“EchoSpoofing” adı verilen büyük çaplı bir kimlik avı kampanyası, Proofpoint’in e-posta koruma hizmetindeki kritik bir güvenlik açığını istismar ederek siber suçluların büyük markaları taklit eden milyonlarca mükemmel şekilde sahte kimlik avı e-postası göndermesine olanak sağladı.
Siber güvenlik firması Guardio Labs tarafından ortaya çıkarılan istismar, Fortune 100 şirketlerinden 87’sinin kullandığı Proofpoint sistemini etkiledi.
Saldırının bu kadar büyük ölçekte olması, yalnızca büyük şirketler ve itibarları için ciddi bir tehdit oluşturmakla kalmadı, aynı zamanda mevcut e-posta güvenlik protokollerindeki güvenlik açıklarını da ortaya çıkardı.
Gelişmiş saldırıda, Disney, IBM, Nike, Best Buy ve Coca-Cola gibi tanınmış şirketlerden geliyormuş gibi görünen e-postalar göndermek için Proofpoint’in altyapısı kullanıldı.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Bu sahte mesajlar, kimliği doğrulanmış SPF ve DKIM imzalarını kullanarak önemli güvenlik korumalarını aştı ve bunları meşru iletişimlerden ayırt edilemez hale getirdi.
Guardio Labs Başkanı Nati Tal, “Bu kusur, yaygın kimlik avından hedefli kimlik avı saldırılarına kolayca dönüşebilir ve saldırganın herhangi bir meşru çalışanı taklit ederek meslektaşlarına yanıltıcı e-postalar göndermesine olanak tanır.” şeklinde açıklama yaptı.
Bu istismar, Proofpoint sistemindeki izin verici bir yapılandırma da dahil olmak üzere çeşitli güvenlik açıklarından yararlandı ve bu yapılandırma, herhangi bir Office365 hesabından gelen e-postaların sunucuları aracılığıyla iletilmesine izin verdi. Siber suçlular, kampanyayı düzenlemek için Sanal Özel Sunucu (VPS) kümeleri ve PowerMTA adlı yüksek performanslı bir e-posta teslim yazılımı kullandı.
Saldırı kampanyası Ocak 2024’te başladı ve günlük ortalama 2-3 milyon e-posta gönderildi. Haziran başında zirveye ulaşan operasyon, Disney gibi görünerek günde 14 milyona kadar kötü amaçlı e-posta gönderdi. Guardio Labs, bu teknik kullanılarak 180 günde yaklaşık 360 milyon kimlik avı e-postası gönderildiğini tahmin ediyor.
Keşif üzerine Guardio Labs, güvenlik açığını gidermek için Proofpoint ile iş birliği yaptı. Proofpoint o zamandan beri varsayılan yapılandırma sürecini geliştirmek, müşterileri potansiyel riskler konusunda uyarmak ve belirli kiracıları onaylamalarını sağlamak için yönetici panelini güncelledi.
Proofpoint, benzersiz satıcıya özgü başlığı kullanarak bir azaltma stratejisi uyguladı X-OriginatorOrgExchange sunucuları tarafından otomatik olarak eklenen bu başlık, e-posta kaynaklarının güvenilir bir şekilde doğrulanmasına olanak tanıyan ayrı Office365 hesap adını veya “kiracıyı” içerir.
Proofpoint, sahte olan her şeyin X-OriginatorOrg Giden e-postalardaki başlıklar kaldırıldı ve bu sayede güvenlik azaltma yaklaşımına ekstra bir katman eklendi.
Saldırıların hacmi, keşfin ardından önemli ölçüde azalmış olsa da, son büyük sahte e-posta grubunun 22 Temmuz’da gönderilmesi, siber tehditlerin değişen doğası ve güçlü e-posta güvenliği önlemlerinin önemi konusunda çarpıcı bir hatırlatma görevi görüyor.
Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo