Phishing Saldırıları ve OAuth Kullanımı Üzerine Uyarı
Microsoft, son zamanlarda siber güvenlik alanında önemli bir tehdit oluşturan phishing kampanyaları hakkında uyarıda bulundu. Bu kampanyalar, hem phishing e-postaları hem de OAuth URL yönlendirme mekanizmaları kullanarak geleneksel phishing savunmalarını aşma çabasındadır.
Saldırı Nasıl Çalışıyor?
Microsoft’un açıklamalarına göre, bu saldırılar genellikle kamu sektörü ve hükümet organlarını hedef alarak, kurbanları saldırganların kontrolündeki altyapıya yönlendirmeyi amaçlamaktadır. Burada OAuth‘ın tasarım gereği işlevselliğine dayanarak kimlik tabanlı bir tehdit ortaya çıkmaktadır. Saldırganlar, yaygın kimlik sağlayıcıları olan Entra ID ya da Google Workspace ile oluşturulmuş URL’leri manipüle ederek kullanıcıları kötü niyetli açılış sayfalarına yönlendirmektedir.
- Saldırganlar, kendi kontrolündeki bir kiracı altında kötü niyetli bir uygulama oluşturur.
- Uygulama, kötü bir alan adına işaret eden bir yönlendirme URL’si ile yapılandırılır.
- Phishing bağlantısı, alıcılardan kötü niyetli uygulamaya kimlik doğrulaması yapmalarını isterken kasıtlı olarak geçersiz bir kapsam kullanır.
Bu yönlendirme, kullanıcıların istemeden kötü amaçlı yazılımları cihazlarına indirmesine yol açmaktadır. Microsoft, kötü amaçlı yüklerin ZIP arşivleri biçiminde dağıtıldığını ve açıldığında PowerShell çalıştırma, DLL yan yükleme gibi görevler gerçekleştirdiğini belirtmektedir.
Etkilenen Sistemler
Saldırılar, Windows tabanlı sistemler başta olmak üzere, kullanıcıların kimlik bilgilerini tehlikeye atan birçok platformu hedef alabilmektedir. Dinamit uygulamaları, kullanıcıları sosyal güvenlik, mali ve siyasi konularda özel içeriklerle yanıltarak bağlantıya tıklamaya teşvik etmektedir.
- Malicious payloads ZIP arşivleri ile gelir.
- Windows kısayolu (LNK) açıldığında bir PowerShell komutu çalışır.
- Sonunda dışarıyı arayan bir command-and-control (C2) sunucusuna bağlanılır.
Çözüm ve Korunma
Kurumların, kullanıcı izinlerini sınırlamaları, uygulama izinlerini düzenli olarak gözden geçirmeleri ve kullanılmayan veya aşırı yetkilendirilmiş uygulamaları kaldırmaları önerilmektedir. Ayrıca, Microsoft, bazı kötü niyetli OAuth uygulamalarını araştırma sonucunda kaldırdığını bildirmiştir.
- Kullanıcı izinlerini sınırlayın.
- Uygulama izinlerinizi düzenli olarak gözden geçirin.
- Kullanılmayan veya gereğinden fazla yetkilendirilmiş uygulamaları kaldırın.
Sonuç
Kullanıcıların hemen şimdi mevcut uygulama izinlerini gözden geçirmeleri ve gereksiz izinlere sahip uygulamaları kaldırmaları gerekmektedir. Ayrıca, şüpheli linklere tıklamaktan kaçınmalı ve yalnızca güvenilir kaynaklardan gelen e-postalara yanıt vermelidirler. Bu tür tehditlere karşı proaktif bir tutum benimsemek, siber güvenliğinizi korumanın en iyi yoludur.
