Bilgisayar korsanları artık şirketlerin İnsan Kaynakları (İK) departmanlarını taklit ederek çalışanları hassas bilgilerini ifşa etmeye kandırıyor.
Son kimlik avı taktiği, siber tehditlerin giderek daha karmaşık hale geldiğini, kurumsal ortamları istismar etmek için güven ve aciliyet duygusunun kullanıldığını ortaya koyuyor.
Bu yazıda, bu kimlik avı girişiminin mekaniğini inceliyor ve çalışanların bu tür dolandırıcılıkların kurbanı olmaktan kaçınmalarına yardımcı olacak fikirler sunuyoruz.
Sahte E-postanın Anatomisi
Söz konusu kimlik avı e-postasının Google, Outlook 365 ve Proofpoint tarafından korunan ortamlarda tespit edildiği belirtildi.
Bir şirketin İK departmanından gelen resmi bir bildirimi andıracak şekilde hazırlanmış ve dikkat çekici bir konu satırıyla tamamlanmış: “Önemli: Gözden Geçirilmiş Çalışan El Kitabı.”
Bu konu satırı, alıcıların e-postayı tereddüt etmeden açmasını sağlayacak bir aciliyet duygusu yaratmak için tasarlanmıştır.
İçeride e-postada kurumsal iletişimlere özgü resmi bir dil ve yapılandırılmış bir format kullanılıyor.
Nazik bir selamlamayla başlıyor ve hızla revize edilmiş bir çalışan el kitabının incelenmesine yönelik bir direktife dönüşüyor.
Güvenlik Ekibiniz için Ücretsiz Olay Müdahale Planı Şablonunu İndirin – Ücretsiz İndirin
E-postada, mesajın aciliyetini ve önemini artırmak için genellikle gün sonuna kadar belirli bir son tarihe kadar uyum sağlanması gerektiği vurgulanır.
Bu kimlik avı e-postasının temel amaçları iki yönlüdür: Alıcıları gömülü bir köprü metnine tıklamaya ikna etmek ve sahte bir oturum açma sayfasına kimlik bilgilerini girmelerini sağlamak.
Güvenilir bir kaynak olan El Kitabı’ndan geliyormuş gibi görünen e-posta, alıcıları, doğruluğundan şüphe duymadan hemen harekete geçmeye ikna etmek için otorite ve aciliyet duygusunu kullanır.
Psikolojik Manipülasyon Taktikleri
Cofense’in haberine göre, bu kimlik avı kampanyasının arkasındaki tehdit aktörleri, alıcıları manipüle etmek için psikolojik taktikler kullanıyor.
Şirket politikalarına uyulmaması korkusuyla oynuyorlar ve el kitabında belirtilen önemli değişiklikler vaat ediyorlar.
Bu manipülasyonun amacı, istenmeyen e-postalarla başa çıkarken doğal şüpheciliği ve dikkatliliği ortadan kaldırmaktır.
E-posta, “GÖZDEN GEÇİRİLEN ÇALIŞAN EL KİTABI İÇİN İK UYUM BÖLÜMÜ” olarak maskelenmiş bir köprü metni içeriyor. Bu bağlantıya tıklandığında, alıcılar meşru bir belge barındırma sitesini taklit eden bir sayfaya yönlendiriliyor.
Burada, onları daha da tuzağa düşüren bir “DEVAM ET” düğmesi sunulur. “DEVAM ET” düğmesine tıkladıklarında, kullanıcılar Microsoft markalı bir sayfaya yönlendirilir.
İşte burada kimlik avı saldırısı daha karmaşık hale geliyor. Sayfa Microsoft kimlik bilgilerini istiyor ve ikna edici bir şekilde meşru görünüyor.
Saldırı Nasıl Gerçekleşiyor
Kullanıcılar şirket e-posta adreslerini girdiklerinde, şirketlerinin Microsoft Office 365 oturum açma sayfasına yönlendiriliyorlar.
Kullanıcı adlarını ve muhtemelen şifrelerini girdikten sonra, “Beklenmeyen bir dahili hata oluştu” ifadesini içeren bir hata mesajı alıyorlar.
Lütfen tekrar deneyin.” Bu mesaj hilenin bir parçasıdır. Kullanıcılar daha sonra gerçek şirket Tek Oturum Açma (SSO) veya Okta oturum açma sayfasına yönlendirilir ve bu da küçük bir sorun olduğunu düşünmelerine neden olur. Bu arada, tehdit aktörü kullanıcı adlarını ve muhtemelen şifrelerini ele geçirmiştir.
Bu kimlik avı kampanyası, kurumsal ortamlarda güven ve aciliyeti istismar eden siber tehditlerin giderek daha karmaşık hale geldiğinin bir örneğidir.
Bu tür riskleri azaltmak için kuruluşların, kullanıcı farkındalığı eğitimleri ve gelişmiş e-posta güvenliği çözümleri de dahil olmak üzere güçlü siber güvenlik önlemleri kullanması gerekir.
Bu gelişen tehditlere karşı korunmada, teknolojik savunmayı, savunmanın ilk hattı olarak dikkatli çalışanlarla birleştiren çok katmanlı bir yaklaşım hayati önem taşıyor.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial