Siber tehdit aktörleri, gerçek şirketleri taklit eden OpenAI organizasyonları kurarak çalışanları bu sahte ortamlara davet ediyor. Bu durum, hedeflerin hassas şirket bilgilerini yanlışlıkla paylaşmalarına neden olabilecek büyük bir güvenlik riskini birlikte getiriyor.

Saldırı Nasıl Çalışıyor?

Push Security, “Poisoned Tenant” kampanyasını keşfetti ve bu tür sahtekârlıkların genellikle belirli çalışanları hedef aldığını açıkladı. Davetiyelerin, OpenAI’nin meşru bildirim adresi olan noreply@tm.openai.com üzerinden gönderildiği ve normal bir ChatGPT davetiyesi ile birebir aynı şekle sahip olduğu belirlendi. Ancak, bu davetiyeler, Gmail adresleri kullanılarak saldırganlar tarafından oluşturulan sahte bir organizasyondan gelmekteydi.

Davet edilen çalışanlar, organizasyona kabul edildikten sonra Yöneticilik (Owner) yetkisiyle atandılar ve bu durum, onların kiralık ortamda yönetici izinlerine sahip oldukları anlamına geliyordu. Böylece diğer bekleyen davetiyeleri görüntüleyerek saldırganların oluşturduğu sahte ortamın iç yapısını keşfetme fırsatı buldular.

Etkilenen Sistemler

Kampanya, siber güvenlik ve teknoloji alanında faaliyet gösteren farklı şirketlerdeki çalışanları hedef alırken, bu tür sahte organizasyonların genel görünümü aşağıdaki hale geldi:

• Hem OpenAI’in meşru sistemlerinden duyuru almış gibi görünme.
• Gmail gibi güvenilir bir e-posta hizmeti kullanma.
• Bir kredi kartının bağlı olduğu sahte organizasyon hesabı oluşturma.

Bu bilgiler, saldırganların daha fazla güven oluşturmasına yardımcı olurken, gerçek organizasyonun ismine benzer adların kullanılmasının, hedefler üzerinde etkili olduğu gözlemlenmiştir.

Çözüm ve Korunma

Saldırılara karşı korunmak için şirketlere önerilerde bulunuldu:

• Çalışanları şüpheli davetiyelerin doğruluğunu kontrol etmeleri için eğitin.
• SaaS organizasyon üyeliklerini düzenli olarak izleyin.
• Davetiye e-postası üzerinde dikkatli analiz yapın; davet edenin e-posta alan adı ile kendi şirketinizin alan adını karşılaştırın.

Ayrıca, OpenAI’yle iletişime geçilmiş ve benzer kampanyalar hakkında bilgi talep edilmiştir.

Sonuç

Bu tür saldırılara karşı etkili bir önlem almak için şirketlerin tüm çalışanlarını eğitmeleri ve davetiyeleri dikkatlice incelemeleri kritik öneme sahiptir. Güncellemeleri uygulayın, bilinmeyen portları kapatın ve gerektiğinde e-posta güvenlik kontrollerinizi gözden geçirin. Unutmayın ki, doğru bilgi güvenliği önlemleri almak, siber tehditlere karşı ilk savunma hattını oluşturur.

Son zamanlarda popüler bir Google Chrome uzantısında ciddi güvenlik açıkları tespit edildi. Bu durum, kullanıcıların kişisel veri güvenliği ve gizliliği açısından önemli bir tehdit oluşturmakta.

Saldırı Nasıl Çalışıyor?

Yapılan analiz, Adblock for YouTube (ID: cmedhionkhpnakcndndgjdbohmhepckk) adındaki uzantının, kullanıcılara reklamları engelleme gibi işlevlerin yanı sıra, herhangi bir web sayfasında çalıştırılabilir rasgele JavaScript kodu yürütme yeteneğine sahip olduğunu ortaya koydu. Araştırmacılar Oleg Zaytsev ve Shachar Gritzman, bu özelliğin bir sunucu yapılandırma değişikliğiyle aktif hale getirilebileceğini, herhangi bir uzantı güncellemesi gerektirmediğini ve görünür bir değişiklik olmadan kullanılabileceğini bildirdi.

