Microsoft, büyük ölçekli bir kimlik avı kampanyasının arkasındaki tehdit aktörlerinin parolaları çaldığını, bir kullanıcının oturum açma oturumunu ele geçirdiğini ve kimlik doğrulama sürecini atlatabildiğini söyledi.
Saldırganlar, etkilenen kullanıcıların posta kutularına erişmek ve iş e-posta güvenliği (BEC) kampanyaları gerçekleştirmek için çalınan kimlik bilgileri ve tanımlama bilgilerini kullandı.
Microsoft, ortadaki düşman (AiTM) sitelerini kullanan kimlik avı kampanyasının Eylül 2021’den bu yana 10.000’den fazla kuruluşu hedeflemeye çalıştığını söyledi.
“Bu çalıştırmalar birbirine bağlı görünüyor ve Office çevrimiçi kimlik doğrulama sayfasını yanıltarak Office 365 kullanıcılarını hedefliyor.”
Bir AiTM kimlik avı kampanyasında, bir tehdit aktörü, bir kullanıcının oturum çerezini (web sunucusu için kullanıcının kimliğinin doğrulandığının kanıtı) elde etmeye çalışır, böylece tüm kimlik doğrulama sürecini atlayabilir ve kullanıcı adına hareket edebilir.
“Saldırgan, kimlik avı sitesini ziyaret eden kullanıcıdan saldırganın kimliğine bürünmek istediği hedef sunucuya HTTP paketlerini proxy yapan bir web sunucusu dağıtır ve bunun tersi de geçerlidir. Bu şekilde, kimlik avı sitesi görsel olarak orijinal web sitesiyle aynıdır. Saldırganın ayrıca geleneksel kimlik avı kampanyalarında olduğu gibi kendi kimlik avı sitesini oluşturması gerekmez. URL, kimlik avı sitesi ile gerçek site arasındaki tek görünür farktır,” Microsoft açıkladı.
Saldırgan, kimlik bilgilerini ele geçirdiğinde ve kullanıcı adına kimliği doğrulandıktan sonra, kuruluş içinden ödeme sahtekarlığı gibi takip eden etkinlikler gerçekleştirebilir.
Ödeme sahtekarlığı manuel olarak gerçekleştirildi. Saldırgan, finansla ilgili e-postalara birkaç saatte bir erişti ve izlerini gizlemek için orijinal kimlik avı e-postasını güvenliği ihlal edilen gelen kutusundan sildi.
Dahası, radardan uzak durmak için saldırgan, dolandırıcılık hedefinden gelecek yanıtları gizlemek için aşağıdaki mantıkla bir Gelen Kutusu kuralı oluşturdu: “Gönderen adresinin içerdiği her gelen e-posta için. [domain name of the fraud target]postayı ‘Arşiv’ klasörüne taşıyın ve okundu olarak işaretleyin.”
“Kural ayarlandıktan hemen sonra, saldırgan, oluşturulan Gelen Kutusu kuralında belirtildiği gibi, hedef ve diğer kuruluşların çalışanları arasındaki ödemeler ve faturalarla ilgili devam eden e-posta ileti dizilerine yanıt vermeye başladı. Saldırgan daha sonra, güvenliği ihlal edilen hesabın Gönderilmiş Öğeler ve Silinmiş Öğeler klasörlerinden yanıtlarını sildi, ”dedi Microsoft.
“>Cybernews’den daha fazlası:
Kuantum fidye yazılımı çetesi: hızlı ve öfkeli
Microsoft, Windows Otomatik Düzeltme aracının genellikle yayında olduğunu söylüyor
Amazon Prime Day’de nasıl güvende kalınır?
Fidye yazılımı saldırıları okulları aylarca devre dışı bırakır, bazıları iyileşemez
Abone olmak bizim için haber bülteni