Bu ay, hedefleri Microsoft 365 oturum açma kimlik bilgilerini paylaşmaya kandırmayı amaçlayan Microsoft Forms’u kullanan kimlik avı kampanyalarında artış görüldü.
Kötü amaçlı bir Microsoft formu (Kaynak: Perception Point)
Microsoft 365 ve Adobe’yi taklit eden kimlik avı sayfalarına yol açan kötü amaçlı formlar
Microsoft (eski adıyla Office) Forms, Microsoft 365 ürün paketinin bir parçasıdır ve anketler, sınavlar ve oylamalar yoluyla geri bildirim ve bilgi toplamak için kullanılır.
Tehdit aktörleri, kimlik avı e-postaları göndermek için genellikle ihlal edilen iş ortaklarının ve satıcıların e-posta hesaplarını kullanır. Bu son kampanyalarda, e-postalar Microsoft’tan gelen sahte posta hata bildirimleri ve teklif davetleri şeklindeydi.
Sağlanan bağlantılara tıklayan kullanıcılar, hesaplarını doğrulamak veya “güvenli bir belge” görüntülemek için takip etmeleri istenen başka bir bağlantı içeren bir Microsoft Formuna yönlendirilir. Bağlantılar kullanıcıları bir Microsoft 365 veya Adobe kimlik avı sayfasına (Microsoft tarafından barındırılmayan) götürür.
Sahtekarlığı tespit edin (ve bildirin)
Microsoft Forms üzerinden kimlik avı yeni bir numara değil. Microsoft, formlarda ve anketlerde kötü amaçlı parola toplanmasını tespit etmek için otomatik kimlik avı önlemeyi uygulayarak tehdide tepki gösterse de, kötü amaçlı gömülü bağlantıları tanımada her zaman başarılı olmadığı açıktır.
Kimlik avı e-postalarını tespit etmek de zordur, çünkü bunlar meşru e-posta hesaplarından gelir ve Microsoft Forms’a (formlar.office.com), iyi bir üne sahip bir site.
Bunlar mevcut tüm korumaları geçtiğinde, kimlik avını tespit etmek kullanıcılara düşer.
“Saldırganlar, ikna edici sayfa başlıkları ve bilinen favicon’lar kullanarak formlarının güvenilirliğini artırıyor. Favicon’lar, tarayıcı sekmesinde görüntülenen küçük simgelerdir ve saldırganlar, Microsoft’un tanıdık simgelerini kullanarak sahte sayfalarının algılanan meşruiyetini artırıyor. Bu görsel ipuçları, kullanıcıları gerçek bir Microsoft sitesinde olduklarına inandırarak kolayca kandırabilir,” diye belirtti Perception Point araştırmacıları.
İstenmeyen e-postalardaki bağlantılara tıklamamanız yönündeki olağan tavsiyenin bu durumda işe yaraması pek mümkün değildir; ancak kullanıcılar, kimlik bilgilerini girmeden önce beklenmedik şekilde geldikleri her oturum açma sayfasının URL’sini kontrol etmeyi alışkanlık haline getirmelidir.
Kötü amaçlı Microsoft Forms’ları her birinin altında bulunan “Kötüye Kullanımı Bildir” seçeneği aracılığıyla bildirebilirsiniz.