Microsoft, Her Gün Milyonlarca E-posta Göndermek İçin Büyük Ölçekli Kimlik Avı Kitlerinin Kullanıldığı Konusunda Uyarıda Bulundu


14 Mart 2023Ravie LakshmananTehdit İstihbaratı / Siber Saldırı

Açık kaynaklı bir ortadaki düşman (AiTM) kimlik avı kiti, saldırıları geniş ölçekte düzenleme yeteneği nedeniyle siber suç dünyasında çok sayıda alıcı buldu.

Microsoft Tehdit İstihbaratı, ortaya çıkan lakabıyla kitin geliştirilmesinin arkasındaki tehdit aktörünü izliyor DEV-1101.

Bir AiTM kimlik avı saldırısı, tipik olarak, kullanıcı ile web sitesi arasında bir proxy sunucusu konuşlandırarak bir hedefin parolasını ve oturum tanımlama bilgilerini çalmaya ve bunlara müdahale etmeye çalışan bir tehdit aktörünü içerir.

Bu tür saldırılar, çok faktörlü kimlik doğrulama (MFA) korumalarını atlatabilmeleri nedeniyle daha etkilidir.

Teknoloji devine göre DEV-1101’in, diğer suç aktörleri tarafından satın alınabilen veya kiralanabilen birkaç kimlik avı kitinin arkasındaki taraf olduğu ve böylece bir kimlik avı kampanyası başlatmak için gereken çabayı ve kaynakları azalttığı söyleniyor.

Microsoft teknik bir raporda, “Saldırganlar tarafından satın alınabilecek bu tür kimlik avı kitlerinin bulunması, siber suç ekonomisinin sanayileşmesinin bir parçası ve siber suçlara giriş engelini azaltıyor” dedi.

Bu tür teklifleri besleyen hizmet tabanlı ekonomi, çalınan kimlik bilgilerinin hem hizmet olarak kimlik avı sağlayıcısına hem de onların müşterilerine gönderildiği çifte hırsızlığa da neden olabilir.

DEV-1101’in açık kaynak kiti, Microsoft Office ve Outlook’u taklit eden kimlik avı açılış sayfaları kurmayı, mobil cihazlardan kampanyaları yönetmeyi ve hatta tespit edilmekten kaçınmak için CAPTCHA kontrollerini kullanmayı mümkün kılan özelliklerle birlikte gelir.

Hizmet, Mayıs 2022’deki ilk çıkışından bu yana çeşitli geliştirmelerden geçti ve bunların en önemlisi, kiti çalıştıran sunucuları bir Telegram botu aracılığıyla yönetme yeteneği oldu. Şu anda aylık lisans ücreti için 300 ABD doları, VIP lisansları ise 1.000 ABD doları tutarında bir fiyat etiketine sahiptir.

Microsoft, araçtan yararlanan çeşitli aktörlerden günde milyonlarca kimlik avı e-postasını kapsayan çok sayıda yüksek hacimli kimlik avı kampanyası tespit ettiğini söyledi.

Buna, Redmond’un “DEV-1101’in en önde gelen müşterilerinden” biri olarak tanımladığı ve Eylül 2022’den bu yana bir milyondan fazla e-posta içeren bir kimlik avı kampanyasıyla bağlantılı olan DEV-0928 adlı bir etkinlik kümesi dahildir.

WEBİNAR

Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin

Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.

KOLTUĞUNUZU AYIRTIN

Saldırı sırası, tıklandığında alıcıyı Microsoft’un oturum açma portalı gibi görünen bir oturum açma sayfasına yönlendiren, ancak kurbanı bir CAPTCHA adımını tamamlamaya zorlamadan önce değil, bir PDF belgesine bağlantı içeren belge temalı e-posta mesajlarıyla başlar.

Microsoft, “Kimlik avı dizisine bir CAPTCHA sayfası eklemek, otomatik sistemlerin son kimlik avı sayfasına ulaşmasını zorlaştırabilirken, bir insan kolayca bir sonraki sayfaya geçebilir” dedi.

Bu AiTM saldırıları MFA’yı atlayacak şekilde tasarlansa da, kuruluşların şüpheli oturum açma girişimlerini engellemek için FIDO2 güvenlik anahtarlarını kullanmak gibi kimlik avına dayanıklı kimlik doğrulama yöntemlerini benimsemesi çok önemlidir.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içeriği okumak için LinkedIn.





Source link