Bir e-posta güvenliği ve tehdit algılama hizmetleri sağlayıcısı olan Vade, yakın zamanda keşfedilen ve kimlik sahtekarlığını içeren bir kimlik avı saldırısı hakkında bir rapor yayınladı. Microsoft 365 kimlik doğrulama sistemi.
Vade’nin Tehdit İstihbarat ve Müdahale Merkezi’ne (TIRC) göre, saldırı e-postası, JavaScript kodu içeren zararlı bir HTML eki içeriyor. Bu kod, alıcının e-posta adresini toplamak ve bir geri arama işlevinin değişkeninden gelen verileri kullanarak sayfayı değiştirmek için tasarlanmıştır.
TIRC araştırmacıları, kötü amaçlı bir etki alanını analiz ederken base64 kodlu dizenin kodunu çözdü ve bununla ilgili sonuçlar elde etti. Microsoft 365 kimlik avı saldırıları. Araştırmacılar, phishing uygulamaları için taleplerin eevilcorponline’a yapıldığını kaydetti.
Periodic-checkerglitchme aracılığıyla bulunan kaynak kodu, ekin HTML dosyasına benziyordu ve bu, kimlik avcılarının kötü amaçlı HTML sayfalarını barındırmak için glitch.me’den yararlandığını gösteriyor.
Glitch.me, kullanıcıların web uygulamaları, web siteleri ve çeşitli çevrimiçi projeler oluşturmasını ve barındırmasını sağlayan bir platformdur. Ne yazık ki bu örnekte platform, devam eden Microsoft 365 kimlik avı dolandırıcılığına karışan etki alanlarını barındırmak için kullanılıyor.
Saldırı, kurban ek olarak kötü amaçlı bir HTML dosyası içeren bir e-posta aldığında başlar. Kurban dosyayı açtığında, bir kimlik avı sayfası Microsoft 365 kılığına girerek web tarayıcılarında başlatıldı. Bu aldatıcı sayfada kurbandan, saldırganların kötü amaçlarla hemen topladığı kimlik bilgilerini girmesi istenir.
Microsoft 365’in iş dünyasında yaygın olarak benimsenmesi nedeniyle, güvenliği ihlal edilen hesabın kurumsal bir kullanıcıya ait olma olasılığı yüksektir. Sonuç olarak, saldırgan bu kimlik bilgilerine erişim kazanırsa potansiyel olarak hassas iş ve ticari bilgileri elde edebilir.
Ek olarak, kendilerine göre raporVade’nin araştırmacıları, Adobe’nin sahte bir sürümünün kullanılmasını içeren bir kimlik avı saldırısı da keşfettiler.
Daha fazla analiz, kötü niyetli “eevilcorp” etki alanının Hawkeye adlı bir uygulamayla ilgili bir kimlik doğrulama sayfası döndürdüğünü ortaya çıkardı. Talos da dahil olmak üzere siber güvenlik uzmanlarının orijinal üzerinde değerlendirmeler yaptığını vurgulamak önemlidir. HawkEye keylogger ve bunu 2013’te ortaya çıkan ve sonraki sürümleri zamanla ortaya çıkan bir kötü amaçlı yazılım kiti olarak sınıflandırdı.
Bu bağlam, TIRC araştırmacılarının kimlik doğrulama sayfası ile HawkEye keylogger arasında neden doğrudan bir bağlantı kuramadıklarını açıkladığı için önemlidir.
Uzlaşma göstergeleri aşağıdakiler olarak belirlendi:
- periyodik kontrol hatası
- tarama doğrulamalı glitchme
- transfer-withglitchme
- havadan düşen glitchme
- kesin-shareglitchme
- aylık ödeme faturasıglitchme
- aylık-rapor-checkglitchme
- evilcorponline
- nihaimporonline
Bu saldırı, kötü amaçlı bir etki alanının (eevilcorponline) ve hacker forumlarında keylogger ve veri çalma aracı olarak satın alınabilen HawkEye’ın kullanılması nedeniyle öne çıkıyor. Vade’nin araştırması devam ederken, Microsoft 365 kimlik avı dolandırıcılığının kurbanı olmamak için kullanıcıların tetikte olması ve şu adımları izlemesi çok önemlidir:
- E-posta göndereni kontrol edin: Şüpheli veya tanıdık olmayan e-posta adreslerinden gönderilen ve Microsoft 365’ten geldiğini iddia eden e-postalara karşı dikkatli olun. Resmi Microsoft etki alanıyla eşleştiğinden emin olmak için gönderenin e-posta adresini doğrulayın.
- Genel selamlamaları arayın: Kimlik avı e-postaları, size adınızla hitap etmek yerine genellikle “Sevgili Kullanıcı” gibi genel selamlamalar kullanır. Yasal Microsoft e-postaları size genellikle adınız veya kullanıcı adınızla hitap eder.
- E-posta içeriğini ve biçimlendirmesini analiz edin: İmla ve dilbilgisi hatalarının yanı sıra kötü biçimlendirmeye dikkat edin. Kimlik avı e-postaları genellikle Microsoft’tan gelen yasal iletişimlerin sahip olmayacağı hatalar içerir.
- Bağlantıların üzerine gelin: E-postadaki herhangi bir bağlantıya tıklamadan önce, gerçek URL’yi görmek için fare imlecinizi bağlantıların üzerine getirin. Bağlantının hedefi şüpheli görünüyorsa veya resmi Microsoft etki alanlarından farklıysa, üzerine tıklamayın.
- Acil isteklere karşı dikkatli olun: Kimlik avı e-postaları genellikle bir aciliyet duygusu yaratır ve hemen harekete geçmeniz için size baskı yapar. Microsoft 365 hesabınızın risk altında olduğunu iddia eden veya kişisel bilgilerin acilen doğrulanmasını gerektiren e-postalara dikkat edin.
Bir e-postanın kimlik avı dolandırıcılığı olduğundan şüpheleniyorsanız, tedbiri elden bırakmamak en iyisidir. Herhangi bir şüpheli e-postayı Microsoft’a bildirin ve talebin meşruiyetini resmi kanallar aracılığıyla doğrulayamadığınız sürece kişisel veya hassas bilgileri vermekten kaçının.
İLGİLİ MAKALELER
- Microsoft Teams Kusuru, Çalışanların Gelen Kutularına Kötü Amaçlı Yazılım Gönderiyor
- CISA’nın Sparrow.ps1 aracı, Microsoft 365’te kötü niyetli etkinliği algılar
- Office 365 Kimlik Avı Koruması – Yerel Microsoft Koruması Güvenli mi?
- Microsoft Office 365’te Veri Kaybını Azaltmak İçin 10 Önemli Güvenlik İpucu
- Microsoft Dynamics 365 Customer Voice, Kimlik Bilgilerini Çalmak İçin İstismar Edildi
- Sahte yüksek mahkeme mahkeme celbi kimlik avı dolandırıcılığı Office 365 kimlik bilgilerini çaldı