Saldırganlar, son kullanıcı hesaplarını ele geçirmek için mümkün olan her yolu kullanır ve iş açısından kritik sistemlere yetkisiz erişim elde etmek için geçerli kimlik bilgilerini kullanır. Kimlik avı saldırıları, tehdit aktörlerinin kullanıcı kimlik bilgilerini toplaması için uzun süredir standart bir araç olmuştur. Ancak SMS kimlik avı, aynı sonucu doğuran, büyüyen bir sorun haline geldi: ihlal edilen ortamlar.
SMS kimlik avı saldırılarının yükselişi
A SMS kimlik avının son örneği Bu, Microsoft Azure’u hedef alan, finansal odaklı bir tehdit grubu olan UNC3944’ün dahil olduğu SMS kimlik avının etkililiğinin altını çiziyor. Grup, ayrıcalıklı kullanıcılara yönelik SMS kimlik avı (Smishing) saldırıları da dahil olmak üzere çeşitli saldırılar kullanıyor.
SMS kimlik avı ve SIM değiştirme tekniklerini uygulayarak kimlik bilgilerini ele geçirdiler, bu kullanıcıların kimliğine büründüler ve yardım masası temsilcilerini SMS yoluyla çok faktörlü kimlik doğrulama sıfırlama kodları göndermeleri için kandırdılar. Bu onların güvenliği ihlal edilmiş Azure ortamlarına yönetici erişimi kazanmalarına olanak tanıdı.
Saldırganlar daha sonra Azure’un Seri Konsolunu kullanarak Azure VM’leri içerisinde yönetimsel komut istemleri elde etti ve meşru görünen uzaktan yönetim araçlarını dağıttılar.
SMS kimlik avının ne kadar tehlikeli olabileceğini ve uzlaşmaya yol açabileceğini vurgulamaya yardımcı olur. Ancak Smishing’in tam olarak içeriği nedir ve bu tür bir saldırı nasıl çalışır?
Smishing nasıl çalışır?
Smishing veya SMS kimlik avı, geleneksel e-posta kimlik avında kullanılan taktikleri kullanan ancak bunları SMS’in metin tabanlı doğasına uyarlayan taktikler kullanır. Smishing’in genel olarak nasıl ortaya çıktığı aşağıda açıklanmıştır:
Bir smishing mesajı örneği
- Başlatma: Bir smishing saldırısının özünde aldatıcı bir metin mesajı yer alır. Saldırganın amacı, alıcıyı bir kimlik doğrulama bağlantısına tıklamak gibi belirli bir eylem gerçekleştirmeye ikna etmektir.
- İzcilik: Saldırganlar genellikle başarı olasılığını artırmak için ‘keşif’ saldırıları olarak bilinen saldırıları başlatır. Bu ön mesajlar zararsız veya meşru görünebilir ve bir hile gibi görünebilir. Saldırgan, bilinen bir bireyi veya kuruluşu taklit ederek hedefin yaşayabilirliğini belirler.
- Çok Yönlü Saldırılar: Smishing diğer saldırılarla birlikte kullanılabilmesi açısından etkilidir. Bir kişinin e-postasına ve telefon numarasına erişen bir saldırgan, iki yönlü bir saldırı düzenleyebilir. Örneğin, bir kimlik avı e-postası bir smishing mesajını tamamlayarak aldatmayı güçlendirebilir. Ek olarak, bir saldırgan kurbanın telefon numarasını arama yapmak için kullanabilir ve bu da saldırıya başka bir özgünlük katmanı ekleyebilir.
SMS kimlik avı saldırılarının başarılı olmasını engellemeye yardımcı olabilecek teknik araçlar
İşletmeler de SMS kimlik avı saldırılarının hedefidir, hatta içerdikleri hassas veriler nedeniyle bu saldırıların hedefi daha da fazladır. İşyerlerinde cep telefonu kullanımının yaygınlaşmasıyla birlikte işletmeler, iletişim için resmi bir kanal olarak SMS’e giderek daha fazla yöneldi. Saldırganlar iletişimdeki bu değişimden yararlanıyor ve halkın işle ilgili SMS etkileşimlerine olan aşinalığından yararlanıyor.
Teknik araçlar, SMS kimlik avı saldırılarının önlenmesine yardımcı olma konusunda yararlı ve etkili olabilir. Yardımcı olabilecek aşağıdaki teknik araçlara dikkat edin.
- Kimlik Avı Korumasına Sahip Şirket Cihazları: Yerleşik kimlik avı ve kötü amaçlı yazılım korumasına sahip akıllı telefonlara yatırım yapmak, kullanıcıları kötü amaçlı bağlantılara ve kişisel bilgileri çalma girişimlerine karşı uyarabilir. Bunu mobil cihaz yönetimi (MDM) çözümleriyle birleştirmek, bu cihazların güvende kalmasını sağlar.
