Armorblox’taki BT güvenlik araştırmacıları, dolandırıcıların Zoom kullanıcılarını sahtekarlık yaparak bilgilerini çalmak için kullandığı yeni bir kimlik avı saldırısını ortaya çıkardı. Microsoft Exchange kimlik bilgileri.
Bilginize, Microsoft Exchange Server dünya çapında milyonlarca şirket tarafından kullanılan bir posta ve takvim sunucusudur. Bu, onu siber suçlular için kazançlı bir hedef haline getiriyor.
Dolandırıcılığa Genel Bakış
Siber güvenlik firması Armorblox’a göre, e-posta tabanlı saldırı, Microsoft Exchange e-posta güvenlik mekanizmasını kolayca kandıran sosyal olarak tasarlanmış bir yük kullandı. Bunlar, Gönderici İlkesi Çerçevesi, Etki Alanı Anahtarları Tanımlanmış Posta ve Etki Alanına Dayalı İleti Kimlik Doğrulaması Raporlaması ve Uyumluluğu içerir.
E-posta, iki mesajın kontrol edileceğini belirtti. yakınlaştır. E-posta ayrıca harekete geçirici mesaj düğmesi içeren kötü amaçlı bir bağlantı içeriyordu. Abonelikten çıkma düğmesi için başka bir kötü amaçlı bağlantı vardı.
Alıcı, harekete geçirici mesaj düğmesini tıkladıysa, sahte açılış sayfası, yasal bir Microsoft açılış ekranı olarak tasarlanmıştır. Ardından, okunmamış Zoom mesajlarını kontrol etmek için kullanıcıdan Microsoft kimlik bilgilerini girmesi istenir.
Microsoft tarafından güvenli olarak işaretlenen kimlik avı e-postası, ulusal bir sağlık firmasının 21.000 kullanıcısına yönelikti.
Neden Yakınlaştırma?
COVID-19’dan beri, Zoom birincil hedef oldu dünyadaki dolandırıcılar ve tehdit aktörleri için. Bu durumda, dolandırıcılar, kimlik bilgilerini çalmak için Zoom’un popülerliğini ve marka kimliğini de kullandı. Kullanıcılar arasında bir güven duygusu yaratmak için orijinal Zoom logosunu ve markalama inceliklerini kopyaladılar.
Armorblox’a göre Blog yazısı, e-posta başlığı/konu satırı (Bugün için, 2022 için) ve tasarım, bir aciliyet duygusu aşılamak için sosyal olarak tasarlandı. Saldırganlar, alıcı bölümünde kullanıcının gerçek adını kullandı.
Tehdit saldırganları, son 12 ayda bildirilen yalnızca bir enfeksiyonla ‘güvenilir’ bir itibar puanı gösteren geçerli bir alan adı da kullandılar. Sahte açılış sayfası, alıcının e-posta adresini, geçerli bir sayfa olduğuna inandırmak için kullanıcı adı alanına otomatik olarak girdi. Kullanıcı bu tuzağa düşerse, kimlik bilgileri hızla ele geçirildi.
Nasıl Korunur?
Armorblox derhal harekete geçti ve e-postaların şüpheli olmayan alıcılara ulaşmasını engelledi. Ancak, bir kimlik avı dolandırıcılığı kurbanı olmaktan kaçınmak için uyanık kalmalısınız. Yerel e-posta güvenlik araçlarınızdan ayrı olarak her zaman katmanlı güvenlik mekanizmaları kullanın.
Ayrıca, doğrulanmamış kaynaklardan gelen mesajlara hemen yanıt vermek yerine, mesajları yakından inceleyin. Tutarsızlıkları veya yazım hatası hatalarını bulmak için gönderenin adını, e-posta kimliğini ve iletinin dilini kontrol edin.
Son olarak, birden fazla sitede asla tek bir parola kullanmayın çünkü bir hesap saldırıya uğrarsa, diğerlerinin tümü savunmasız hale gelir. Saldırganın saldırıya uğramış kimlik bilgilerini kullanarak oturum açmamasını sağlamak için çok faktörlü kimlik doğrulama önemlidir.
Alakalı haberler
- Prometei botnet, NSA istismarını kullanıyor, MS değişim sunucularını vuruyor
- Kimlik Avı Saldırısı Tarafından Vurulan Yamasız Microsoft Exchange Sunucuları
- Backdooring Exchange Sunucularında Kullanılan Kötü Amaçlı IIS Uzantıları
- Spam Saldırısı OAuth Uygulamalarını MS Exchange Sunucularına Karşı Kötüye Kullanıyor
- Ransomware Gang, Exchange Sunucularını ProxyShell istismarlarıyla vurdu