Bu haftanın başlarında Microsoft, Eylül 2021’de başlayan kapsamlı bir kimlik avı kampanyasında 10.000’den fazla kuruluşun hedef alındığını duyurdu. Bu kampanyada bilgisayar korsanları, Microsoft Office 365’in kimlik doğrulama sürecinden ödün vererek MFA özellikli hesapları ele geçirdi.
Tehdit aktörleri, özel olarak tasarlanmış sahte açılış sayfaları kullanarak Office 365 kimlik doğrulama sürecini ele geçirmeyi ve kullanıcı verilerine erişim elde etmeyi başardı.
Microsoft’taki araştırmacılar, gözlemlenen kimlik avı e-postalarının, kurbanları, e-posta açıldıktan sonra genellikle kötü amaçlı içerik içeren açılış sayfalarına yönlendirdiği.
Sonuç olarak, hedeflerin yeniden yönlendirilen HTML sayfaları aracılığıyla alınmasını sağlamak için kapı bekçisi görevi gören HTML eklerinin uygulandığı bir sistem kurdular.
Ortadaki düşman (AitM) yeteneklerine sahip kimlik avı siteleri de dahil olmak üzere, izinsiz girişlerde kullanılan çeşitli yöntemler vardı. Bu durumda bir saldırgan, kurbanın bilgisayarı ile saldırmaya çalıştığı web sitesi arasında bir proxy sunucusu kurar.
Hedeflenen bir kimlik avı e-postası, daha sonra kimlik bilgileri ve bir MFA kodu soracak benzer açılış sayfalarına yönlendirilecek olan alıcılara gönderilecektir.
İşte Microsoft’un belirttiği şey: –
“Kimlik avı sayfasında iki farklı Aktarım Katmanı Güvenliği (TLS) oturumları—biri hedefle, diğeri hedefin erişmek istediği gerçek web sitesiyle. Bu oturumlar, kimlik avı sayfasının pratikte bir AiTM aracısı olarak işlev gördüğü, tüm kimlik doğrulama sürecini durdurduğu ve HTTP isteklerinden parolalar ve daha da önemlisi oturum tanımlama bilgileri gibi değerli verileri çıkardığı anlamına gelir.
Kullanılan araç takımları
Açık kaynaklı kimlik avı araç setlerini ve diğer çevrimiçi kaynakları kullanarak, şu anda AiTM kimlik avı sürecini otomatikleştirmek mümkündür. Yaygın olarak kullanılan bir dizi popüler kit vardır, örneğin: –
- Evilginx2
- Modlishka
- Muraena
Veri Güvenliği Bozuldu
Bu kampanyanın bir parçası olarak bir ters proxy kullanıldı ve bunların barındırıldığı web sunucuları, kimlik avı sitelerini barındırmak için kullanıldı.
Bu sunucular ile hedeflerin kimlik doğrulama istediği meşru web sitesi arasında iki ayrı TLS oturumu kuruldu.
Sonuç olarak, saldırganın kimlik avı sitesi, kendileri ve kurban arasında bilgi aktarmak için ortadaki adam aracı olarak hizmet etti. Ele geçirilen HTTP isteklerinden kimlik doğrulama sürecini durdurur ve hassas bilgileri çıkarmak için bu bilgilerden yararlanır.
Aşağıda, tehdit aktörleri tarafından çıkarılan hassas verilerden bahsettik:-
- Şifreler
- Oturum çerezleri
Öneriler
Bu saldırılara karşı savunmak için aşağıdakileri destekleyen kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulama uygulamalarını kullanmanız şiddetle önerilir:-
- Sertifika tabanlı kimlik doğrulama
- Hızlı Kimlik Çevrimiçi (FiDO) 2.0
Microsoft tarafından sunulan diğer yaygın öneriler: –
- Şüpheli oturum açma girişimlerini her zaman izleyin
- Posta kutusu etkinliklerini izlediğinizden emin olun
- Katı koşullu erişim ilkeleri uygulayın
- Uygulamak 2FA kimlik doğrulama
- Güçlü bir şifre kombinasyonu kullanılmalıdır
bizi takip edebilirsiniz Linkedin, heyecan, Facebook günlük Siber Güvenlik güncellemeleri için.