Etkilenen Sistemler

Bu uzantı, 2014’ten beri Chrome Web Mağazası’nda mevcuttur ve 10 milyondan fazla kurulumu bulunmaktadır. Geçmişte ad enjeksiyonu için kullanılan yazılım geliştirme kiti Unistream SDK ile birlikte gelmektedir. Uzantının kullanıcılar üzerinde potansiyel olarak veri çalma, sayfa okuma ve kişisel hesaplarda kullanıcı gibi hareket etme gibi eylemlere olanak tanıdığı vurgulanmaktadır.

Benzer Uzantılar

Özellikle şu uzantılar daha önce kötü amaçlı yazılımlar nedeniyle Chrome mağazasından kaldırılmıştır:

• Adblock for Chrome (ID: onomjaelhagjjojbkcafidnepbfkpnee)
• Adblock for You (ID: ogcaehilgakehloljjmajoempaflmdci)
• AdBlock Suite (ID: gekoepiplklhniacchbbgbhilidiojmb)

Çözüm ve Korunma

Güvenlik riski oluşturan bu tür uzantılara karşı kullanıcıların dikkatli olmaları, gerekli önlemleri almaları esastır. Aşağıdaki adımlar, potansiyel tehditlere karşı korunmanıza yardımcı olacaktır:

• Uzantınızı hemen güncelleyiniz veya kaldırınız.
• Tarayıcı uzantılarınızı düzenli olarak kontrol edip gereksiz olanları kaldırınız.
• Uzantılar hakkında kullanıcı yorumları ve puanları inceleyiniz.
• Sadece güvenilir kaynaklardan uzantı yükleyiniz.

Sonuç

Bu durum, uzantıların sağladığı fonksiyonlar kadar kullanıcı verilerinin güvenliği için de dikkatle izlenmesi gerektiğini göstermektedir. Kullanıcıların, adsız uzantılara karşı dikkatli olmaları ve önerilen güvenlik önlemlerini uygulamaları son derece önemlidir.

Hizmet masası sosyal mühendislik, saldırganların kurumsal sistemlere erişim sağlamak için kullandığı en etkili yöntemlerden biridir. 2025’te Birleşik Krallık’taki Marks & Spencer (M&S), Co-op ve Harrods gibi perakendecilere yönelik saldırılar, bu taktiklerin önemini gözler önüne serdi; ancak bu durum, yalnızca izole vakalar değildir.

Saldırı Nasıl Çalışıyor?

M&S durumunda, Yönetim Kurulu Başkanı Archie Norman, saldırganların bir çalışanı taklit edip, üçüncü taraf hizmet masası uzmanını kimlik bilgilerini sıfırlamaya ikna ederek iç sistemlere erişim sağladığını doğrulamıştır.

Daha yakın zamanda, Carnival Corporation bir siber güvenlik olayı bildirmiştir; bu olayda bir saldırgan, sosyal mühendislik kullanarak bir çalışanı kandırarak şirketin BT ortamına sınırlı bir erişim sağlamıştır.

Aynı dönemde, FBI, tehdit aktörleri Silent Ransom Group ile ilgili kuruluşları uyarmıştır; bu grup üyeleri, IT destek personeli gibi davranarak çalışanları meşru yönetim araçları kullanarak uzaktan erişim oturumlarına katılmaya ikna etmiştir.

Daha güçlü düzenlemeler, artan farkındalık ve yüksek profilli tutuklamalara rağmen, saldırganların bu yöntemle kurumsal ortamlara yönelik ilgisini azaltmakta yetersiz kalmaktadır. Bu tür saldırıların sürekli başarılı olması, basit bir gerçeği gözler önüne sermektedir: bir hizmet masasını ele geçirmek, koruduğu teknolojiyi ele geçirmekten genellikle daha kolaydır.

Neden Saldırganlar Hizmet Masalarını Hedef Alıyor?

