Siber suçlular, meşru O365 etki alanlarına çok benzeyen yanıltıcı URL’ler kullanarak Microsoft 365 kullanıcılarını hedef alan karmaşık kimlik avı saldırıları gerçekleştiriyor ve şüphelenmeyen kurbanlarda yüksek derecede güven yaratıyor.
Saldırganlar, paniğe neden olmak ve kullanıcıları kötü amaçlı bağlantılara tıklamaya zorlamak için genellikle şifre süresinin yakında dolacağını iddia ederek sosyal mühendislik taktiklerinden yararlanıyor.
Tıklamanın ardından kullanıcılar, O365 kimlik bilgilerini çalmak üzere tasarlanmış kimlik avı sayfalarına yönlendiriliyor, bu da saldırganların hassas kurumsal verilere yetkisiz erişim sağlamasına olanak tanıyor ve potansiyel olarak iş operasyonlarını kesintiye uğratıyor.
Bu kimlik avı saldırısı, müşterinin adını ve görünüşte meşru bir güvenlik tanımlayıcısını içeren aldatıcı bir e-posta konu satırı kullanır. E-posta gövdesi hatalı bir şekilde alıcının şifresinin süresinin dolduğunu iddia ederek bir aciliyet duygusu yaratır.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
“Sakla” etiketli kötü amaçlı bir düğme içerir. [USER EMAIL] Access Active, kullanıcıyı, oturum açma kimlik bilgilerini girmesinin istendiği sahte bir web sitesine yönlendirmek ve saldırganın hassas bilgilerini çalmasına olanak sağlamak için tasarlanmıştır.
Saldırganlar, kullanıcıları kötü amaçlı bağlantılara tıklamaları için kandırmak ve “youtube.com” gibi görünüşte meşru önekler ve ardından gizleme karakterleri ekleyerek veya meşruiyet görünümünü korurken kullanıcıları kötü niyetli alanlara yönlendirmek için “@” sembolünü kullanarak URL’leri gizlemek için sosyal mühendislik taktiklerini kullanır.
Cyderes’e göre bu aldatmaca sonucunda kullanıcılar linklere tıklamak zorunda kalıyor ve bu da güvenliklerini tehlikeye atabiliyor.
Gözlemlenen kötü amaçlı etkinlik birkaç önemli gösterge sergiliyor. İlk olarak, gömülü URL’ler HTML alanı kodlaması için ağırlıklı olarak “%20”yi kullanıyor ve bu da gizleme tekniklerini akla getiriyor.
İkinci olarak, URL’ler, URL’yi bölümlere ayırmak için “@” sembolünü içerir; böylece önceki kısım etkili bir şekilde atılır ve sonraki kısım gerçek alan adı olarak ele alınır.
Son olarak, bu URL’lerde kullanılan alanlar, Tycoon 2FA, Mamba 2FA ve EvilProxy kitleri gibi bilinen tehdit aktörleriyle yaygın olarak ilişkilendirilen yeniden yönlendiricilerden ve standart kimlik avı şablonlarından yararlanır.
Tipik bir URL yapısında “@” simgesinden önceki her şey kullanıcı kimlik bilgileri olarak kabul edilir. Tarayıcılar bunu tanıyacak ve kullanıcıları “@” işaretinden sonraki alana yönlendirecek şekilde tasarlanmıştır.
Örneğin, “youtube.com%20%20%20%[email protected]” gibi bir URL, YouTube’a bağlı gibi görünse bile kullanıcıları “testing123.net” adresine yönlendirecektir.
Bu teknik, URL içindeki meşru bir hizmetten (bu durumda YouTube) yararlandığı ve kullanıcıların gerçek hedefi tekrar kontrol etmeden bağlantıyı tıklatabileceği için kullanıcıları bağlantıya güvenmeleri konusunda aldatır.
Kimlik avı e-postaları genellikle şüpheli URL’ler ve globaltouchmassage.net etki alanına sahip bir kimlik avı URL’si olarak konu satırları ve “EYLEM GEREKLİ -” yazan bir konu satırı gibi IOC’ler içerir. [Client] Sunucu Güvenlik Kimliği:[random string]”.
Kimlik avı risklerini azaltmak için, kullanıcıları URL’lerde olağandışı karakterler olup olmadığını denetleme konusunda eğitin ve şifreler veya hesaplarla ilgili acil e-postalara karşı dikkatli olun. Şüpheli etki alanlarını yakalamak için URL filtrelemeyi ve engellenenler listelerini kullanın ve şüpheli bağlantıları güvenli bir şekilde analiz etmek için Sandbox araçlarını kullanın.
Bu Haberi İlginç Bulun! Anında Güncellemeler Almak için bizi Google Haberler, LinkedIn ve X’te takip edin!