Giriş
Son günlerde, ABD, Kanada, Avustralya, Yeni Zelanda ve Almanya’daki 340’tan fazla kuruluşu hedef alan aktif bir cihaz kodu phishing kampanyası dikkat çekmektedir. Bu saldırılar, kullanıcı kimliklerini tehlikeye atarak ciddi güvenlik sorunlarına neden olabilmektedir.
Saldırı Nasıl Çalışıyor?
Cihaz kodu phishing, OAuth cihaz yetkilendirme akışı‘nı kullanarak saldırganın kalıcı erişim jetonları elde etmesine olanak tanır. Bu jetonlar, hesap parolasının sıfırlanmasının ardından bile geçerli kalır, bu da saldırının etkisini daha da artırır. Saldırı süreci şu şekilde işlemektedir:
- Saldırgan, kimlik sağlayıcıdan (örneğin, Microsoft Entra ID) meşru bir cihaz kodu API’si aracılığıyla bir cihaz kodu talep eder.
- Servis, cihaz kodu ile yanıt verir.
- Saldırgan, kullanıcının belirtilen kodu girmesi için ikna edici bir e-posta gönderir.
- Kullanıcı kodu ve kimlik bilgilerini girdikten sonra, servis kullanıcı için bir erişim ve tazeleme jetonu oluşturur.
Kullanıcı oltaya düştüğünde, kimlik doğrulama süreci sonucunda elde edilen jetonlar artık saldırgana aittir.
Etkilenen Sistemler
Bu kampanyadan etkilenen başlıca sektörler arasında:
- İnşaat
- Hayır kurumları
- Gayrimenkul
- İmalat
- Finansal hizmetler
- Sağlık hizmetleri
- Hukuk
- Devlet kurumları
Saldırganlar, genellikle meşru Microsoft altyapısını kullanarak kullanıcıların şüphelenmeden oturum açmalarını sağlıyorlar.
Çözüm ve Korunma
Huntress tarafından tespit edilen bu kampanyada kullanılan IP adresleri arasında Railway.com ‘a ait birkaç adres öne çıkmaktadır:
- 162.220.234[.]41
- 162.220.234[.]66
- 162.220.232[.]57
- 162.220.232[.]99
- 162.220.232[.]235
Bu tehditleri bertaraf etmek için önerilerimiz:
- Giriş kayıtlarını tarayarak Railway IP girişlerini tespit edin.
- Affected kullanıcılar için tüm tazeleme jetonlarını iptal edin.
- Mümkünse, Railway altyapısından gelen kimlik doğrulama girişimlerini engelleyin.
Kullanıcıların bu önlemleri alması, olası bir sızıntının önlenmesine yardımcı olacaktır. Güncellemeleri ve güvenlik yamalarını takip etmek de kritik bir önem taşımaktadır.
Sonuç
Kullanıcılar, e-posta ve bağlantılara karşı dikkatli olmalı ve kimlik bilgilerini girilecek sayfalarda her zaman dikkatli olmalıdır. Sisteminizi korumak için yukarıdaki adımları izlemeli ve mümkün olan en kısa sürede güçlü bir güvenlik önlemi almalısınız. Gerektiğinde IT departmanınızla iletişime geçin.
