Sneaky2FA ve Browser-in-the-Browser Tekniği Nedir?
Sneaky2FA, phishing-as-a-service (PhaaS) platformları arasında dikkat çekici bir popülariteye sahiptir. Son güncellemeleri ile birlikte, Browser-in-the-Browser (BitB) saldırı tekniğini de bünyesine katmıştır. Bu yeni özellik, özellikle Microsoft hesap bilgilerini çalmayı hedef alan saldırılarda kullanılmaktadır. Bunu gerçekleştirmek için, sahte bir tarayıcı penceresi oluşturarak kullanıcının dikkatini yanıltmakta ve gerçek kimlik doğrulama süreçlerini taklit etmektedir.
Sahtekarlığın Mekaniği
Sneaky2FA, daha önce SVG tabanlı saldırılar ve attacker-in-the-middle (AitM) teknikleri ile tanınmaktaydı. Bu yöntem, kullanıcının kimlik doğrulama sürecinin geçerli hizmete yönlendirilmesini gözeterek, yetkilendirilmiş oturum belirteçlerini saldırganlara iletmektedir. Bu durum, kullanıcıların iki aşamalı kimlik doğrulama (2FA) korumasını geçerek hesaplarına erişim imkanı sunmaktadır.
BitB Saldırıları Nasıl Gerçekleştiriliyor?
Push Security’nin raporuna göre, Sneaky2FA artık kullanıcılarını sahte Microsoft giriş pencereleri ile kandırmaktadır. Bu sahte pencereler, kullanıcının işletim sistemi ve tarayıcısına dinamik olarak uyum sağlayarak, inandırıcılığı artırmakta ve daha fazla kullanıcıyı tuzağa düşürmektedir. Kullanıcılar, bir phishing bağlantısına tıkladıklarında, başlangıçta sahte bir sayfada yer alan Cloudflare Turnstile bot kontrolünden geçmekte ve ardından Microsoft hesabıyla oturum açmaları istenmektedir.
Aldatmacanın Detayları
Kullanıcı “Microsoft ile giriş yap” seçeneğine tıkladığında, sahte BitB penceresi görüntülenmekte ve burada sahte bir Microsoft URL çubuğu yer almakta. Bu pencerede, sneaky2FA tarafından yüklenen ters proxy Microsoft phishing sayfası bulunmaktadır. Bu sayede, kullanıcıların hem hesap bilgilerini hem de oturum belirteçlerini çalmak mümkündür.
Dışarıdan bakıldığında, BitB tekniği, Sneaky2FA’nın mevcut AitM yeteneklerine ek olarak kullanılan bir kozmetik aldatma katmanı olarak işlev görmektedir. Bu, saldırı zincirinin daha gerçekçi görünmesini sağlamaktadır.
Phishing Siteleri ve Kaçış Yöntemleri
Sneaky2FA, botlar ve güvenlik araştırmacılarını yanıltmak için hesaplama yükümlülüğü kullanarak iyi tasarlanmış evazyon stratejileri ile sahte web siteleri oluşturmaktadır. Bu siteler, ziyaret edildiğinde uyarı vermeyecek şekilde tasarlanmıştır. Yaygın olarak kullanılan teknikler arasında HTML ve JavaScript kodlarının ağır şekilde obfuscation (kandırma) uygulanması bulunmaktadır. Bu tür manipülasyonlar, tarayıcıdaki kullanıcıların hiç bir şeyden haberdar olmadan geçiş yapmalarına olanak tanımaktadır.
Gerçekçi Pencereleri Tanımak
Kullanıcılar sahte giriş formlarının gerçek olup olmadığını anlamak için, pencereleri ana tarayıcı pencersinin dışına sürüklemeyi deneyebilirler. Bir iframe olduğu için, bu mümkün değildir. Ayrıca, gerçek bir açılır pencere, görev çubuğunda ayrı bir tarayıcı örneği olarak görünür.
Son zamanlarda Raccoon0365/Storm-2246 adlı bir diğer PhaaS hizmetinin de BitB desteği sunduğu görülmüştür. Bu hizmet, Microsoft ve Cloudflare tarafından yakalanarak binlerce Microsoft 365 kimlik bilgisi çalmaktan alıkonulmuştur.
Bu tür saldırılar, bireylere ve organizasyonlara büyük tehditler oluşturabilir. Farkındalık ve eğitim, bu tür tehditlerle başa çıkmanın en etkili yollarından biridir.