- Düzenli Yazılım Güncellemeleri: Mobil cihazlardaki işletim sistemini ve uygulamaları güncel tutmak, bilinen tüm güvenlik açıklarının kapatılmasını sağlar. Siber suçlular genellikle güncel olmayan yazılımlardan yararlanır.
- Çok Faktörlü Kimlik Doğrulama (MFA): İkincil bir güvenlik katmanı olan MFA, erişim için ek bilgi parçaları veya belirteçler gerektirir. Saldırganlar oturum açma kimlik bilgilerini ele geçirseler bile MFA yetkisiz girişi durdurabilir.
- Güvenli SMS Ağ Geçitleri: İletişim için sıklıkla SMS kullanan şirketler için, güvenli ağ geçitleri mesajları şifreleyerek iletim sırasında hassas bilgileri koruyabilir.
- Mobil Antivirüs Çözümleri: Mobil cihazlara yönelik antivirüs araçları, kötü amaçlı uygulamaları tespit edip kaldırabilir, kimlik avı sitelerini engelleyebilir ve yetkisiz veri ihlallerine karşı güvenlik duvarı koruması sunabilir.
Hizmet masalarını bu tür saldırılardan korumak
İşletmeler genellikle kimlik doğrulama yöntemi olarak metinleri kullandığından, smishing hizmet masasında sıklıkla bir risk oluşturur; son kullanıcılar metin doğrulamayı kabul etmek üzere eğitilir ve bunu yapma rutini MFA’nın yorgunluğunu etkileyebilir. Bu otomatik kabul zihniyeti, SMS doğrulamasının güvenliğini azaltabilir; bu, kimlik doğrulamaya yönelik gerçek çok adımlı yaklaşımlarımın her zamankinden daha önemli olduğu anlamına geliyor.
OKTA’ya göre birçok müşteri yakın zamanda deneyimlenen sosyal mühendislik saldırıları BT yardım masası personeline karşı. Saldırganın ana taktiği, bu personeli, yüksek ayrıcalıklara sahip kullanıcılar için Çok Faktörlü Kimlik Doğrulama (MFA) ayarlarını sıfırlamaya ikna etmekti. Bu saldırganlar, üst düzey Okta Süper Yönetici hesaplarına erişim sağladıktan sonra, gerçek kimlik birleştirme özelliklerini kötüye kullanarak, ihlal edilen kuruluşun üyeleri gibi görünmelerine olanak tanıdı.
BT personeli dahil hiç kimsenin sosyal mühendislik taktiklerinden muaf olmadığını gösteriyor. Kuruluşların, yardım masası personeline yönelik saldırıları önlemeye yardımcı olacak çözümler uygulaması ve yardım masasını arayan kullanıcıların kimliğini çeşitli yollarla başarılı bir şekilde doğrulaması gerekiyor.
Specops Güvenli Hizmet Masası hizmet masasındaki kullanıcı doğrulama süreçlerini geliştirerek BT güvenliğini desteklemek için tasarlanmış bir araçtır. Parola sıfırlama gibi hizmet masası taleplerinde sıklıkla bulunan güvenlik açıklarını gidererek sosyal mühendislik saldırıları riskini azaltır.
Specops Secure Service Desk’te bir son kullanıcıyı MFA ile doğrulayan yönetici görünümü örneği
Secure Service Desk, Active Directory’den ve çeşitli kimlik doğrulama hizmetlerinden gelen verileri kullanarak hizmet masasında güvenli kullanıcı kimlik doğrulaması sağlar ve bir saldırganın kullanıcı kimliğine bürünme fırsatlarını en aza indirir. BT yöneticileri, kullanıcının kimliği doğrulanmadan önce tamamının doğrulanması gereken farklı kimlik doğrulama hizmetlerini yapılandırabilir. Ek olarak, aynı doğrulama yöntemlerini kullanarak güvenli hesap kilitlerinin açılmasını ve şifre sıfırlamalarını kolaylaştırır.
Ana Özellikler:
- Parola sıfırlama veya hesabın kilidini açma işlemi başarılı olmadan önce zorunlu kullanıcı doğrulaması
- Okta, Symantec VIP ve Duo Security gibi gelişmiş kullanıcı doğrulama yöntemleriyle entegrasyon
- Hem hizmet masası temsilcileri hem de son kullanıcılar için çok dilli destek
- Kapsamlı sistem kullanımı denetimi ve raporlama yetenekleri
- Gelişmiş kullanıcı deneyimi için özelleştirilebilir bir kullanıcı arayüzü
- Hesap kilidini açma, parola sıfırlama ve şifreleme anahtarı verme için kullanıma hazır (OOTB) işlevler
Specops Secure Service Desk, kuruluşunuzun SMS kimlik avı da dahil olmak üzere sosyal mühendislik saldırılarına karşı güvenliği artırmasına yardımcı olabilir. Demo veya ücretsiz deneme için buradan iletişime geçin.