Giriş
Siber güvenlik araştırmacıları, çok faktörlü kimlik doğrulama (MFA) korumalarını aşmak için meşru giriş sayfalarını proxy hizmetiyle taklit eden yeni bir phishing seti olan Starkiller‘ın ayrıntılarını açıkladı. Bu durum, siber suçlular için güvenliğin önemli bir zayıflığı haline gelmiştir ve dikkatle izlenmesi gereken bir tehdit oluşturur.
Saldırı Nasıl Çalışıyor?
Starkiller, Jinkusu adlı tehdit grubu tarafından bir siber suç platformu olarak tanıtılmaktadır. Kullanıcılar, markalarını taklit edebilecekleri veya gerçek bir URL girebilecekleri bir kontrol paneline erişim sağlar. Ayrıca, “giriş”, “doğrula”, “güvenlik” veya “hesap” gibi özel anahtar kelimeler seçimi yapma imkanı sunar ve hedef URL’yi maskelemek için TinyURL gibi URL kısaltıcıları entegre eder.
Araştırmalara göre, bu platform bir headless Chrome instance (görünür bir pencere olmadan çalışan bir tarayıcı) başlatmakta ve bunu bir Docker container içinde yürütmektedir. Gerçek markanın web sitesi yüklenirken, sahte giriş sayfası ile meşru site arasında bir ters proxy işlevi görmektedir.
Bu yaklaşım sayesinde saldırganlar, hedef alıcıya gerçek sayfa içeriğini doğrudan sunar ve phishing sayfasının güncel kalmasını sağlar. Çünkü Starkiller, gerçek siteyi canlı olarak proxylediği için, güvenlik uzmanlarının parmak izleriyle tanıyacağı veya kara listeye alacağı şablon dosyaları yoktur.
Etkilenen Sistemler
Saldırının etkilediği sistemler ve uygulamalar:
- Microsoft 365 hesapları
- 1Password kullanıcıları
- Finansal kurumlar (bankalar ve kredi birlikleri)
Phishing kampanyaları, bu hedeflere yönelik saldırılarla giderek daha karmaşık hale gelmektedir. Örneğin, OAuth 2.0 cihaz yetkilendirme akışını kullanarak MFA’yı aşarak Microsoft 365 hesaplarını tehlikeye atan yeni bir saldırı tespit edilmiştir. Saldırgan, Microsoft OAuth uygulamasında kaydolur ve hedefe bir phishing e-postasıyla benzersiz bir cihaz kodu gönderir.
Çözüm ve Korunma
Bu tür tehditlere karşı alınabilecek önlemler:
- Düzenli yazılım güncellemeleri yaparak güvenlik açıklarını kapatmak.
- Güçlü çok faktörlü kimlik doğrulama (MFA) yöntemlerini uygulamak.
- Şüpheli e-postalardan gelen bağlantılara tıklamaktan kaçınmak.
- Ağ trafiğini izleyerek olağan dışı aktiviteleri tespit etmek.
Siber suçluların bu tür saldırılarla daha az deneyime sahip bireyleri hedef aldıkları göz önüne alındığında, herkesin dikkatli olması büyük önem taşır.
Sonuç
Sonuç olarak, kullanıcıların güvenliklerini artırmak için yazılımlarını güncellemeleri ve şüpheli etkinlikleri sürekli izlemeleri gerekmektedir. Özellikle, MFA korumasını güçlendirerek ve bilgilendirilmiş kalmalarını sağlayarak bu tür saldırılara karşı önlem almaları büyük bir önem arz etmektedir.