Scattered Spider ve benzeri hackerlar, hizmet masalarını yüksek verimle düşük dirençle kurumsal ağlara giriş noktası olarak hedef almaktadır. İşte saldırganların hizmet masalarını neden başarıyla hedef almaya devam ettiğinin bazı nedenleri:

• İnsan zafiyeti: Hizmet masası personeli, sosyal mühendislik saldırıları konusunda bazı eğitim almış olsalar bile, temel olarak yardım etmeye odaklanmıştır. Bu da onları taklit girişimlerine karşı savunmasız hale getirebilir.
• Kimlik bilgilerine ve sıfırlara erişim: Hizmet masası ajanları genellikle parolaları sıfırlama, hesap oluşturma veya çok faktörlü kimlik doğrulamasını devre dışı bırakma yeteneğine sahiptir; bu da saldırganlara meşru erişim yolu sunmaktadır.
• Teknik engellerin aşılması: Saldırganlar, güvenlik duvarlarını aşmak veya yamalanmamış yazılımları istismar etmek yerine, sosyal mühendislik ile güveni ve manipülasyonu kullanarak kapıdan içeri girebilmektedir.
• Hız ve gizlilik: İyi hazırlanmış bir çağrı veya sohbet, genellikle güvenlik uyarılarını tetiklemeden, hızlı bir şekilde erişim sağlarken, saldırganlar iç süreçleri taklit edebilir veya iç numaraları taklit edebilirler.

Etkilenen Sistemler

Hizmet Masası Saldırısı Nasıl Gerçekleşiyor?

1. Keşif ve Hazırlık

• Hedefler: Merkezi olmayan veya dış kaynak kullanarak BT desteği olan büyük şirketleri belirleyin (örn. perakendeciler, kumarhaneler, havayolları).
• Bilgi toplama: LinkedIn, şirket şemaları veya veri sızıntılarını kullanarak çalışan adları, rolleri ve biletleme sistemlerine (örn. ServiceNow) dair bilgi edinin.
• Sahte telefon numaraları: İç telefon numaralarını taklit etmek için VoIP hizmetleri kurun; bazen SIM değiştirilmiş telefonlar veya Slack/e-posta sahtelemesi kullanın.

2. Taklit ve Sosyal Mühendislik

Yaklaşım: Hizmet masasını arayarak gerçek bir çalışan veya acil yardım gerektiren bir yüklenici taklidi yapın.

Yaygın bahaneler:

• “Kritik bir toplantı öncesi hesabıma giremiyorum.”
• “Telefonum kayboldu; bordro/e-posta erişimim için MFA’yı sıfırlamam gerekiyor.”
• “Bir olay yaşıyoruz ve çözmek için yönetici kimlik bilgisine ihtiyacım var.”

Ses tonu ve dil:

• Destek temsilcisini zorlamak için arkadaşça, aceleci veya biraz stresli bir ton kullanın.
• İç jargon veya referanslar kullanın (“Geçen hafta Mike’ın İşletme departmanını sıfırlarken girdiğin Okta’ya girebilir misin?”).
• Güven oluşturmak için yerel olaylardan bahsedin (hatta hava durumundan bile yorum yapın!).

3. Kimlik Bilgisi Sıfırlama ve MFA Aşma

Hedef: Hizmet masasını şöyle kandırın:

• Gerçek bir kullanıcının hesabındaki parolayı sıfırlama.
• Çok faktörlü kimlik doğrulamasını kaldırma veya yeniden kaydetme.
• Özel erişimi olan yeni bir hesap oluşturma.

Taktikler:

• Arayan kimliğini taklit etme veya doğrulama için sızdırılmış insan kaynakları bilgilerini kullanma.
• Eğer engellenirse, başka biri olarak yeniden arayın veya “Yönetici ile konuşabilir miyim?” gibi bir taktikle yükseltin.
• MFA kodlarını engellemek veya yeni bir cihaza gönderilmesini talep etmek için SIM değiştirilmiş telefonları kullanın.

