Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Kimlik ve Erişim Yönetimi
Okta, Müşterilerin CISO’larını Tek Oturum Açma Erişimi Arayan Kötü Amaçlı Kampanyalara Karşı Uyarıyor
Mathew J. Schwartz (euroinfosec) •
23 Ocak 2026
Suçlular, sosyal mühendislik saldırılarını gerçek zamanlı olarak kolaylaştırmak için tasarlanmış gelişmiş sesli kimlik avı araç kitlerini kullanıyor.
Ayrıca bakınız: Kavram Kanıtı: Aracı Yapay Zeka ile Güvenliği Güvenli Bir Şekilde Otomatikleştirme
Genellikle siber suç hizmet sağlayıcılarından abonelik temelinde satın alınan araç kitleri, yakın zamanda müşterileri kimlik kontrollerini atlayan vishing saldırıları konusunda uyaran Okta’nın bir raporuna göre, genellikle kurbanı tek kullanımlık bir şifreyi paylaşması veya çok faktörlü bir kimlik doğrulama kontrolünü onaylaması için kandırmak amacıyla hedefin gerçek zamanlı sosyal mühendisliğini kolaylaştırıyor.
Okta’nın Pazartesi günü doğrudan müşterilerin CISO’larına gönderdiği (ilk olarak BleepingComputer tarafından bildirilen) özel bir uyarıda Okta, saldırganların hedef şirketin hangi kimlik doğrulama uygulamalarını kullandığı ve hedef şirketin BT destek yardım masası telefon numarası da dahil olmak üzere önceden hazırlanmış bilgilerle geldiğini söyledi.
Okta uyarıyı bir e-postayla doğruladı. “Müşterileri güvende tutmak en büyük önceliğimizdir. Okta’nın Savunma Siber Operasyonları ekibi, bir Okta oturum açma sayfasını taklit edecek şekilde yapılandırılmış kimlik avı altyapısını rutin olarak tanımlar ve bulgularını satıcılara proaktif olarak bildirir” dedi.
Hudson Rock’ın Tehdit İstihbaratı CTO’su Alon Gal, şantaj grubu ShinyHunters’ın kendisinden pay almak için kendisiyle iletişime geçtiğini ve yakın zamanda Okta SSO araçlarını kullanan çok sayıda kuruluşun güvenliğini tehlikeye atmak için bu tür sesli kimlik avı araç seti hizmetlerini kullandığını iddia ettiğini söyledi. ShinyHunters, kuruluşların bulut tabanlı Salesforce örneklerinde depolanan verileri ihlal etmek için sosyal mühendislik tekniklerini kullanıyor (bkz.: Salesforce Gasp Grubu, FBI’ın Kesintisinden Sonra Verileri Sızdırdı).
Gal, son kurbanların arasında otomatik yatırım ve finansal planlama şirketi Betterment, kurumsal veri bilgi toplayıcı Crunchbase ve yayın platformu SoundCloud’un da yer aldığını söyledi.
Gal, “ShinyHunters, kampanyanın arkasında olduklarını doğruladı ve Crunchbase, SoundCloud ve Betterment’in, grubun gasp girişimini reddettikten sonra iddia edilen verilerinin sızdırıldığı bir Tor kurbanları blogunu paylaştı. Grup, yakında daha fazla kurbanın yayınlanacağını söyledi.” dedi.
Gal, sızdırılan verilerin tamamının meşru olduğunu henüz doğrulamamış olsa da, Crunchbase verilerinin en azından kişisel olarak tanımlanabilir bilgilerin yanı sıra “imzalı sözleşmeler” de dahil olmak üzere çeşitli “kurumsal veriler” içeren veritabanlarını içerdiğini söyledi.
Bazen Scattered Lapsus$ Hunters gibi diğer bayraklar altında faaliyet gösteren ShinyHunters, kendisine The Com adını veren Batılı, çoğunlukla ergenlik çağındaki siber suç topluluğundan çıkan, birbirine gevşek bağlı birkaç gruptan biridir. Grubun üyeleri, telefon tabanlı vishing saldırılarında defalarca BT destek personelinin kimliğine büründü.
Her Şeyi Yapan Kimlik Avı Kitleri
Kimlik avı araç setleri, kurbanlara gönderilen kimlik avı e-postaları ve bu e-postalardaki bağlantıların çözümlendiği benzer ancak kötü amaçlı web siteleri de dahil olmak üzere, bir saldırının tüm yaşam döngüsünü yönetir. Amaç geçerli oturum açma bilgilerini çalmaktır. Çoğu araç seti, özellikle kurbanı oturum açmak için gereken tek kullanımlık şifreyi veya çok faktörlü kimlik doğrulama kodunu paylaşması için kandırmaya çalışıyorlarsa, bu bilgiyi saldırganlara gerçek zamanlı olarak aktarır.
Günümüzün daha gelişmiş araç setleri, bir saldırganın kandırmaya çalıştığı kişiyle gerçek zamanlı sesli iletişim kurması anlamına gelen, sesle etkinleştirilmiş kimlik avı kampanyalarına olanak tanıyor.
Okta raporunda, bunu başarmak için araç takımlarının benzeri görülmemiş düzeyde düzenleme sunduğunu, çünkü “arayanın komut dosyasıyla ve arayanın oturum açmaya çalışırken karşılaştığı meşru MFA zorluklarıyla senkronize olmak için kullanıcının tarayıcısında hangi sayfaların sunulduğunu kontrol etmek için arayanlar tarafından anında uyarlanabileceğini” söyledi.
Araştırmacılar, bu kampanyaların bilinen hedeflerinin Google, Microsoft Entra, kripto para sağlayıcılarının yanı sıra çok sayıda şirket içi ve bulut tabanlı kurumsal uygulama için tek oturum açma işlemini gerçekleştirebilen Okta’nın kendi bulut tabanlı kimlik ve erişim yönetimi hizmetlerini içerdiğini söyledi.
Saldırganların kimlik avı sayfaları genellikle bu hizmetler için meşru oturum açma sayfalarını taklit eder. Okta’da bir tehdit araştırmacısı olan Moussa Diallo, “Bu kitleri kullanarak, hedeflenen kullanıcıya telefon eden bir saldırgan, kullanıcı kimlik avı sayfalarıyla etkileşime girdiğinde kimlik doğrulama akışını kontrol edebilir” dedi.
“Çağrı sırasında verdikleri talimatlarla hedefin tarayıcısında hangi sayfaları gördüğünü mükemmel bir senkronizasyonla kontrol edebiliyorlar. Tehdit aktörü bu senkronizasyonu, kimlik avına karşı dayanıklı olmayan herhangi bir MFA biçimini yenmek için kullanabilir” dedi.
Bir saldırgan, bir hizmete giriş yapmak için yeni çalınan kimlik bilgilerini kullanmak üzereyse, kurbana bir MFA anlık bildirimi görmeyi beklemesini söyleyebilir, bu da “kullanıcının başlatmadığı bir meydan okumayı kabul etmesi için normalde şüpheli olabilecek bir isteğe inandırıcılık kazandırır.”
Kimlik avına karşı dayanıklı MFA, yalnızca bir kullanıcının veya kendi sisteminin belirli kaynaklara veya hizmetlere giriş yapmasını sağlamak için kullanılabilen akıllı kartları, FIDO güvenlik anahtarlarını veya kriptografik geçiş anahtarlarını içerir. Diğer yaklaşımlar arasında Okta’nın kendi FastPass’i yer alıyor ve Diallo bunun “yedeklik adına” geçiş anahtarlarıyla birlikte kullanılabileceğini söyledi.