Dolandırıcılık amaçlı kişisel veri bilgilerinin (‘isim’, ‘Sosyal Güvenlik numarası’, ‘kredi kartı bilgileri’ vb.) çalınmasına “kimlik hırsızlığı” adı verilmektedir.
Bu tür siber suçlar sıklıkla “mali kimlik hırsızlığı”, “tıbbi kimlik hırsızlığı” ve “suçlu kimlik hırsızlığı” olarak adlandırılsa da her birinin mağdura özel etkisi bulunmaktadır.
Microsoft’un güvenlik analistleri yakın zamanda kimlik avı yapanların dosya barındırma hizmetlerini kimlik avı amacıyla aktif olarak kötüye kullandığı kampanyaları gözlemledi.
Bilgisayar Korsanları Meşru Dosya Barındırma Hizmetlerini Kötüye Kullanıyor
Microsoft’un siber güvenlik ekibi, tehdit aktörlerinin “gelişmiş savunmadan kaçınma teknikleri” yoluyla güvenilir dosya barındırma platformlarını (“SharePoint”, “OneDrive” ve “Dropbox”) istismar ettiği karmaşık siber saldırılarda önemli bir artış tespit etti.
Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free
Bu tehdit aktörleri, “e-posta patlatma sistemleri” ve “çok faktörlü kimlik doğrulama (MFA)” gibi geleneksel güvenlik önlemlerinden kaçınmak için özellikle “sınırlı erişim mekanizmaları” ve “salt görüntüleme dosya izinleri” kullanıyor.
Saldırı zinciri genellikle tehdit aktörlerinin güvenilir bir satıcının hesabını ele geçirmesi ve ardından meşru bildirim sistemlerini (“no-reply@dropbox” gibi) kullanarak kötü amaçlı dosyaları paylaşmasıyla başlar.[.]com”) belirli kuruluşları hedeflemek için kullanılır.
.webp)
Bu paylaşılan dosyalar genellikle karmaşık kısıtlamalarla yapılandırılmış acil veya bağlamsal olarak alakalı adlarla (“Denetim Raporu 2024” veya “BT Dosyalama Desteği 2024” gibi) gizlenir.
Aşağıda bu kısıtlamalardan bahsettik: –
- Bunlara yalnızca amaçlanan alıcılar erişebilir.
- Tek kullanımlık şifreler (OTP) aracılığıyla yeniden kimlik doğrulama gerektirirler.
- Zaman sınırlı erişim pencereleri vardır.
- Dosya indirmeyi engellerler.
Bu metodoloji öncelikle ‘finansal sahtekarlığa’, ‘yetkisiz veri sızmasına’ ve ‘ağ uç noktaları arasında yanal harekete’ olanak tanıyan “BEC saldırılarına” yol açar.
Tehdit aktörleri, “meşru dosya paylaşım hizmetleriyle” ilişkili “örtük güveni” istismar ediyor.
Bu kampanyalardan, özellikle güvenliği ihlal edilen gönderenin hedef kuruluşun “Exchange Online politikaları”nda zaten beyaz listeye alınmış olması durumunda “rutin iş iletişimleri” gibi görünerek güvenlik protokollerinden kaçma konusunda özellikle etkili bir şekilde yararlanırlar.
Gelişmiş bir kimlik hırsızlığı saldırısında, kullanıcılar “paylaşılan bir dosyaya” eriştiklerinde ‘çok aşamalı bir güvenlik ihlali süreciyle’ karşılaşırlar.
Başlangıçta, “e-posta adreslerini” isteyen bir doğrulama istemi alırlar ve ardından “sahte Microsoft adresinden” gönderilen görünüşte meşru bir “OTP” alırlar (“[email protected][.]com”).
“OTP”ye girdikten sonra kullanıcılara, aldatıcı bir “Mesajımı görüntüle” bağlantısını içeren meşru bir belge önizlemesi gibi görünen bir şey sunulur.
Bu bağlantı tıklandığında onları bir “AiTM” kimlik avı sayfasına yönlendirir. Microsoft raporuna göre, bu sahte sayfada kullanıcılar, hesap kimlik bilgilerini (“şifre” ve “Çok Faktörlü Kimlik Doğrulama (MFA) yanıtı”) sağlamaya yönlendiriliyor.
Tüm bu ele geçirilmiş kimlik doğrulama belirteçleri bir kez elde edildikten sonra, tehdit aktörlerinin ikincil BEC saldırıları başlatmasına olanak tanır; burada “meşru kullanıcıların kimliğine bürünebilir”, “hassas bilgilere erişebilir” ve “potansiyel olarak sahte mali işlemler başlatabilir” veya “saldırıyı kuruluşun ağına yayabilir” .”
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Entra’da Koşullu Erişim politikalarını etkinleştirin.
- Oturum açma değerlendirmesi için kimlik odaklı sinyalleri kullanın.
- Uyumlu cihazlarla ve güvenilir IP’lerle koruyun.
- Gerekirse güvenlik varsayılanlarıyla başlayın.
- Sürekli erişim değerlendirmesini uygulayın.
- FIDO2 anahtarlarıyla şifresiz oturum açmayı kullanın.
- Defender for Endpoint’te ağ korumasını açın.
- Cihazlar için Mobil Tehdit Savunmasını uygulayın.
- Edge ile kötü amaçlı web sitelerini ve Defender 365 ile e-postaları engelleyin.
- Entra ID Protection’daki şüpheli etkinlikleri izleyin.
- Şüpheli oturum açma işlemlerini araştırın.
- Kullanıcıları güvenli dosya paylaşımı riskleri konusunda eğitin.
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar