Yeni bir kimlik avı kampanyası, OAuth kimlik doğrulama istemlerinde akıllıca bir değişiklik yaparak Microsoft hesap sahiplerini hedefliyor.
Saldırganlar, kullanıcılardan şifrelerini doğrudan teslim etmelerini istemek yerine, meşru görünen Microsoft yetkilendirme ekranları aracılığıyla insanları kötü amaçlı uygulamalara izin vermeleri için kandırıyor.
Bu yöntem, geleneksel parola korumasını ve çok faktörlü kimlik doğrulamayı atlayarak hedeflenen kullanıcılar ve kuruluşlar için özellikle tehlikeli hale gelir.
Güvenlik araştırmacıları, kurbanların kendilerini sahte veya güvenliği ihlal edilmiş OAuth izin ekranlarına yönlendiren bağlantılara tıklamaya yönlendiren kimlik avı e-postaları aldığı bu karmaşık saldırıların sayısının giderek arttığını tespit etti.
Kullanıcılar izin vermek için tıkladıklarında, saldırganlar gerçek parolaya ihtiyaç duymadan Microsoft hesaplarının tam kontrolünü ele geçirmelerine olanak tanıyan meşru erişim belirteçleri elde eder.
Kimlik avı e-postaları genellikle tıklamaları teşvik etmek için acil bir dil kullanan güvenilir kaynaklardan geliyor gibi görünüyor.
Kullanıcılar bağlantıyı takip ettiğinde kendilerine tamamen orijinal görünen bir Microsoft oturum açma sayfası sunulur.
Kimlik bilgilerini girdikten sonra, bir uygulamaya erişim izni verilmesini isteyen standart bir OAuth izin istemi görürler. İstem, orijinal Microsoft markasını kullandığı ve kullanıcıların daha önce birçok kez gördüğü normal yetkilendirme sürecini takip ettiği için meşru görünüyor.
Bu saldırıyı özellikle etkili kılan şey, kullanıcıların zaten bu izin ekranlarını bekleyecek şekilde eğitilmiş olmasıdır.
Birisi Microsoft hesabıyla bir üçüncü taraf uygulamasını her kullandığında benzer istemlerle karşılaşıyor. Saldırganlar bu aşinalık ve güvenden yararlanır.
Kurban izin verdikten sonra saldırganın uygulaması, tam hesap erişimi sağlayan OAuth belirteçlerini alır. Bu belirteçler, kullanıcılar parolalarını değiştirse veya ek güvenlik önlemlerini etkinleştirse bile geçerliliğini korur.
Geleneksel kimlik avı saldırıları, kullanıcılardan, artık birçok kuruluşun çok faktörlü kimlik doğrulamayla koruduğu şifreleri girmelerini ister.
Bu yeni yaklaşım bu korumaları tamamen atlıyor. OAuth belirteçleri, saldırganlara Microsoft hesaplarında depolanan e-postalara, dosyalara, kişilere ve takvim bilgilerine doğrudan erişim sağlar.
İş kullanıcıları için bu, hassas kurumsal verilere, gizli iletişimlere ve müşteri bilgilerine potansiyel erişim anlamına gelir.
Saldırganlar, ele geçirilen hesapları kurumsal ağlar üzerinden yatay olarak yayılmak için atlama noktaları olarak kullanabildiğinden, kuruluşlar özellikle yüksek risk taşır.
Güvenilir iş arkadaşlarından geliyormuş gibi görünen e-postalar gönderebilir, kötü amaçlı dosyalar paylaşabilir ve dahili sistemler ve süreçler hakkında istihbarat toplayabilirler.
Kullanıcılar beklenmedik e-postalardaki kendilerini yetkilendirme ekranlarına yönlendiren bağlantılara asla tıklamamalıdır. Bunun yerine, Microsoft hesap ayarlarını doğrudan tarayıcınız üzerinden açın.
Bir uygulama şüpheli erişim düzeyleri istiyorsa izin isteklerine dikkatlice bakın ve reddedin.
Kuruluşlar, Microsoft ortamlarında olağandışı OAuth belirteci kullanımını ve şüpheli uygulama izinlerini izleyen güvenlik araçlarını dağıtmalıdır.
Microsoft hesabı sahipleri, olağandışı oturum açma konumlarını ve cihaz kullanım modellerini işaretleyen koşullu erişim ilkeleri de dahil olmak üzere mevcut tüm güvenlik özelliklerini de etkinleştirmelidir.
Güvenlik farkındalığı eğitimi, özellikle OAuth kimlik avı tekniklerini ele almalı ve çalışanların izin istemlerinin doğrudan şifre istekleriyle aynı incelemeyi gerektirdiğini anlamasını sağlamalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.