Armorblox’taki araştırmacılar, dolandırıcıların Zoom kullanıcılarını Microsoft değişim kimlik bilgilerini çalmak için kandırdığı son kimlik avı saldırısını açıkladı.
Bu saldırı, Microsoft Exchange E-posta Güvenliğini atlayarak 21.000’den fazla posta kutusunu hedefleyen National Healthcare Company’yi hedef aldı. Microsoft Exchange Server, dünya çapında milyonlarca şirket tarafından kullanılan bir posta ve takvim sunucusudur. Bu, onu siber suçlular için para kazandıran bir hedef haline getiriyor.
Armorblox araştırmacıları, “E-posta saldırısının sosyal olarak tasarlanmış bir yükü vardı, Microsoft Exchange e-posta güvenliğini atladı ve 21.000’den fazla kullanıcıya teslim edilecekti” diyor.
Kimlik Bilgileri Kimlik Avı E-posta Saldırısı Akışı
Kurbanda bir güven duygusu oluşturmak için bu e-posta saldırısı tanınmış bir markanın kimliğine büründü. Bu nedenle, saldırganlar kötü niyetli e-postalarda meşru logolar ve şirket markaları kullandılar. Özellikle kurbanların hassas PII verilerini sızdırmak için sahte açılış sayfası eklediler.
Araştırmacılar e-postanın başlığının “[External] Alıcının adı için Bugün, 2022”, her kullanıcının gerçek adı alıcı olarak listelenir. E-postanın gövdesi, alıcının yanıt bekleyen iki iletisi olduğunu iddia etti.
E-postanın gövdesi, biri ana harekete geçirici mesaj düğmesiyle ilişkilendirilen ve diğeri abonelikten çıkma bağlantısı olarak gölgelenen iki hatalı URL içeriyor.
Armorblox araştırmacıları, “E-posta, alıcıya e-posta iletişiminin hedefli, sosyal olarak tasarlanmış bir e-posta saldırısı yerine Zoom’dan gelen meşru bir iş e-postası iletişimi olduğuna dair güven aşılamak için en üstte bir Zoom logosu içeriyordu”.
E-posta, kurbanları meşru bir Microsoft giriş sayfası gibi görünen sahte bir açılış sayfasına götürdü. Ardından, kurbanlardan Microsoft hesabı parolalarını (hassas PII verileri) girmeleri istendi.
Özellikle, tehdit saldırganları, son 12 ayda bildirilen yalnızca bir enfeksiyonla ‘güvenilir’ bir itibar puanı gösteren geçerli bir alan kullandı.
“E-posta saldırısı, tüm e-posta kimlik doğrulama kontrollerini geçtiği için yerel Microsoft Exchange e-posta güvenlik kontrollerini atladı: DKIM, SPF ve DMARC”, Armorblox
Armorblox hızla harekete geçti ve e-postaların şüpheli olmayan alıcılara ulaşmasını engelledi. Bu nedenle araştırmacılar, kuruluşlara tehdit algılamaya maddi olarak farklı bir yaklaşım getiren katmanlarla yerleşik e-posta güvenliğini geliştirmelerini önerdi.
Ayrıca, sosyal mühendislik ipuçlarına karşı dikkatli olun ve sızdırılan kimlik bilgilerinin etkisini azaltmak için çok faktörlü kimlik doğrulama ve parola yönetimi en iyi uygulamalarını uygulayın.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin