Yeni Phishing Kitleri Microsoft 365 Hesaplarını Hedef Alıyor
Son günlerde, Microsoft 365 hesaplarına yönelik iki yeni phishing kiti, Jalisco ve OmegaLord, keşfedilmiştir. Bu kitler, çok faktörlü kimlik doğrulamayı (MFA) aşabilen teknikler kullanarak kullanıcı bilgilerini hedef almaktadır.
Saldırı Nasıl Çalışıyor?
Jalisco, cihaz kodu phishing yöntemi kullanırken, OmegaLord sahte bir PDF okuyucu olarak kendini göstererek hesap giriş bilgilerini ve ilgili telefon numaralarını toplar. Bu bilgiler, saldırganın MFA isteklerini veya kodlarını ele geçirmesine yardımcı olabilir.
Jalisco: Kullanıcının oturum açma isteğini tetikleyerek, Microsoft’un OAuth 2.0 Cihaz Yetkilendirme Grant akışını kötüye kullanır. Kullanıcı, bir yetkilendirme kodu girerek saldırganın cihazına erişim izni vermektedir.
OmegaLord: Geleneksel phishing yöntemlerini kullanır ve sahte PDF giriş sayfası aracılığıyla e-posta adresleri, şifreler ve telefon numaralarını çalar.
Jalisco aracı, kullanıcı phishing sayfasını açtığında otomatik olarak yeni Microsoft OAuth cihaz kodları üretir. Bu kodlar, Microsoft’un cihaz kodlarının 15 dakikalık geçerlilik süresini aşabilmekte ve saldırganın kullanıcı hesaplarına erişimini kolaylaştırmaktadır.
Etkilenen Sistemler
Her iki phishing aracı da özellikle Microsoft 365 ve diğer SaaS hizmetlerine odaklanmaktadır. Analizler, saldırganların birkaç dakika içinde değerli verileri dışarı sızdırdığını göstermektedir.
- Etkilenen sistemler arasında:
- Microsoft 365
- SharePoint
- Diğer SaaS çözümleri
Saldırganlar, bir hesabı ele geçirdikten sonra aşağıdaki gibi verileri hedef alır:
- Müşteri veya çalışan kişisel verileri (PII)
- Mali kayıtlar
- İç iletişimler
Çözüm ve Korunma
ReliaQuest, kullanıcıların güvenliğini artırmak için şu önerilerde bulunmaktadır:
- Entra ID cihaz kayıt limitini varsayılan 50’den 1 veya 2’ye düşürün.
- Cihaz kodu kimlik doğrulamasını Microsoft Entra Koşullu Erişim aracılığıyla engelleyin.
- OAuth Cihaz Yetkilendirme grantını Okta’da kısıtlayın.
- Gereksiz uygulama kayıtlarını denetleyin ve kaldırın.
Bu adımlar, kullanıcı hesaplarının kötüye kullanımına karşı koruma sağlamaya yardımcı olacaktır.
Sonuç
Kullanıcıların, hesabı güvenli hale getirmek için derhal gerekli güncellemeleri yapması ve önerilen güvenlik ayarlarını uygulaması gerekmektedir. MFA korumalarına ek olarak, cihaz kayıtlarını yönetmek ve gereksiz erişimleri engellemek, olası hesap ihlallerini minimize edecektir. Hesaplarınızı korumak için bu önerileri dikkate alın ve güvenlik durumunuzu gözden geçirin.


