasına yönlendiriyor. Bu yöntem, saldırganların geleneksel URL tabanlı algılamalardan ve çok faktörlü kimlik doğrulama süreçlerinden kaçınmasını sağlıyor. Çünkü kötü niyetli kişiler, başlangıçta güvenilir bir Microsoft altyapısına sahip bir alan adı kullanarak yönlendirme yapıyorlar.
Güvenilir Yönlendirme Gerçeği
Push Security isimli, kimlik temelli saldırılara karşı koruma çözümleri sunan bir şirket, son zamanlarda gerçekleşen bir kampanyayı analiz etti. Bu kampanya, bazı müşterilerini hedef alarak onları meşru bir outlook.office.com bağlantısından bir phishing web sitesine yönlendirdi. Phishing sayfası özel algılamaları önlemek için herhangi bir unsur içermese de, teslimat yöntemi güvenilir altyapıyı kullanarak güvenlik agentlerini devre dışı bırakmaya başarılı oldu.
Araştırmalar sonucunda, phishing saldırısının hedefin Office 365 ile ilgili Google arama sonuçlarında bir kötü amaçlı sponsor bağlantısına tıklamasıyla başladığı belirlendi. Bu kötü niyetli bağlantıya tıklamak, hedefi Microsoft’un ofis sayfasına yönlendirdi. Ardından ise başka bir alan adına, bluegraintours[.]com yönlendirilerek, burada eklenen phishing sayfasına geçiş yapıldı.
İlk bakışta, kötü niyetli sayfaya ulaşmanın Microsoft’un office.com alan adı üzerinden yönlendirme ile gerçekleştiği görülmekteydi. Ancak, olayları inceleyen Push Security araştırmacıları, “saldırganın Active Directory Federation Services (ADFS) yapılandırılan özel bir Microsoft kiracısı kurduğunu” keşfetti.
ADFS ve Kimlik Yönetimi
ADFS, Microsoft’un sunmuş olduğu tek oturum açma (SSO) çözümüdür. Bu çözüm, kullanıcılara kurumsal ağ içinde ve dışındaki birçok uygulamaya, tek bir giriş seti ile erişim imkânı sağlamaktadır. Microsoft, ADFS hizmetinin Windows Server 2025’te mevcut olmaya devam ettiğini belirtmiş ancak müşterilerini Azure Active Directory (Azure AD)‘ye geçiş yapmaları konusunda teşvik etmektedir.
Saldırgan, Microsoft kiracısını kontrol ederek, ADFS ile bluegraintours alanından kimlik doğrulama talepleri almayı başardı. Bu alan, phishing sayfasında kimlik doğrulama sağlamak için bir kimlik ve erişim yönetimi (IAM) sağlayıcısı olarak çalıştı.
Bu süreçte, bluegraintours sitesi hedefin yönlendirme zinciri sırasında görünmez olduğundan, saldırgan bu siteyi sahte blog yazıları ve otomatik tarayıcılara meşru görünecek yeterli bilgi ile doldurdu. Yani, saldırı daha da karmaşık bir hal aldı.
Araştırmanın daha derinlemesine incelenmesi, saldırganın yalnızca geçerli hedeflere erişim izni veren koşullu yükleme kısıtlamaları uyguladığını ortaya çıkardı. Bu koşulları karşılamayan bir kullanıcı ise otomatik olarak meşru office.com sayfasına yönlendiriliyordu.
Sonuç ve Öneriler
Push Security’nin kurucu ortağı ve Ürün Müdürü Jacques Louw, bu saldırıların belirli bir sektörü veya meslek grubunu hedef almadığını belirtti. Bu durum, bir tehdit aktörünün yeni saldırı yöntemleri denemesi ile alakalı olabilir. Louw, “Gördüğümüz kadarıyla, bu gruplar çok güvenilir bağlantılara tıklamaları sağlamak için yenilikçi teknikler deniyorlar” dedi.
Microsoft ADFS’nin phishing kampanyalarında daha önce de kullanıldığı bilinmektedir. Ancak önceki saldırganlar, hedef örgütlerin ADFS giriş sayfasını taklit ederek kimlik bilgileri çalmaktadır. Bu tür saldırılara karşı korunmak için, Push Security, kötü hedeflere yönlendiren ADFS yönlendirmelerini izlemeyi öneriyor. Araştırma, ilgili saldırının kötü amaçlı reklamcılıkla başladığını belirttiğinden, işletmelerin Google üzerinde office.com‘a yönlendirilirken reklam parametrelerini kontrol etmeleri gerektiğine dikkat çekmektedir.
Kısacası, bu yeni phishing tekniği, çok dikkatli olunması gereken bir duruma işaret ediyor. Kullanıcıların, güvenli bağlantılar üzerinde dikkatli olmaları ve kötü niyetli tekliflerle karşılaşma olasılıklarına karşı hazırlıklı olmaları son derece önemlidir.
