Salty2FA: Tehdit Barındıran Yeni Bir Phishing Kit
Son yıllarda phishing saldırıları, kurumsal güvenlik açısından büyük bir tehdit oluşturmaktadır. Özellikle “Phishing-as-a-Service” (PhaaS) platformları, saldırganlara hızlı ve ucuz yollar sunarak şirket hesaplarına giriş yapmalarını sağlamaktadır. Salty2FA adı verilen yeni bir phishing kiti, iki faktörlü kimlik doğrulamanın (2FA) birçok yöntemini aşma kapasitesi ile dikkat çekmektedir. Bu yazımda Salty2FA’nın nasıl çalıştığı, kimleri hedeflediği, gerçek dünyada nasıl uygulandığı ve bunun yanı sıra güvenlik önlemlerinin nasıl alınabileceği konularını inceleyeceğiz.
Salty2FA’nın Bir Tehdit Olarak Önemi
Salty2FA’nın push, SMS ve sesli iki faktörlü kimlik doğrulamasını geçebilme yeteneği, çalınan kimlik bilgilerini doğrudan hesap ele geçirme eylemine dönüştürmektedir. Bu araç, özellikle finans, enerji ve telekomünikasyon sektörlerine odaklanarak, yaygın phishing e-postalarını yüksek etkili ihlallere dönüştürüyor.
Kimler Hedef Alınıyor?
ANY.RUN analistleri, Salty2FA kampanyalarının faaliyetlerini haritalandırdı ve bu kitin birçok farklı bölge ve sektörde aktif olduğunu ortaya çıkardı. Özellikle ABD ve AB ülkeleri yoğun bir şekilde hedef alınmaktadır. İşte bu süreçte öne çıkan bazı bölgeler ve hedeflenen sektörler:
Amerika Birleşik Devletleri: Finans, sağlık hizmetleri, devlet, lojistik, enerji, IT danışmanlığı, eğitim, inşaat.
Avrupa (İngiltere, Almanya, İspanya, İtalya, Yunanistan, İsviçre): Telekom, kimyasallar, enerji (özellikle güneş enerjisi), sanayi üretimi, gayrimenkul, danışmanlık.
Dünya Genelinde: Lojistik, IT, metalurji (Hindistan, Kanada, Fransa, LATAM).
Salty2FA Ne Zaman Faaliyete Geçti?
ANY.RUN’ın sağladığı verilere göre, Salty2FA’nın faaliyetleri 2025 Haziran ayında ivme kazanmaya başladı. İlk izlerin Mart veya Nisan ayında ortaya çıkmış olabileceği düşünülüyor. Onaylı kampanyalar Temmuz ayının sonlarına doğru aktif hale geldi ve günümüzde bile birçok yeni analiz seansı düzenlenmektedir.
Gerçek Dünya Örneği: Salty2FA’nın Şirket Çalışanlarını Nasıl Kandırdığı
ANY.RUN tarafından incelenen bir güncel olay, Salty2FA’nın nasıl etkili olabileceğini göstermektedir. Bir çalışan, “Dış İnceleme Talebi: 2025 Ödeme Düzeltmesi” konulu bir e-posta aldı. Bu e-posta, aciliyet duygusu yaratarak şüpheyi aşmayı amaçlayan bir tuzak içermekteydi.
Bu e-posta açıldığında, saldırı zinciri şu adımlarla ilerledi:
Aşama 1: E-posta tuzağı
E-posta, rutin bir iş mesajı olarak gizlenmiş bir ödeme düzeltme talebi içeriyordu.
Aşama 2: Yönlendirme ve sahte giriş
E-posta içindeki bağlantı, Microsoft markalı bir giriş sayfasına yönlendiriyordu ve Cloudflare kontrolleri ile otomatik filtreleri geçiyordu. ANY.RUN’ın otomatik etkileşimi, doğrulama işlemini otomatik olarak gerçekleştirdi.
Aşama 3: Kimlik bilgisi hırsızlığı
Çalışanın sayfada girdiği bilgiler, saldırganların kontrolündeki sunuculara aktarılıyordu.
Aşama 4: 2FA geçişi
Eğer hesapta çok faktörlü kimlik doğrulama etkinse, phishing sayfası kodları istemekteydi ve *push*, *SMS* veya sesli çağrı doğrulamalarını kesilebiliyordu.
Bu süreçler, SOC ekiplerinin tam yürütme zincirini gerçek zamanlı olarak görebilmesine olanak tanıyarak, tehdit analizi sürecini hızlandırıyor.
Salty2FA’yı Durdurmak İçin Neler Yapılmalı?
Salty2FA, phishing-as-a-service geliştirmelerinin ne kadar hızlı evrildiğini gösteriyor. Güvenlik ekipleri (SOC) için korunma yolları şunlardır:
Davranışsal tespit: Değişken göstergeler yerine, tekrarlayan desenleri izleyerek koruma sağlamak.
Şüpheli e-postaları bir sandbox ortamında patlatmak: Tam zincir görünürlüğü, kimlik hırsızlığı ve 2FA girişimlerini gerçek zamanlı olarak açığa çıkarır.
MFA politikalarını güçlendirmek: SMS ve sesli doğrulama yerine uygulama tabanlı veya donanım token’larını tercih etmek.
Çalışanlara eğitim vermek: “Ödeme düzeltmesi” veya “fatura beyanı” gibi yaygın tuzaklara karşı dikkatli olmalarını sağlamak.
Sandbox sonuçlarını entegre etmek: Gerçek saldırı verilerini SIEM/SOAR sistemine entegre ederek tespiti hızlandırmak.
Bu önlemlerle, şirketler Salty2FA’yı daha iyi yönetilebilir bir tehdit haline getirebilirler.
Etkinlik Değerlendirmesi İçin Etkileşimli Sandbox Kullanımı
Gelişmiş phishing kitlerine karşı savunmalarını güçlendirmek isteyen işletmeler, ANY.RUN gibi etkileşimli sandbox çözümlerine yöneliyor. Sonuçlar ise çarpıcı:
3 kat SOC etkinliği: Etkileşimli analiz ve otomasyonu birleştirerek sağlanıyor.
%50 daha hızlı incelemeler: Zaman azalması saatlerden dakikalar seviyesine iniyor.
%94’lük kullanıcı kesimi daha hızlı triage yapıldığını bildirmekte, bu da net IOCs ve TTPs sayesinde karar verme süreçlerini iyileştiriyor.
%30 daha az Tier 1-Tier 2 yükseltmeleri: Genç analistlerin güveni arttıkça, kıdemli personel daha kritik görevlere odaklanabiliyor.
Kuruluşlar, tehditleri daha hızlı ve etkili bir şekilde durdurabilmek için bu tür çözümleri benimsemektedirler.
