Sessionshark kimlik avı kiti, oturum jetonlarını çalarak ofis 365 MFA’yı atlar. Uzmanlar sahte giriş sayfaları ve telgraf uyarıları aracılığıyla gerçek zamanlı saldırıları uyarıyor.
SlashNext güvenlik uzmanları, siber suçlular tarafından Microsoft Office 365 için giriş bilgilerini çalmak için kullanılan “SessionShark” adlı yeni bir araç keşfetti. Bu araç, başka bir güvenlik katmanı eklemek için bir şifreye ek olarak bir telefon kodu gerektiren bir güvenlik özelliği olan çok faktörlü kimlik doğrulama (MFA) atabilir.
Sadece hackread.com ile paylaşılan Slashnext’in araştırması, Sessshark için çevrimiçi reklamların gizli siber suç ağlarında bulunduğunu, aracın, kullanıcıların şifrelerini her zaman girmeden giriş yapmalarına izin veren özel anahtarlar olan oturum belirteçlerini çalmak için tasarlandığını gösterdi. Bir suçlu bu jetona sahip olduktan sonra, MFA açmış olsanız bile ofis 365 hesabınıza girebilirler, çünkü anahtar giriş yaptığınızı kanıtlar.
Araştırmacılar, bu oturumu çalarak çerezleri çalarak ”saldırganların MFA kontrollerini atlayabileceğini ve bir kerelik şifreye ihtiyaç duymadan hesaba erişebileceğini” açıkladılar. Bu, bu tür saldırılarda MFA’nın ekstra güvenliğini işe yaramaz hale getirir.
SessionShark’ın yaratıcıları, “eğitim amaçlı” olduğunu söyleyerek diğer suçlulara satmaya çalışıyorlar, ancak güvenlik uzmanları bunun gerçekten ne için olduğunu gizlemenin bir yolu olduğunu söylüyor. Suçluların başarısına yardımcı olmak için tasarlanmıştır.
Örneğin, kullanıcıları kolayca kandıran gerçek bir Office 365 giriş sayfası gibi davranabilir. “Middle-in-the-the-the-the-aitm) kimlik avı kiti olarak çalışır. Bu, bir kurbanın OfficeShark tarafından oluşturulan sahte bir web sitesi aracılığıyla Office 365’e giriş yapmaya çalıştığında. Operatörler için bir günlük paneli sunar ve gerçek zamanlı “anlık oturum yakalama” için bir telgraf botu ile entegre olur. Bu, tehdit aktörlerinin kurbanın e-postası, şifresi ve oturum çereziyle gerçek zamanlı uyarılar almalarına izin verir, saldırgan kullanıcı adlarını, şifrelerini ve en önemlisi oturum jetonunu gerçek zamanlı olarak gizlice ele geçirir.
Ayrıca, bir web sitesinin gerçek konumunu gizleyen bir hizmet olan Cloudflare ile iyi çalışır ve güvenlik ekiplerinin cezai operasyonları izlemesini ve kapatmasını zorlaştırır. Araç ayrıca, bilinen kötü amaçlı web sitelerinin ve faaliyetlerinin veritabanları olan tehdit istihbarat sistemleri tarafından fark edilmeden kaçınmaya çalışır. SessionShark ayrıca, suçluların çalınan verileri hızlı bir şekilde doğrudan saldırganın telefonuna telgrafı kullanarak hızlı bir şekilde göndermelerine olanak tanır.
Slashnext’in blog yazısına göre, SessionShark’ın satılma şekli siber suçta büyüyen bir eğilim gösteriyor. Sadece bu araçları kendileri oluşturmak ve kullanmak yerine, suçlular şimdi onları destek ve güncellemelerle tamamlayan bir hizmet olarak başkalarına satıyorlar. Bu, daha fazla insanın bu tür saldırıları gerçekleştirmesini kolaylaştırır.
Güvenlik ekipleri artık kullanıcıları korumak için SessionShark gibi araçları tespit etmenin ve engellemenin yollarını bulmak için çalışıyor. Bu arada, özellikle giriş bilgilerinize girerken çevrimiçi olarak çok dikkatli olmak çok önemlidir. MFA gibi ekstra güvenlik ile bile, kullanıcı adınızı ve şifrenizi yazmadan önce gerçek web sitesinde olduğunuzdan emin olun.