4. Erişim ve Yanal Hareketlilik

• Taklit edilen çalışanın hesabından oturum açma.
• Gruplar politikası hataları, biletleme sistemleri veya iç araçlar (örn. Okta, Citrix, Azure AD) kullanarak yetkileri artırma.
• Zararlı yazılımlar kurma, verileri dışa aktarma veya kalıcılık sağlama (arka kapılar, sahte hesaplar).

5. Fidye yazılımı veya veri hırsızlığı

Hedefe bağlı olarak:

• Bir ortak aracılığıyla fidye yazılımı dağıtma, örneğin DragonForce (M&S saldırısında olduğu gibi).
• İkna veya şantaj amacıyla hassas verileri dışa aktarma (Caesars/MGM saldırılarında olduğu gibi).
• Gizlilik sağlama ve ilerideki kampanyalar için kezzaharet etme (özellikle aynı sektördeki birden fazla kurumu hedefliyorlarsa).

Çözüm ve Korunma

Kuruluşların, Scattered Spider gibi hizmet masası tabanlı sosyal mühendislik saldırılarına karşı kendilerini koruma yöntemleri şunlardır:

1. Parola sıfırlamaları için katı kimlik doğrulama gereksinimleri koyun; mesaj ile onay ya da bilinen ikinci bir iletişim yöntemi kullanın.
2. Kolayca sıfırlanamayacak veya aktarılmayacak şekilde MFA uygulayın, bunun için yüz yüze doğrulama veya yönetici onayı gerektir.
3. Hizmet masası personelini sosyal mühendislik taktiklerini tanımaları konusunda eğitin; özellikle acil veya histerik talepler ve sahte iç numaralara dikkat etmelerini sağlayın.
4. Yüksek ayrıcalıklı hesaplar için tekrar eden parola sıfırlamaları veya MFA kaldırımları gibi anormal hizmet masası etkinliklerini izleyin.
5. Yardım masası yetkilerini sınırlayın; ajanların yönetici veya BT kullanıcıları için erişimi sıfırlamalarını, yükseltmeden yapmalarına izin vermeyin.
6. Dış kaynaklı hizmet masası düzenlemelerini düzenli olarak gözden geçirerek, doğrulama prosedürleri, yükseltme yolları ve onay akışlarının düzgün bir şekilde belgelenmiş ve test edilmiş olmasına dikkat edin.
7. Rol tabanlı erişim denetimini kullanın ve tüm kimlik bilgisi değişikliklerini kaydedin; yüksek riskli kullanıcılar için uyarılar oluşturun.
8. Özellikle telefon ve sohbet bazlı saldırılar için düzenli olarak kimlik avı ve sosyal mühendislik simülasyonları gerçekleştirin.

Özellikle Scattered Spider gibi saldırılara karşı hizmet masanızı güvence altına almanın bir yolu olan Specops Secure Service Desk, kimlik doğrulama ekleyerek, parola sıfırlama ve hesap kurtarma taleplerinde güvenlik katmanları sağlar. Arayanların, herhangi bir işlem yapılmadan önce MFA, dizin nitelikleri veya özel zorluk soruları ile doğrulanması mümkündür.

Bir saldırgan bir çalışanın adını, rolünü veya iç terimleri biliyorsa bile kimliğini kanıtlamak zorundadır. Çözüm ayrıca denetim izleri ve hesap kurtarma işlemlerinin kontrolünü sağlar, bu da taklit ve yetkisiz erişim riskini azaltmaya yardımcı olur.

Ön saflarınızı koruyun. Scattered Spider’a karşı hizmet masanızı nasıl güçlendirebileceğinizi görmek için Specops Secure Service Desk’i inceleyin.

Bugün ücretsiz deneyin.

Bu makale Specops Software tarafından sponsorlu ve yazılmıştır.

FortiBleed Operasyonu

Rusça konuşan bir başlangıç erişim aracısı (IAB), dünya genelinde 430,000’den fazla FortiGate güvenlik duvarını hedef alan büyük ölçekli bir kimlik bilgisi toplama operasyonu olan FortiBleed ile ilişkilendirilmektedir. Şubat 2026’dan bu yana aktif olan bu kampanyanın, kimlik bilgisi listeleri toplamak, açık hizmetleri aramak, erişilebilir sistemlere brute-force saldırıları düzenlemek ve ele geçirilmiş güvenlik duvarlarına özel sniffer’lar dağıtmak gibi faaliyetleri içermektedir.

