Günümüzün kimlik avı yöntemleri, e-posta güvenlik çözümlerini atlamak ve doğrudan kurbanın gelen kutusuna kötü amaçlı bir e-posta göndermek için meşru bulut hizmetlerini kötüye kullanmayı içerir.
Bu son örnekte, Trustwave’den siber güvenlik araştırmacıları, kurbanlarına sahte açılış sayfalarına bağlantılar sağlamak için Microsoft’un Hak Yönetim Hizmetlerini (RMS) kötüye kullanan bir tehdit aktörü buldu. Araştırmacılar, saldırıların son derece hedefli olduğunu ve hafifletilmesinin oldukça zor olduğunu söylüyor.
Saldırıda, tehdit aktörleri kurbanlarına mesaj göndermek için önceden çalınmış bir e-posta hesabını kullanacak. Mesaj, RSM hizmeti kullanılarak oluşturulan bir ek içerecektir, yani şifrelenecektir ve .RPMSG uzantısını taşıyacaktır. Microsoft, okuyucuları önce kimlik doğrulaması yapmaya zorlayarak hassas dosyalar için ek bir koruma katmanı sunmak üzere RSM’yi tasarladı.
Hassas verileri çalmak
Kimlik doğrulama, Microsoft hesabı kullanılarak veya tek seferlik bir parola kullanılarak yapılabilir.
Kullanıcılar kimliklerini doğruladıktan ve mesajı okuma yetkisi verildikten sonra, Adobe’nin InDesign hizmetinde barındırılan sahte bir SharePoint belgesine yönlendirilecekler. Belge, kullanıcıları “Yükleniyor” mesajıyla boş bir sayfaya götüren bir “Belgeyi Görüntülemek İçin Burayı Tıklayın” eylem çağrısına sahiptir. Bu yalnızca bir dikkat dağıtmadır, kötü amaçlı bir komut dosyası ise arka planda hassas verileri çeker.
Veriler arasında ziyaretçi kimliği, bağlantı belirteci ve hash, video kartı oluşturucu bilgileri, sistem dili, cihaz belleği, donanım eşzamanlılığı, yüklü tarayıcı eklentileri, tarayıcı penceresi ayrıntıları ve işletim sistemi mimarisi yer alır. Bu işlem tamamlandıktan sonra sayfa, ziyaretçinin oturum açma kimlik bilgilerini çalan ve saldırganlara gönderen sahte bir Microsoft 365 oturum açma formuna yeniden yüklenir.
Trustwave raporunda, “Kullanıcılarınızı tehdidin doğası konusunda eğitin ve dış kaynaklardan gelen beklenmedik mesajların şifresini çözmeye veya kilidini açmaya çalışmayın” dedi.
“Microsoft 365 hesaplarının güvenliğinin ihlal edilmesini önlemeye yardımcı olmak için Multi-Factor Authentication’ı (MFA) etkinleştirin.”
Çok faktörlü kimlik doğrulama kusursuz değildir, ancak tehdit aktörlerinin hedeflerinin uç noktalarına erişim elde etmek için çok daha fazla çalışmasına neden olur. Kurulumunun oldukça basit olduğu göz önüne alındığında, MFA siber güvenlik camiasında övgüyle karşılanmakta ve endüstri standardı olarak kabul edilmektedir.
Aracılığıyla: BleepingBilgisayar
