Dolandırıcılar, Microsoft 365 Doğrudan Gönderme, ABD firmalarını, sahte sesli mesajlar ve QR kodlarını kullanarak kimlik avı saldırılarıyla atlayan ABD firmalarını hedefleyen dahili e -postaları dolduruyor.
Varonis Tehdit Laboratuarlarındaki siber güvenlik araştırmacıları, kötü niyetli e-postalar sunmak için Microsoft 365’te az bilinen bir özellikten yararlanan sofistike yeni bir kimlik avı kampanyası ortaya koydu.
Mayıs 2025’te başlayan ve sürekli olarak aktif olan bu saldırı, ABD merkezli kuruluşlar olan önemli bir çoğunluğu olan 70’den fazla kuruluşu hedefledi.
Bu kampanyanın benzersiz yönü, hackread.com ile paylaşılan blog gönderisinde belirtilen araştırmacılar, geleneksel e -posta güvenlik sistemlerinin tespit edilmesini özellikle zorlaştıran “dahili kullanıcıları bir hesaptan ödün vermeden yok etme” yeteneğidir.
Doğrudan Gönderme
Kampanya, Microsoft 365’in yazıcılar gibi dahili cihazların kullanıcı kimlik doğrulaması gerektirmeden e -posta göndermesi için tasarlanmış doğrudan gönderme özelliğini kullanıyor. Varonis’e göre, saldırganlar bu özelliği kötüye kullanıyor.
Varonis tehdit laboratuvarlarından Tom Barnea, raporda bu yöntemin çalıştığını vurguladı çünkü “giriş veya kimlik bilgileri gerekmiyor”. Tehdit aktörleri, genellikle tahmin edilmesi kolay olan bir şirketin alanı ve dahili e -posta adres formatları gibi halka açık birkaç detaya ihtiyaç duyarlar.
Doğrudan Gönderme kullanarak, suçlular, harici bir kaynaktan gönderilmelerine rağmen, bir kuruluştan kaynaklanan e -postalar oluşturabilirler. Bu, kötü niyetli mesajların genellikle Microsoft’un kendi filtreleri ve üçüncü taraf çözümleri tarafından meşru dahili iletişim olarak ele alındığı için ortak e-posta güvenlik kontrollerini atlamasına izin verir.
Ayrıca Varonis, bu sahte e -postaların genellikle QR kodlu bir PDF eki içeren sesli mesaj bildirimlerini taklit ettiğini gözlemledi. Bu QR kodunu taramak, kurbanları kimlik bilgilerini çalmak için tasarlanmış sahte bir Microsoft 365 giriş sayfasına yönlendirir.
Tehdide karşı tespit etmek ve savunmak
Kuruluşların bu yeni saldırı biçimini tespit etmek için uyanık olması gerekir. Varonis, bir Microsoft 365 “Akıllı Ana Bilgisayar” a (örneğin tenantname.mail.protection.outlook.com) gönderen harici IP adresleri gibi işaretler için e -posta mesaj başlıklarını kontrol etmeyi önerir veya dahili alanlar için SPF, DKIM veya DMARC gibi kimlik doğrulama kontrollerindeki hatalar. Bir kullanıcılardan kendilerine gönderilen e -postalar veya herhangi bir karşılık gelen giriş etkinliği olmadan olağandışı coğrafi konumlardan kaynaklanan mesajlar gibi davranışsal ipuçları da güçlü göstergelerdir.
Düşme kurbanı önlemek için Varonis, Exchange Yönetici Merkezi’ndeki doğrudan gönderme ayarının sağlanmasını ve katı bir DMARC politikasının uygulanmasını önerir. Kullanıcı eğitimi önemlidir, özellikle QR kod eklerinin quing (QR kimlik avı) saldırılarında tehlikeleri hakkında uyarı.
Son olarak, tüm kullanıcılar için çok faktörlü kimlik doğrulama (MFA) uygulamak ve koşullu erişim politikalarına sahip olmak, bu sofistike kimlik avı denemeleri yoluyla kimlik bilgileri çalınsa bile hesapları koruyabilir.