Proofpoint’in e-posta güvenlik sistemlerinde yeni bir güvenlik açığı keşfedildi ve bu da milyonları etkileyen bir kimlik avı kampanyasına yol açtı. “EchoSpoofing” olarak adlandırılan bu istismar, en güvenilir e-posta güvenlik sağlayıcılarının bile büyük ölçekli kimlik avı saldırıları gerçekleştirmek için nasıl istismar edilebileceğini gösterdi.
Disney, IBM, Nike, Best Buy ve Coca-Cola gibi tanınmış isimlerin de aralarında bulunduğu Fortune 100 şirketlerinden 87’sinin e-posta iletişimlerini güvence altına alan Proofpoint’in, yakın zamanda e-posta koruma sistemlerinde önemli bir güvenlik açığı olduğu tespit edildi.
EchoSpoofing Kampanyasının Yükselişi
EchoSpoofing açığı, siber suçluların birden fazla güvenilir markadan geliyormuş gibi görünen milyonlarca kimlik avı e-postası göndermesine olanak sağladı. SPF ve DKIM imzalarıyla tam olarak doğrulanan bu e-postalar, birçok geleneksel güvenlik önlemini aşarak alıcıları kredi kartı bilgileri gibi hassas bilgileri çalmak için tasarlanmış sahte sitelere yönlendirdi.
Bu güvenlik açığı, web genelindeki yeni güvenlik tehditlerini belirleme, izleme ve azaltma konusunda uzmanlaşmış bir ekip olan Guardio Labs tarafından ortaya çıkarıldı.
EchoSpoofing açığı, sahte e-postalar göndermek için Proofpoint e-posta röle altyapısını kullandı. Saldırganlar, Proofpoint’in e-posta rölelerini kullanarak meşru, güvenilir etki alanlarından gönderilmiş gibi görünen e-postalar oluşturabildiler. Örneğin, Disney+’dan geliyormuş gibi görünen sahte bir e-posta, gerçek Disney logosunu ve etki alanı bilgilerini taşıyarak otantik görünmesini sağlardı.
Teknik ayrıntıları anlamak için bunun nasıl başarıldığını inceleyelim. Saldırganlar başlangıçta, tanınmış markalardan olduklarını belirten sahte “FROM” başlıklı kimlik avı e-postaları oluşturdular. Bu e-postalar daha sonra Microsoft’un Office365 hesapları da dahil olmak üzere çeşitli sunucular üzerinden yönlendirildi ve en sonunda Proofpoint’in rölelerinden geçti.
Bu açığın anahtarı, sahte e-postaları, onaylı bir Office365 bağlayıcısı aracılığıyla gönderildiği için kabul eden Proofpoint’in röle sunucularıydı.
Proofpoint Nasıl Kötüye Kullanıldı
Proofpoint’in e-posta güvenlik çözümü, e-postalar için bir güvenlik duvarı gibi işlev görerek alıcıya ulaşmadan önce mesajları yakalar ve inceler. Genellikle, Proofpoint’in sistemi e-postaların SPF ve DKIM standartlarına uymasını sağlar. Ancak saldırganlar Proofpoint’in sistemindeki bir yanlış yapılandırmayı istismar ettiler.
İşte nasıl çalıştığı: Saldırganlar, sahte başlıklara sahip e-postalar göndermek için kendi Office365 hesaplarını kurdular. Bu e-postalar, kötü amaçlı olsa da, onaylı Office365 bağlayıcılarından gönderilen tüm e-postaları kabul edecek şekilde yapılandırılmış Proofpoint sunucuları üzerinden iletildi. Bu kurulum, saldırganların Proofpoint’in e-posta güvenliğini aşmalarına olanak sağladı çünkü e-postalar SPF ve DKIM doğrulamaları nedeniyle meşru görünüyordu.
Dikkat çekici örneklerden biri, Disney+’dan geliyormuş gibi görünen bir e-postaydı. E-posta, promosyon teklifi veya müşteri anketi kisvesi altında gizlenmiş bir kimlik avı bağlantısı içeriyordu. Bu bağlantıya tıklandığında kullanıcı, kişisel ve finansal bilgileri ele geçirmek için tasarlanmış sahte bir sayfaya yönlendiriliyordu. E-posta başlıkları, saldırının bir parçası olmasına rağmen mesajın Disney’in etki alanından geldiği doğrulandığını gösteriyordu.
EchoSpoofing kampanyası Ocak 2024’te başladı ve takip eden aylarda sahte e-postaların hacmi önemli ölçüde arttı. Nisan 2024’e kadar saldırganlar günde 14 milyona kadar sahte e-posta gönderiyordu. Operasyonun ölçeği, büyük miktarda e-postayı verimli bir şekilde yönetmek için kullanılan yüksek performanslı bir e-posta teslim yazılımı olan PowerMTA tarafından kolaylaştırıldı. Bu kadar sağlam bir altyapının kullanılması, saldırganların kampanyanın etkinliğini sürdürmesine ve tespit edilmekten kaçınmasına olanak sağladı.
Proofpoint ve Siber Güvenlik Topluluğundan Yanıt
EchoSpoofing açığını keşfettikten sonra, Guardio Labs derhal Proofpoint’i uyardı. Proofpoint, sorunu çözmek için Guardio Labs ile iş birliği yaparak hızla yanıt verdi. Etkilenen müşterileri bilgilendirerek ve e-posta güvenlik yapılandırmalarını sıkılaştırmaya çalışarak başladılar.
Önemli yanıtlardan biri yeni bir güvenlik önlemi uygulamaktı: X-OriginatorOrg başlığı. Microsoft Exchange sunucuları tarafından otomatik olarak eklenen bu benzersiz başlık, e-postaların gerçek kaynağını doğrulamaya yardımcı oldu. Geçerli bir X-OriginatorOrg başlığı içermeyen e-postaları filtreleyerek Proofpoint, yetkisiz kimlik sahteciliği girişimlerini engellemeyi amaçladı.
EchoSpoofing olayı, e-posta güvenliği için birkaç kritik dersi vurguladı. Proofpoint sistemindeki, herhangi bir Office365 hesabının e-postaları sunucuları üzerinden iletmesine izin veren yanlış yapılandırma, daha güvenli kurulum uygulamalarına olan ihtiyacı vurguladı. Kuruluşlar, yalnızca yetkili hizmetlerin ve hesapların e-posta güvenlik sağlayıcılarını kullanmasına izin verildiğinden emin olmalıdır.
SPF ve DKIM e-posta kimlik doğrulaması için olmazsa olmaz olsa da, kusursuz değillerdir. X-OriginatorOrg başlığı gibi ek doğrulama yöntemlerinin kullanımı, ekstra bir güvenlik katmanı sağlayabilir.
Kimlik avı tekniklerinin hızla evrimleşmesi, güvenlik önlemlerinin sürekli izlenmesini ve güncellenmesini gerektirir. Siber güvenlik uzmanları, ortaya çıkan tehditlere karşı uyanık ve proaktif kalmalıdır.
Guardio Labs ve Proofpoint arasındaki hızlı ve işbirlikçi yanıt, siber güvenlik tehditleriyle mücadelede ortak çabaların etkinliğini gösterdi. Güvenlik araştırmacıları, hizmet sağlayıcıları ve etkilenen kuruluşlar arasındaki koordinasyon, güvenlik ihlallerini azaltmada ve ele almada hayati öneme sahiptir.