Giriş
Microsoft, büyük ölçekli bir kimlik bilgisi çalma kampanyasını gün yüzüne çıkardı. Bu kampanya, kullanıcıları saldırgan kontrollerindeki alanlara yönlendirmek için karmaşık sosyal mühendislik taktikleri kullanarak kimlik doğrulama jetonlarını çalmaktadır.
Saldırı Nasıl Çalışıyor?
Kampanya, 14-16 Nisan 2026 tarihleri arasında 35,000’den fazla kullanıcıyı hedef aldı ve toplamda 13,000’den fazla kuruluşu etkiledi. Hedeflerin %92’sinin ABD’de bulunması dikkat çekicidir. Phishing e-postalarının büyük bir kısmı sağlık, finans, profesyonel hizmetler ve teknoloji yazılım sektörlerine yönelmiştir. Microsoft Defender Güvenlik Araştırma Ekibi, kampanyada kullanılan oltalama e-postalarının “kurumsal tarzda HTML şablonları” ile hazırlandığını ve bu durumun e-postaların makul görünümünü artırdığını belirtti.
E-posta mesajları, “İç Denetim Raporu”, “İşgücü İletişimleri” gibi isimler kullanarak çalışanlara hitap eden aşağıdaki konu başlıklarıyla kişiselleştirilmiştir:
- “Davranış politikası uyarınca iç vakat kaydı yayımlandı”
- “Hatırlatma: işveren bir uyumsuzluk vakat kaydı açtı”
E-postaların üst kısmında, “Yetkili bir iç kanal aracılığıyla gönderilmiştir” ibaresi yer almakta; bu, iletinin geçerliliğini güçlendirmektedir. Ayrıca, ek olarak gönderilen PDF dosyaları, hedeflerin kimlik bilgilerini çalmak için bir bağlantıya tıklamaya teşvik etmek üzere tasarlanmıştır.
Etkilenen Sistemler
Saldırının son aşaması, adversary-in-the-middle (AiTM) oltalama taktiklerini kullanarak kullanıcıların Microsoft kimlik bilgilerini gerçek zamanlı olarak elde etmektedir. Bu durum, saldırganların çok faktörlü kimlik doğrulamayı (MFA) bypass etmesine olanak tanımaktadır. Microsoft, bu saldırı akışının, kullanıcının mobil cihazlaştır (mobil cihaz mı yoksa masaüstü sistemi mi) bağlı olarak farklı hedeflere yönlendirildiğini belirtmiştir.
Phishing Trendleri 2026
Microsoft’un, 2026’nın ilk çeyreğindeki e-posta tehdit manzarası analizi, QR kodu oltalamasının en hızlı büyüyen saldırı vektörü haline geldiğini göstermektedir. Üç aylık dönemde 8.3 milyar e-posta tabanlı oltalama tehdidi tespit edilmiştir. Bu saldırıların neredeyse %80’i bağlantı temellidir ve SQL ve ZIP dosyaları büyük ölçüde bu e-postalarda yer almaktadır.
Ocak ayında 7.6 milyon QR kodu oltalama saldırısı kaydedilirken, Mart’ta bu sayı 18.7 milyona ulaşarak %146’lük bir artış göstermiştir. Bu süre zarfında, QR kodlarının doğrudan e-posta içeriğine yerleştirildiği notable bir gelişme gözlemlenmiştir.
Çözüm ve Korunma
Microsoft, kullanıcıların iki önemli koruma önlemi almalarını önermektedir:
- E-posta filtreleme ve güvenlik yazılımlarınızı güncelleyin.
- Herhangi bir şüpheli e-posta veya mesaj aldığınızda bağlantıya tıklamaktan ve ek dosyaları açmaktan kaçının.
Ayrıca, güncellemeleri düzenli olarak takip etmek ve gereken durumlarda portlarınızı kapatmak büyük bir önem taşımaktadır.
Sonuç
Kullanıcılar, özellikle iş ortamlarında gelen her e-postayı dikkatle incelemeli, e-posta kaynaklarının güvenilirliğinden emin olmalıdır. Güncellemeleri zamanında yapmak ve siber güvenlik bilinci geliştirmek, bu tür tehditlere karşı koymanın en etkili yollarındandır.
