Giriş
Son yıllarda, OAuth 2.0 protokolünü kullanarak gerçekleştirilen cihaz kodu kimlik avı saldırılarında %37 oranında bir artış gözlemlenmiştir. Bu tür saldırılar, tehdit aktörlerinin hesapları ele geçirmesini kolaylaştırarak siber güvenlik tehditlerini artırmaktadır.
Saldırı Nasıl Çalışıyor?
Cihaz kodu kimlik avı saldırısında, saldırgan bir hizmet sağlayıcısına cihaz yetkilendirme isteği gönderir ve bir kod alır. Bu kod, çeşitli bahanelerle kurbanın dikkatine sunulur. Kurban, bu kodun meşru bir giriş sayfasında girilmesi için ikna edilir, böylece saldırganın cihazı, geçerli erişim ve yenileme jetonları aracılığıyla hesaba erişim kazanır.
Etkilenen Sistemler
Bu saldırı akışı, girdi seçeneği bulunmayan cihazların (IoT cihazları, yazıcılar, akış cihazları ve akıllı TV’ler gibi) bağlanmasını kolaylaştırmak için tasarlanmıştır. Ancak, bu işlemin suistimali, hem devlet destekli saldırganlar hem de mali motive olmuş hackerlar tarafından gerçekleştirilmiştir.
Artan Tehditler
Push Security tarafından yapılan incelemelere göre, “EvilTokens” olarak bilinen kimlik avı kitinin yaygın olarak benimsenmesi, bu saldırıların artışını büyük ölçüde tetiklemiştir. Bu tür saldırıları gerçekleştiren diğer platformlar ve kitler de bulunmaktadır:
- VENOM – Cihaz kodu kimlik avı ve AiTM yetenekleri sunan kapalı kaynaklı bir kit.
- SHAREFILE – Citrix ShareFile belge transferine yönelik temalı bir kit.
- CLURE – Dönüşümlü API uç noktaları ve anti-bot geçidi kullanan bir kit.
- LINKID – Cloudflare zorluk sayfaları kullanan bir kit.
- AUTHOV – Popup tabanlı cihaz kodu girişi sunan bir kit.
- DOCUPOLL – DocuSign iş akışlarını taklit eden bir kit.
- FLOW_TOKEN – Tencent Cloud altyapısı kullanan bir kit.
- PAPRIKA – Microsoft giriş sayfaları ile sahte Okta alt bilgisi barındıran bir kit.
- DCSTATUS – Microsoft 365 “Güvenli Erişim” temalı basit bir kit.
- DOLCE – Microsoft PowerApps üzerinde barındırılan temalı bir kit.
Çözüm ve Korunma
Cihaz kodu kimlik avı saldırılarını engellemek için Push Security, kullanılmadığında bu akışı devre dışı bırakmayı öneriyor. Kullanıcılar, hesaplarında koşullu erişim politikaları belirleyerek ve logları kontrol ederek beklenmeyen cihaz kodu kimlik doğrulama olaylarını takip etmeli:
- Kullanmadığınızda cihaz kodu akışını devre dışı bırakın.
- Logları inceleyerek alışılmadık IP adresleri ve oturumları kontrol edin.
Sonuç olarak, bu tür saldırılara karşı proaktif olmak kritik önem taşımaktadır. Sistemlerinizi güncel tutun, gereksiz portları kapatın ve şüpheli etkinlikleri takip edin.
