Microsoft 365 hesaplarına yönelik OAuth tabanlı kimlik avı saldırılarında düşman aktörlerin artış göstermesi, siber güvenlik alanındaki endişeleri artırıyor. Bu saldırılarda, saldırganlar kurbanları Microsoft’un meşru cihaz giriş sayfasında bir cihaz kodu girmeye ikna ederek, kurbanın hesaplarına erişim sağlıyor. Bu süreçte kurbanın kimlik bilgilerini çalmadan veya çok faktörlü kimlik doğrulama (MFA) aşamasını atlamadan, saldırgan kontrolündeki bir uygulamayı yetkilendirmiş oluyor.
Artan Tehditler ve Saldırı Yöntemleri
Proofpoint, Eylül ayından bu yana bu tür saldırılarda büyük bir artış gözlemlediğini bildiriyor. Bu saldırılar, hem finansal kazanç sağlamak amacıyla hareket eden siber suçlular tarafından hem de devlet destekli tehdit aktörleri tarafından gerçekleştiriliyor. Özellikle, TA2723 olarak adlandırılan grup gibi yüksek hacimli kimlik avı gerçekleştiren aktörler, bu yeni yöntemi kullanmaya başladı.
Saldırganlar, hedeflerini kandırmak için farklı yollar kullanıyor. Örneğin, cihaz kodu bazen bir tekil şifre olarak gösteriliyor, bazen ise bir jeton yeniden yetkilendirme bildirimi olarak sunuluyor. Saldırılara yönelik iki ayrı phishing kiti, SquarePhish ve Graphish, bu süreçleri daha da kolaylaştırıyor.
Öne Çıkan Kampanyalar
Proofpoint’ın raporuna göre üç ana kampanya öne çıkıyor:
- İkramiye Saldırıları: Kurbanlar, belgelerin paylaşıldığı gömülü bağlamalarla kurbanlara gönderilen bağlantılara tıklamaları için ikna ediliyor. Ardından, Microsoft’un meşru cihaz giriş sayfasında bir kod girmeleri isteniyor.
Kaynak: Proofpoint
- TA2723 Saldırıları: Bu aktör, Microsoft OneDrive, LinkedIn ve DocuSign gibi platformları taklit ederek yüksek hacimli kimlik avı saldırıları gerçekleştiriyordu. Son dönemde OAuth cihaz kodu kimlik avı yöntemini de kullanmaya başladı.
Kaynak: Proofpoint
- Devlet Destekli Faaliyetler: Eylül 2025’ten itibaren, Rusya’ya bağlı olduğu düşünülen bir aktörün, devlet ve askeri e-posta hesaplarına erişerek, kurbanları OneDrive bağlantılarıyla cihaz kodu kimlik avına yönlendirdiği gözlemlendi. Bu faaliyetler, ABD ve Avrupa’daki kamu, akademik ve ulaşım sektörlerini hedef alıyor.
Kaynak: Proofpoint
Saldırılardan Korunma Yöntemleri
Bu tür saldırıları önlemek için Proofpoint, organizasyonların Microsoft Entra Koşullu Erişim sistemini kullanmalarını ve oturum açma yerleri üzerinde bir politika oluşturmalarını öneriyor. Bu önlemler, kurumsal hesapların güvenliğini artırmak ve potansiyel tehditlere karşı korunmak açısından önemli adımlar olacaktır.
Bireysel kullanıcıların da dikkatli olması, şüpheli e-postalardaki bağlantılara tıklamaması ve iki faktörlü kimlik doğrulama süreçlerini güçlendirmesi önerilmektedir. Ancak en iyi güvenlik uygulamalarıyla birlikte sürekli farkındalık sağlanması, bu tür tehditlerin etkisini azaltacaktır.
