İş E-postası İhlali (BEC), Dolandırıcılık Yönetimi ve Siber Suçlar, Kimlik ve Erişim Yönetimi
Proofpoint, Kampanyanın Birleşik Krallık İşletmelerini Kötü Amaçlı Kimlik Doğrulama Uygulamalarıyla Hedeflediğini Söyledi
Prajeet Nair (@prajeetspeaks) •
31 Ocak 2023
Siber suçlular, finans ve pazarlama şirketlerinin gelen kutularına erişim elde etmek için Microsoft sertifikalı kimlik doğrulama uygulamalarının doğrulama sürecinden yararlandı.
Ayrıca bakınız: Microsoft 365 E-posta Güvenliği Altyapınızı Artırma
Proofpoint’ten güvenlik araştırmacıları, Microsoft’un koyu mavi “doğrulanmış yayıncı” onay işaretini taşıyan üç kötü amaçlı OAuth uygulamasına dayalı olarak Birleşik Krallık’ta etkin olan bir Aralık 2022 kampanyasını ortaya çıkardı.
Microsoft, sahte kimlik doğrulama uygulamalarını devre dışı bıraktığını ve e-postaları çalınan etkilenen müşterileri bilgilendirdiğini söyledi. Tehdit aktörleri meşru şirketlerin kimliğine büründü ve iki örnekte Microsoft’a tescilli meşru bir şirkete benzeyen yazım yanlışı yapılmış bir etki alanı kaydettirdi. events Üst düzey alan.
Bilgi işlem devi, kullanıcıları “oltalama izni” uygulamalarına kötü amaçlı izin vermeleri için kandıran saldırıları seslendiriyor.
Proofpoint, “Geleneksel hedefli kimlik avı veya kaba kuvvet saldırılarına göre tespit edilme olasılığı daha düşüktür. Kuruluşlar, doğrulanmış OAuth uygulamalarını kullanan tehdit aktörlerine karşı genellikle daha zayıf derinlemesine savunma kontrollerine sahiptir” diyor.
Proofpoint, tehdit aktörlerinin aradığı izinler arasında e-postalara ve takvimlere erişim olduğunu söylüyor. Tehdit aktörlerinin finansal verileri toplamak için meşru gelen kutularına erişimlerini kullanarak iş e-postası ele geçirme saldırıları gerçekleştirmeyi amaçlamaları mümkündür. Mayıs 2022’de FBI, hesap gizliliği veya kimliğe bürünme yoluyla iş e-postalarının ele geçirilmesinin büyüyen bir tehdit olduğu konusunda uyardı. FBI, dünya çapındaki işletmelerin Haziran 2016 ile Aralık 2021 arasında dolandırıcılık nedeniyle 43 milyar dolar kaybettiğini söyledi.
OAuth, oturum açma gerektiren web siteleri gibi çevrimiçi kaynakların kullanıcıları ve sağlayıcıları arasında bir aracı olarak Microsoft gibi üçüncü taraf yetkilendirme sunucularını kullanan bir standarttır. Sistem, özel bir kimlik bilgisi gerektiren uygulamaların sayısını en aza indirmenin bir yolu olarak ortaya çıktı, kullanıcıların başka bir parolayı hatırlama yükünü ve uygulama sağlayıcılarının kullanıcı parolalarını güvence altına alma yükünü hafifletti.
Güvenliği, yetkilendirme sunucularının güvenilirliğine bağlıdır ve kötü amaçlı OAuth uygulamalarını sürekli bir tehdit haline getirir.
Oturum açma kimlik bilgisi yerine OAuth, web sitesi tarafından meşru bir parola olarak eşdeğer olarak kullanılan bir kimlik bilgisi sağlar. Sistem ayrıca bir “yenileme” belirteci sağlar, böylece kullanıcı tekrar kimlik doğrulama sürecinden geçmek zorunda kalmadan erişimi koruyabilir. Proofpoint tarafından sunulan kampanyadaki yenileme jetonları bir yıl sürecek şekilde ayarlandı.
Microsoft’un yayıncı doğrulama mekanizması, OAuth uygulamalarının meşru kaynaklardan gelmesini sağlamayı amaçlamaktadır; bu, her zaman yerine getirilmeyen bir garantidir. Bilgi işlem devi, inceleme sürecini iyileştirmek için “birkaç ek güvenlik önlemi uyguladığını” söyledi.
Proofpoint, saldırıyı 20 Aralık’ta Microsoft’a bildirdi ve kampanya 27 Aralık’ta sona erdi.