Phishing Saldırıları ve Axios’un Rolü
Son zamanlarda, phishing (oltalama) saldırıları, özellikle kötü niyetli aktörlerin Axios gibi HTTP istemci araçlarını kullanarak daha karmaşık ve etkili hale geldi. ReliaQuest tarafından hazırlanan bir raporda, bu tür araçların, Microsoft’un Direct Send özelliğiyle birleştirildiği ve çok verimli bir saldırı hattı oluşturduğu belirtildi. Axios kullanıcı etkinliğinin, Haziran’dan Ağustos 2025’e kadar %241 oranında arttığı, diğer tüm kullanıcı ajanlarının toplam artışının ise sadece %85 olduğuna dikkat çekildi.
Axios’un Kullanımı ve Phishing Kampanyaları
Bu durumu etkileyici kılan, Axios’un son dönemdeki phishing kampanyalarında sıkça kullanılmaya başlamasıdır. Proofpoint, Ocak 2025’te Axios’un kötüye kullanımına dair uyarılarda bulunmuştu. Microsoft 365 ortamlarında hesap ele geçirme (ATO) saldırıları gerçekleştirmek için HTTP istemcilerinin kullandığını belirtti. ReliaQuest, Axios’un bu tür aktivitelerde yaygın bir şekilde kullanılmasının nedeninin, aracın sağladığı özelleştirme ve esneklik olduğunu ifade etti. Yani, farklı düzeylerdeki saldırganlar, Axios’u kullanarak çeşitli saldırı senaryolarını gerçekleştirebiliyor.
Microsoft 365 ve Direct Send Özelliği
Ayrıca, phishing kampanyaları Microsoft 365’teki Direct Send özelliğini kullanarak güvenilir kullanıcıları taklit ederek e-posta göndermeyi artırmış durumda. Bu, saldırganların güvenilir bir iletim yöntemi kullanarak, mesajlarının güvenli geçitlerin üzerinden geçmesini sağlıyor ve kullanıcıların gelen kutularına ulaşmasını kolaylaştırıyor. Yakın dönemde yapılan bir araştırmada, Axios ve Direct Send’in birleşimle gerçekleştirdiği saldırıların %70 başarı oranına ulaştığı gözlemlendi.
Hedef Alınan Sektörler ve Stratejiler
ReliaQuest, bu kampanyaların 2025’in Temmuz ayında başladığını ve başlangıçta finans, sağlık ve üretim sektörlerinde üst düzey yöneticileri hedef aldığına dikkati çekti. Ancak zamanla tüm kullanıcılara yönelik saldırılar düzenlenmeye başlandı. Bu strateji, saldırganların güvenlik önlemlerini aşmalarını kolaylaştırma ve aynı zamanda çok daha geniş bir kullanıcı kitlesine ulaşmalarını sağlıyor.
Gerekli Önlemler ve Kurumsal Güvenlik
Bu tür saldırılardan korunmak için, organizasyonların Direct Send özelliğini güvence altına alması, gerekmedikçe devre dışı bırakması ve e-posta geçitlerinde uygun anti-spoofing politikaları uygulaması gerekiyor. Ayrıca çalışanların phishing e-postalarını tanıyabilmeleri amacıyla eğitimlere tabi tutulması da büyük bir önem taşıyor. Şüpheli alan adlarının engellenmesi önerilen diğer bir önlem.
Gelişmiş Saldırı Taktikleri
Saldırılarda kullanılan e-posta mesajları, tazminat temalı tuzaklar içeriyor. Alıcıları, kötü amaçlı QR kodları içeren PDF belgeleri açmaya ikna ediyor. Bu QR kodlarının taranması, kullanıcıları Microsoft Outlook’u taklit eden sahte giriş sayfalarına yönlendiriyor ve bu sayede kimlik bilgilerini çalıyor. Bazı sahte sayfaların, Google Firebase altyapısında barındırılması, güvenilir bir platform üzerinden saldırganların mükemmel bir şekilde gizlenmesine olanak tanıyor.
Aktörler ve Eylem Kapasitesi
Saldırganlar, Axios ile çok faktörlü kimlik doğrulama (MFA) sistemlerinin nasıl aşılacağına dair bilgi edinmiş durumda. Axios sayesinde, oturum belirteçleri veya MFA kodları yakalanabiliyor. Bu da kullanıcıların verilerine erişimi kolaylaştırıyor. ReliaQuest, Axios’un kullanıcıların meşru iş akışlarını taklit edebilme yeteneğini de vurguladı.
Sonuç ve Gelecek Tehditleri
Elde edilen bulgular, phishing saldırılarının kurumsal standartlarda operasyonlar haline geldiğini, gelişmiş kaçış taktikleri ve inandırıcı MFA simülasyonları kullanıldığını gösteriyor. Kullanıcıların mevcuttaki güvenlik sistemlerini aşabilmek için, güvenilir platformları ve kurumsal portalları taklit eden saldırganlar, ne yazık ki geleneksel savunma mekanizmalarının yetersiz kaldığı bir yeni tehdit düzeyini temsil ediyor. Saldırılar, karmaşık bir yapı ile hem işletmeler hem de bireyler için ciddi tehlikeler oluşturuyor.
