- Proofpoint’in raporu, MFA’nın etkinliğine ilişkin beklentilerle çelişen hesap devralmalarında bir artışa dikkat çekiyor.
- Kötü amaçlı EvilProxy kimlik avı kiti, MFA’nın sınırlamalarından yararlanan önemli bir oyuncu olarak ortaya çıkıyor.
- EvilProxy, yasal yeniden yönlendiriciler ve ters proxy mimarisi kullanan karmaşık bir bulaşma zinciri kullanır.
- Hassas verilere erişimleri nedeniyle üst düzey yöneticiler hedef alınır; Güvenliği ihlal edilmiş kullanıcıların %39’u C düzeyinde pozisyonlara sahipti.
- Kuruluşlar e-posta, bulut ve web güvenliğini geliştirmeye ve FIDO tabanlı anahtarlar gibi daha iyi kimlik doğrulama yöntemlerini düşünmeye teşvik ediliyor.
Siber güvenlik firması Proofpoint’in yakın tarihli raporu, çok faktörlü kimlik doğrulamanın (MFA) bu tür olayları engelleyeceği beklentisine meydan okuyarak hesap devralmalarında bir artış olduğunu ortaya koydu. Firmanın araştırması, geçen yıl güvenliği ihlal edilmiş kullanıcıların en az %35’inin MFA korumasına sahip olduğunu gösterdi. Görünüşe göre tehdit aktörleri bu savunmayı kullanmanın bir yolunu bulmuş.
Bu anlatının ana kahramanı, EvilProxy adlı kötü niyetli kimlik avı kitidir. MFA çekiş gücü kazandıkça, saldırganlar bu güvenlik katmanını atlatmak için gelişmiş yöntemlerle yanıt verdi. Ters proxy tabanlı bir kimlik avı kiti olan EvilProxy, önemli sayıda C-suite yöneticisi de dahil olmak üzere binlerce kullanıcıyı hedef alarak hünerini göstererek bu çabaların merkezinde yer aldı.
Saldırı yöntemi, karmaşık bir çok adımlı enfeksiyon zincirini içerir. Genellikle DocuSign ve Adobe gibi güvenilir hizmetlerin kimliğine bürünen kimlik avı e-postaları, kullanıcıları YouTube, kötü amaçlı tanımlama bilgileri ve 404 yönlendirmeleri dahil olmak üzere yasal yeniden yönlendiricilerden oluşan bir labirent aracılığıyla yeniden yönlendiren kötü amaçlı bağlantılar içerir. Bu kampanyanın merkezinde EvilProxy’nin ters proxy mimarisi yatıyor. Kit, MFA isteklerini yakalar, geçerli oturum tanımlama bilgileri alır ve bunları gerçek etki alanında kimlik doğrulaması için kullanır.
Bu kampanyada dikkat çekici olan, saldırganların hedef belirleme konusundaki ayrımcılığıdır. Hassas verilere ve finansal varlıklara potansiyel erişimleri nedeniyle üst düzey yöneticilere öncelik verdiler. Proofpoint’in araştırması, gizliliği ihlal edilmiş çok sayıda kullanıcıdan yaklaşık %39’unun C düzeyinde yönetici pozisyonlarında bulunduğunu, bunların %17’sinin mali işler müdürü ve %9’unun başkan ve CEO olduğunu gösterdi.
Saldırganlar erişim elde ettikten sonra, uzlaşma sonrası faaliyetleri, kuruluşun bulut ortamında kalıcılık sağlamayı içerir. MFA manipülasyonu için Microsoft 365 uygulamalarından yararlanarak kontrollerini daha da sağlamlaştırıyorlar. Bu kalıcı erişim, yanal hareket ve potansiyel kötü amaçlı yazılım dağıtımı için yollar açar.
Proofpoint’in bulguları, siber tehditlerin amansız gelişimine ışık tuttu ve en güvenli savunmaların bile alt edilebileceğini vurguladı. EvilProxy’nin bu tür saldırılar için tercih edilen bir araç olarak yükselişi, kurumsal savunma stratejilerinde kritik güvenlik açıklarını ortaya çıkardı. Son altı ayda üst düzey yöneticileri hedef alan bulut hesabı ele geçirme olaylarında %100 artışla, saldırganlar ve savunucular arasındaki savaş kızışmaya devam ediyor.
Kuruluşlardan, e-posta güvenliği, bulut güvenliği, web güvenliği ve kullanıcı farkındalığına odaklanarak ve FIDO tabanlı fiziksel güvenlik anahtarları gibi daha iyi kimlik doğrulama yöntemlerini benimsemeyi düşünerek bu gelişmiş hibrit tehditlere karşı savunmalarını güçlendirmeleri isteniyor.
İLGİLİ MAKALELER
- Bilgisayar korsanları bulut hizmetlerini hedeflemek için MFA’yı ihlal ederken uyarı
- Küresel CDN Hizmeti ‘jsdelivr’, Kullanıcıları Kimlik Avı Saldırılarına Maruz Bıraktı
- FortiGuard Labs, Kimlik Avı Saldırılarını Güçlendiren .ZIP Etki Alanlarını Keşfetti
- Yeni Kimlik Avı Saldırısı Microsoft 365 Kimlik Doğrulama Sistemini Sızdırıyor
- Yeni Aldatıcı Kimlik Avı Saldırısında “Resim İçinde Resim” Taktiği Kullanıldı