Saldırı Nasıl Çalışıyor?

SOCRadar, “Bir kez dağıtıldığında, bu sniffer’lar, ele geçirilmiş cihazlar üzerinden geçen trafiği izleyerek açık metin ve hashlenmiş kimlik bilgilerini yakalar,” dedi. Bu süreçte, saldırganlar elde ettikleri kimlik bilgilerini Active Directory etki alanları ve diğer açık hizmetler üzerinde kullanmak üzere çözer ve doğrular.

Operasyonun merkezinde, FortigateSniffer adlı Golang tabanlı bir araç bulunmaktadır. Bu araç, FortiOS’un yerleşik tanılama komutu olan -diagnose sniffer packet’i kullanarak enfekte olmuş cihazlardan kimlik doğrulama trafiğini pasif olarak yakalamaktadır. Araç, 24 protokol aracılığıyla trafiği izlemeyi, kimlik doğrulama verilerini ayrıştırmayı ve kimlik bilgilerini çıkarmayı hedeflemektedir.

Etkilenen Sistemler

Cambridge Analytica’nın eski başkanı olarak etkili olan bu kampanya, özellikle küçük ve orta ölçekli işletmeleri (SMB’ler) hedef alarak, aşağıdaki sistemleri etkilemektedir:

• Fortinetwork cihazları
• Synology NAS
• Sophos güvenlik duvarları
• RDWeb portalları
• Citrix SSL-VPN’ler
• MS-SQL sunucuları

Operasyon, 31 Mayıs ve 15 Haziran 2026’da gerçekleştirilen en az 659 kimlik bilgisi toplama hattıyla 110 milyondan fazla kimlik bilgisinin tanımlanmasıyla sonuçlanmıştır. Elde edilen kimlik bilgileri aşağıdaki gibi ayrılmaktadır:

• 14.8 milyon RADIUS kimlik bilgisi
• 924,000 NTLM hash
• 130,000 Kerberos hash
• 89 milyon MySQL kimlik doğrulama jetonu

Çözüm ve Korunma

FortiBleed kampanyası, beş aşamadan oluşan bir süreç içerisinde gerçekleşmektedir:

• Geniş çaplı keşif: Masscan ve Shodan gibi araçlar kullanarak internetten erişilebilir FortiGate güvenlik duvarlarını tespit ederek, FortiProbe-fast ve GeoSplit ile sistemleri ülkeye göre gruplama.
• Araçların ele geçirilmesi: “forticheck” adlı bir kimlik bilgisi kontrol aracı ile FortiGate yönetim paneli ve SSL-VPN portalını hedef alma.
• Trafigin izlenmesi: SSH aracılığıyla erişim kurulduktan sonra FortigateSniffer kullanarak 24 protokol üzerinde kimlik doğrulama trafiğinin pasif olarak çekilmesi.
• Hashlerin kırılması: Hashmat ve Hashtopolis gibi araçlar ile hashlerin kırılması ve bunların Telegram’ı yöneten HASHBOT tarafından yönetilmesi.
• Duyarlı veri sızıntısı: Ağ paylaşımlarından hassas verilerin alınması ve çalınan oturum çerezlerinin sürekli erişimi sağlamak amacıyla kullanılması.

Özellikle FortiGate güvenlik duvarı kullanıcılarının, sistemleri güncellemeleri, gereksiz açıkları kapatmaları ve güvenlik duvarı yapılandırmalarını gözden geçirmeleri kritik öneme sahiptir. Ayrıca, kullanımdaki araçların etkinliğini artırmak için farkındalık eğitimleri düzenlemeleri önerilmektedir.

Sonuç olarak, güvenlik güncellemelerinizi yapmayı, gereksiz portları kapatmayı ve sürekli sistem izleme yöntemlerine başvurmayı ihmal etmeyin. ]]>