Siber suçlular, karmaşık iki adımlı kimlik avı saldırıları başlatmak için giderek daha fazla Microsoft Office Forms kullanıyor. Şu anda, belirli kişiler Office Forms aracılığıyla Microsoft 365 (M365) oturum açma bilgilerini ifşa etmeye kandırılıyor.
Tehdit aktörleri, tedarik zincirleri boyunca iki aşamalı kimlik avı saldırıları başlatmak için “harici hesap ele geçirme” veya satıcı e-posta ihlali olarak bilinen tekniği kullanır ve ihlal edilen iş ortaklarının ve satıcıların e-posta adreslerini kullanır.
Perception Point’in güvenlik araştırma ekibi, Cyber Security News’e yaptığı açıklamada, “Saldırı, ele geçirilmiş meşru hesaplardan kaynaklanıyor ve bu da e-posta güvenlik çözümlerinin e-postaları kötü amaçlı olarak işaretlemesini zorlaştırıyor” ifadelerini kullandı.
Gelen kutunuzdaki gerçek zamanlı gelişmiş tehditleri görmek için, Trustifi gibi önde gelen e-posta güvenliği firmaları mevcut e-posta korumanızı atlatmış olabilecek tehditleri size gösterecektir. Ücretsiz bir deneme yapabilirsiniz Tehdit Taraması.
Saldırı Nasıl Gerçekleştiriliyor?
Saldırganlar, Microsoft Office Forms’u kullanarak, zararlı bağlantıları gizleyerek meşru görünen formlar tasarlıyorlar.
Daha sonra, Adobe veya Microsoft Sharepoint belge görüntüleyicisi gibi saygın web sitelerini ve markaları taklit etme girişimiyle, bu formlar toplu olarak hedeflere e-postayla gönderiliyor ve parola değişikliği veya kritik belgelere erişim gibi meşru taleplermiş gibi gösteriliyor.
Form, kullanıcıdan belgeyi görüntülemek ve anketi tamamlamak için bir bağlantıya tıklamasını istiyor; orijinal görünüyor ve güvenilir bir web sitesinde bulunuyor.
İşte mağdura gönderilen Microsoft Office formunun bağlantısını içeren e-posta.
Office Form’da M365 kimlik doğrulaması için gerekli bir adım gibi gizlenmiş kötü amaçlı URL Bir kullanıcı bağlantıya tıkladığında, oturum açma kimlik bilgilerini toplamak amacıyla Adobe veya Microsoft 365 hesap sayfası gibi sahte bir oturum açma sayfasına yönlendirilir.
Perception Point raporuna göre, Saldırganlar formlarının meşruiyetini artırmak için iyi bilinen favicon’ları ve ilgi çekici sayfa başlıklarını kullanır. Favicon’lar tarayıcı sekmesinde görünen küçük simgelerdir ve saldırganlar Microsoft ile ilgili simgeleri kullanarak sahte sayfalarının görünürdeki gerçekliğini artırırlar.
Meşru https://forms.office.com URL’sini kullanarak saldırganlar, Microsoft sayfasının ikna edici bir “görünüm ve hissini” yaratabilirler.
Bu iki aşamalı bir kimlik avı saldırısıdır çünkü saldırgan ilk önce Office Forms, Canva ve diğer bazı bilinen web sitelerini kendi çıkarları doğrultusunda kullanır.
İkinci adım, kullanıcının meşru web sitesindeki başka bir bağlantıya tıklaması ve bu bağlantının, kimlik bilgilerinin çalındığı sahte bir sayfaya yönlendirmesidir.
Perception Point tarafından tespit edilen bir diğer varyasyon ise Adobe’nin iki adımda kimlik avı giriş sayfasını taklit ediyor.
Araştırmacılar, iki adım içeren kimlik avı saldırılarını engellemek için gelişmiş bir nesne algılama modeli önerdi. Bu model, her web sayfasının ekran görüntüsünü alarak ve tıklanabilir öğeleri belirleyerek kurbanın katılımını taklit eder.
Bu yöntem, orijinal bağlantı zararsız görünse bile, daha sonraki aşamalarda herhangi bir kötü amaçlı yükün tespit edilip önlenmesini sağlar.
Evades Gateways Nedir?
İki Adımlı Kimlik Avı saldırıları, tehlikeye atılmış meşru hesapları kullanarak tespitten kaçınır; bu da kimlik avı saldırılarının tespit edilmesini zorlaştırır. e-posta güvenlik çözümleri e-postaları kötü amaçlı olarak tanımak için.
Alıcıların tanıdık göndericilerden gelen e-postalara güvenme ve etkileşim kurma olasılığı daha yüksektir. Başlangıçta, e-postadaki bağlantı, güvenlik filtrelerini aşmaya yardımcı olan saygın bir web sitesine yönlendirir.
Kötü niyetli faaliyet ancak kimlik avı girişiminin gerçekleştiği ikinci aşamada ortaya çıkar ve bu da saldırının başarı şansını artırır.
Saldırıya Karşı Güvenliğin Sağlanması
Kullanıcılar, kimlik bilgilerini isteyen e-postalar aldıklarında kendilerini bu kimlik avı kampanyasından korumak için dikkatli olmalıdırlar. Güvenliğinizi sağlamak için birkaç öneri:
- İş e-postalarınızı gelişmiş korumayla koruyun Yapay Zeka Destekli E-posta Güvenliği.
- Güvenilir bir göndericiden geliyor gibi görünse bile, oturum açma bilgilerinizi isteyen e-postalar aldığınızda dikkatli olmanız önemlidir.
- Bir e-postanın gerçekliğini her zaman doğrudan göndericiyle iletişime geçerek doğrulamak önemlidir.
- Çevrimiçi kimlik bilgilerinizi girerken her zaman dikkatli olmanız önemlidir. Verilerinizin güvenliğini sağlamak için, bilgilerinizi yalnızca geçerli bir SSL sertifikasına sahip web sitelerinde sağlayın.
- İki faktörlü kimlik doğrulamayı (2FA) uygulayarak hesabınızın güvenliğini artırın.
- En son güvenlik yamalarını yükleyerek yazılımlarınızın ve işletim sisteminizin her zaman güncel olduğundan emin olun.
- Microsoft Office formlarını kullanan iki adımlı kimlik avı kampanyası, önemli sonuçlar doğurabilecek oldukça gelişmiş bir saldırıdır. Olası saldırılar hakkında bilgi sahibi olarak ve gerekli önlemleri alarak, bu kimlik avı kampanyasının kurbanı olmaktan kendinizi etkili bir şekilde koruyabilirsiniz.
- Giriş bilgilerinizi isteyen e-postalar aldığınızda dikkatli olmanız önemlidir. Geçerli bir SSL sertifikası olmayan bir web sitesine kimlik bilgilerinizi girerken her zaman dikkatli olun.
Download Free Cybersecurity Planning Checklist 2024 (PDF) – Download Here