Giriş
Son yıllarda siber suçların işleyiş şekli hızlı bir şekilde evriliyor. Özellikle Microsoft 365 hesaplarının hedef alındığı ClickFix ve ConsentFix gibi saldırılar, kullanıcıların alışkanlıklarından yararlanarak siber tehditleri etkili bir şekilde yaymaya devam ediyor.
Saldırı Nasıl Çalışıyor?
Bu saldırılar, internet kullanıcılarının günlük alışkanlıklarını hedef alarak başarılı oluyor. Yetkili bir kullanıcı girişi sağlamak üzere geliştirilen sahte istemlerle kullanıcıları kandırmak, kötü niyetli kişilerin en çok başvurduğu yöntemlerden biri haline geldi.
ClickFix saldırısı, kurbanı yanıltmak amacıyla sahte bir istem gösteriliyor. Kullanıcıdan belirli bir klavye kısayolu kombinasyonunu kullanarak kötü niyetli komutları kendi makinesinde çalıştırması isteniyor. Bu yöntemde hiçbir zafiyetin exploite edilmesine veya güvenlik duvarı ile karşılaşmasına gerek yok; yalnızca doğru anda sunulan ikna edici bir yalan yeterli oluyor. ClickFix, 2025’te patlak verdi ve hala aktif. Saldırganlar, bu kavramı daha karmaşık bir hale getirmek için yeni yöntemler araştırıyor.
Etkilenen Sistemler
Yeni saldırı varyantı ConsentFix, Microsoft 365’in OAuth onay akışlarına yöneliyor. Kullanıcılar, genellikle dikkat etmeden geçiştirdikleri standart Microsoft kimlik doğrulama ekranları ile karşılaşıyor. Bu senaryo genellikle güvenilir platformlardan – örneğin Dropbox veya DocSend gibi – gelen bir oltaya dayanıyor, bu da güvenlik araçlarının daha fazla inceleme yapmasını zorlaştırıyor.
Hedef kullanıcı, bir localhost geri arama bağlantısını tarayıcıya sürükler. Ancak bu adım, gerçek bir kimlik doğrulama işlemini tamamlamaktan ziyade, kullanıcının OAuth token’larını saldırgana teslim ettiği tuzaktır. Kullanıcı, sahte bir form yerine gerçek bir kimlik doğrulama süreci tamamlıyormuş gibi hissediyor ve böylece oturumun kendisi çalınıyor.
Suçlular Açıkça Plan Paylaşıyor
2026’nın başlarında, ConsentFix hakkında ayrıntılı bir rehber, kamusal bir Rus siber suç forumunda yayımlandı. Bu rehber, çalışır kodlar, altyapı ekran görüntüleri ve saldırının nasıl oluşturulup uygulanacağına dair bir video içeriyordu.
Saldırganlar, hedefleri belirleyebilmek için LinkedIn gibi araçları kullanarak organizasyonları haritalandırıyor ve oltalarına gerçek kişilere özel hale getiriyor. Böylelikle teknik bilgi gerektiren bir yöntem artık basit bir dokümantasyon ile ele alınabilir hale geldi.
Çözüm ve Korunma
Farkındalık, hala önemli bir rol oynamaktadır. Bu saldırılar, insanların alışılmış süreçleri duraksamadan geçmesini sağlamak için tasarlanmıştır. Bir web sitesinin neden sıcak tuşlara basmanızı ya da garip bir bağlantıyı tarayıcıya sürüklemenizi istediğini sorgulamak, sorunu anında çözebilir.
Ancak sadece farkındalık sağlamak yeterli olmayacaktır; çünkü bu saldırılar sıradan bir işlem gibi görünmeye özel olarak tasarlanmıştır. Savunucuların, alışılmadık kullanıcı aktivitelerini tespit etme kapasitesine ihtiyacı vardır. Örneğin, normal kullanıcı süreçlerinden kaynaklanan olağandışı PowerShell etkinlikleri veya beklenmeyen yerlerden gelen yeni oturum girişleri gibi.
Sonuç olarak, uç nokta ve kimlik izleme, bu sinyalleri ortaya çıkartarak gözden kaçırılan bir anlık kararın tüm hesapların tehlikeye girmesine dönüşmesini engelleyebilir.
Sonuç
Kullanıcılar, her zamanki gibi geldikleri iş akışlarını sorgulamalı ve dikkatli olmalıdır. En kısa zamanda Microsoft 365 hesaplarındaki güvenlik ayarlarını gözden geçirin, mümkünse çok faktörlü kimlik doğrulamayı etkinleştirin ve hiç kullanılmayan portları kapatın. Ayrıca, sistem güncellemelerini sürekli olarak takip edin ve son güncellemeleri uygulayın. Bu adımlar, hem bireysel hem kurumsal güvenlik seviyelerini artıracak ve olası saldırılara karşı bir önlem oluşturacaktır.


