Uzmanlar, eğitim sektöründeki kurbanlardan Microsoft 365 kimlik bilgilerini çalmaya çalışan lojistik devi DHL’i taklit eden yeni bir kimlik avı kampanyasının ortaya çıkarıldığını iddia etti.
Armorblox’tan siber güvenlik araştırmacıları kısa bir süre önce, bir “özel eğitim kurumuna” ait gelen kutularına 10.000’den fazla e-postanın gönderildiği büyük bir kimlik avı kampanyası keşfetti.
E-posta, DHL’den geliyormuş gibi görünecek şekilde yapılmıştır: şirket markasını ve nakliye deviyle ilişkilendirilebilecek ses tonunu taşır. “DHL Gönderi Belgesi/Fatura Makbuzu” başlıklı e-postada alıcıya, bir müşterinin bir paketi yanlış adrese gönderdiği ve doğru teslimat adresinin verilmesi gerektiği bilgisi verilir.
E-posta açıkça, açıldığında bir Microsoft Excel dosyasının bulanık bir önizlemesi gibi görünen “Gönderim Belgesi Fatura Makbuzu” başlıklı uygun bir ekle birlikte gelir.
Bulanık belgenin üzerinde, kurbanları dosyanın içeriğini görüntülemek için Microsoft 365 hesaplarında oturum açmaları gerektiğini düşünmeye kandırmaya çalışan bir Microsoft oturum açma sayfası açılır. Kurbanlar oturum açma kimlik bilgilerini verirlerse, doğrudan saldırganlara giderler.
Armorblox, “E-posta saldırısı, hem Microsoft Office 365 hem de EOP e-posta güvenlik denetimlerini atlamak için dili ana saldırı vektörü olarak kullandı” dedi. “Bu yerel e-posta güvenlik katmanları, toplu spam ve kimlik avı kampanyalarını ve bilinen kötü amaçlı yazılımları ve kötü URL’leri engelleyebilir. Ancak bu hedefli e-posta saldırısı, herhangi bir kötü URL veya bağlantı içermediği ve kötü amaçlı bir kimlik avı formu içeren bir HTML dosyası içerdiği için Microsoft e-posta güvenliğini atladı.”
Araştırmacıların söylediği gibi, saldırganlar Microsoft’un e-postasını atlamalarına izin veren geçerli bir etki alanı kullandı. (yeni sekmede açılır) kimlik doğrulama kontrolleri.
İşletmeleri kimlik avı saldırılarına karşı korumanın en iyi yolu, çalışanlarını, gönderenin e-posta adresi, e-postadaki yazım hataları ve imla hataları, aciliyet duygusu (meşru e-postalar neredeyse hiçbir zaman kullanıcının acilen tepki vermesi) ve beklenmeyen bağlantılar/ekler.
Üzerinden: SilikonAçı (yeni sekmede açılır)
