Bilgisayar korsanları, alıcıları kullanıcı adı, parola, kredi kartı numarası veya sosyal güvenlik numarası gibi kişisel verileri vermeye yönlendirmek için kimlik avı e-postaları kullanır.
Bu yöntem, insan duygularını ve güvenini istismar ederek, tehdit aktörünün çok az teknik beceriyle bir hesabı tehlikeye atmasına, bir kimliği çalmasına veya kötü amaçlı yazılım yaymasına olanak tanır.
Guardio Labs, yakın zamanda Fortune 100 şirketlerinin %87’sinin kullandığı Proofpoint e-posta koruma hizmetinde ciddi bir güvenlik açığı olan “EchoSpoofing”i keşfetti.
Bu açık sayesinde bilgisayar korsanları, Disney ve IBM gibi en ünlü markaları taklit ederek milyonlarca meşru kimlik avı e-postası gönderebiliyor ve yakalanmadan, bunun sonucunda şüphelenmeyen alıcıların parasını veya özel bilgilerini çalabiliyorlar.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Proofpoint’in E-posta Koruması
Bu kimlik avı kampanyasında, tehdit aktörleri aşağıdaki eylemleri gerçekleştirerek modern e-posta güvenlik protokollerini aşmıştır:
- SMTP sunucularında sahte e-postalar oluşturma
- Bunları yanlış yapılandırılmış Office 365 hesapları üzerinden iletmek
- Proofpoint’in izin verici e-posta akışı ayarlarının istismar edilmesi
Bu süreç saldırganların Disney ve IBM gibi büyük markaları taklit ederek milyonlarca kimliği doğrulanmış kimlik avı e-postası göndermesine olanak sağladı.
E-postalar SPF ve DKIM kontrollerinden geçti ve alıcılara ve e-posta güvenlik sistemlerine meşru göründü.
Kampanyanın amacı, sahte markalı açılış sayfaları ve teklifler aracılığıyla kredi kartı bilgileri ve diğer hassas verileri çalmaktı.
Bu istismar, popüler e-posta güvenlik hizmetlerinin varsayılan yapılandırmalarındaki güvenlik açıklarını ortaya çıkararak, daha sıkı özel kurallara ve olası yanlış yapılandırmalara karşı daha fazla farkındalığa ihtiyaç duyulduğunu vurguluyor.
Bu rafine edilmiş kimlik avı operasyonu, Yanlış yapılandırılmış Office 365 hesaplarını ve Proofpoint’in izin verici ayarlarını istismar etti. İki hafta boyunca, her gün yaklaşık 3 milyon sahte e-posta gönderdi ve zirve 14 milyondu.
OVH üzerinde çalışan 11 sunucu VPS kümesi, aynı anda 2,88 milyon e-posta gönderebilen PowerMTA yazılımıyla donatıldı.
Sahte alan adları ve sızmış Office 365 hesapları, tespit edilmekten kaçınmak için sık sık değiştirildi ve Disney, IBM, Best Buy ve Nike gibi büyük markalar taklit edildi.
Proof Point’in Mart ayından beri bildiği halde, Mayıs 2024’te Guardio tarafından uyarıldı.
Guardio’nun geriye dönük izleme operasyonlarıyla birlikte, müşterilere bildirimlerde bulundular, ele geçirilen hesapları Microsoft ve VPS sağlayıcılarına bildirdiler ve X-OriginatorOrg başlığını kullanarak yeni bir güvenlik önlemi uyguladılar.
Bu olaydan sonra Proof Point, e-posta koruma hizmetlerinde daha güçlü varsayılan güvenlik yapılandırmalarına olan ihtiyacı vurgulayarak, yönetici panelini daha net risk açıklamaları ve onay süreçleri içerecek şekilde güncelledi.
Kampanyanın karmaşık yapısı ve geniş kapsamı, siber güvenliğin yıllar içinde ne kadar geliştiğini ve önleyici eylemlerin büyük ölçekli kimlik avı saldırılarına karşı neden bu kadar kritik hale geldiğini ortaya koyuyor.
Özellikle SMTP ve Microsoft Exchange gibi eski sistemlerde, güvenlik geliştirmelerinin doğasında karmaşıklık vardır.
Çözümlerin işlevselliklere olumsuz etkide bulunmayacak şekilde dahil edilmesi, bilinçli eylemler ve müşterilerin katılımını gerektirir.
Proofpoint’in EchoSpoofing meydan okumasını yönetmesi, risk yönetiminde olgunluk göstermektedir. Guardio gibi ortaklarla çalışarak verimli, kesintiye yol açmayan çözümler uygulayarak Proofpoint, risk yönetimine olan bağlılığını göstermektedir.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access