Kimlik avcıları, şifrelenmiş kısıtlı izin mesajları kullanıyor (.rpmsg) Microsoft 365 hesap kimlik bilgilerini çalmak için kimlik avı e-postalarına eklenir.
“[The campaigns] Trustwave araştırmacıları Phil Hay ve Rodel Mendrez, düşük hacimli, hedefli ve e-posta göndermek ve içerik barındırmak için güvenilir bulut hizmetlerini kullanıyor (Microsoft ve Adobe),” diyor. “İlk e-postalar güvenliği ihlal edilmiş Microsoft 365 hesaplarından gönderiliyor ve gönderenin tanıdık olabileceği alıcı adreslerini hedef alıyor gibi görünüyor.”
Microsoft Şifreli Kısıtlı İzin Mesajları ile kimlik avı e-postaları
Kimlik avı e-postaları, güvenliği ihlal edilmiş bir Microsoft 365 hesabından alıcı şirketin faturalandırma bölümünde çalışan kişilere gönderilir.
Şifrelenmiş kısıtlı izin mesajı içeren kimlik avı e-postası (Kaynak: Trustwave)
E-postalar bir .rpmsg (kısıtlı izin mesajı) eki ve mesajın görüntülenmesi için office365.com’a yönlendiren uzun bir URL’ye sahip bir “Mesajı oku” düğmesini içerir.
Mesajı görmek için mağdurlardan Microsoft 365 e-posta hesaplarıyla oturum açmaları veya tek seferlik bir parola istemeleri istenir.
Alınan şifreyi kullandıktan sonra kurbanlara önce sahte SharePoint temalı bir mesaj gösteriliyor ve devam etmek için bir düğmeye basmaları isteniyor. Ardından, SharePoint’te barındırılıyor gibi görünen ancak aslında Adobe’nin InDesign hizmetinde barındırılan bir belgeye yönlendirilirler.
Belgeyi görüntülemek için tekrar bir düğmeyi tıklamaları istenir ve orijinal gönderenden gelen etki alanına (örn. Talus Pay) benzeyen ve bir ilerleme çubuğu içeren bir alana götürülürler.
Arka planda, açık kaynaklı FingerprintJS kitaplığı kullanıcının sistem ve tarayıcı bilgilerini toplar ve son olarak kurbana sahte bir Microsoft 365 oturum açma sayfası gösterilir ve kimlik bilgileriyle oturum açması istenir.
Güvenlik çözümlerinden saklanma
“Şifrelenmiş .rpmsg mesajlarının kullanılması, URL bağlantıları da dahil olmak üzere mesajın kimlik avı içeriğinin e-posta tarama ağ geçitlerinden gizlendiği anlamına gelir. Hay ve Mendez, mesajın gövdesindeki tek URL bağlantısının bir Microsoft Şifreleme hizmetine işaret ettiğini belirtti.
“Bir şeylerin ters gidebileceğine dair tek ipucu, URL’nin, e-postanın Kimden: adresiyle ilgisi olmayan belirli bir gönderici adresine (chambless-math.com) sahip olmasıdır. Bağlantı büyük olasılıkla başka bir güvenliği ihlal edilmiş Microsoft hesabından oluşturuldu.”
Kuruluşlara şunları tavsiye ederler:
- .rpmsg eklerini engelleyin, işaretleyin veya manuel olarak inceleyin
- [email protected]’dan gelen ve “Mesajı görüntülemek için tek seferlik parolanız” konu satırına sahip e-postalar için gelen e-posta akışlarını izleyin
- İstenmeyen e-postalardan gelen içeriğin şifresini çözmenin veya içeriğin kilidini açmanın sonuçları hakkında kullanıcıları eğitin
- MFA’yı uygulayın.