- Çevrimiçi güvenlik yalnızca görecelidir, birçok güvenlik uzmanının gözünde bir yanılsamadır.
- Siber güvenlik firması Zscaler, yeni bir AiTM kimlik avı kampanyasının üzerini örttü.
- Hedefler Microsoft Mail kullanıcıları ve size nasıl çalıştığını göstermek üzereyiz.
Hiç kimse saldırganlardan ve şu anda kullandıkları yöntemlerden güvende olmadığı için bu makalede yazacaklarımızı çok dikkatli bir şekilde okuyun.
Daha açık olmak gerekirse, Microsoft e-posta hizmeti kullanıcılarının gerçekten tetikte olmaları gerekir, çünkü Zscaler, bir siber güvenlik araştırma şirketi, Microsoft e-posta kullanıcılarını hedef alan devam eden yeni bir kimlik avı kampanyası keşfetti.
Sizi korkutmak için değil, ancak firmaya göre, kurumsal kullanıcılar saldırı altında ve kampanya, çok faktörlü kimlik doğrulamayı atlamak için ortadaki düşman (AiTM) tekniği kullanılarak yürütülüyor.
Kimlik avı kampanyası, kimlik bilgilerinizi çalmak için AiTM yöntemini kullanır
Redmond teknoloji devi bile bu sorunu Temmuz ayında bir Blog yazısı kullanıcıları yaklaşan tehlike hakkında uyarmak içindir.
Sizi hızlandırmak için, bu AiTM tekniği, istemci ile sunucu arasındaki kimlik doğrulama sürecini engellemek için ortasına bir düşman yerleştirir.
Söylemeye gerek yok, bu değişim sırasında, kötü niyetli üçüncü şahıslar sonuç olarak onlara sahip olacağından, tüm kimlik bilgileriniz gitmiş kadar iyi.
Ve beklediğiniz gibi, bu aynı zamanda MFA bilgilerinin çalındığı anlamına gelir. Bu nedenle, ortadaki düşman, gerçek istemciye sunucu ve gerçek sunucuya istemci gibi davranır.
| Saldırgan tarafından kayıtlı alan adı | Yasal Federal Kredi Birliği alan adı |
| crossvalleyfcv[.]org | crossvalleyfcu[.]org |
| triboro-fcv[.]org | triboro-fcu[.]org |
| cityfederalcv[.]com | cityfederalcu[.]com |
| bağlantı noktası bağlantısı[.]com | bağlantı noktası bağlantısı[.]com |
| oufcv[.]com | oufcu[.]com |
Güvenlik uzmanlarının açıkladığı gibi, bu kampanya özellikle Microsoft'un e-posta hizmetlerini kullanan kuruluşlardaki son kullanıcılara ulaşmak için tasarlanmıştır.
İş e-posta güvenliğinin (BEC) kuruluşlar için her zaman mevcut bir tehdit olmaya devam ettiğini ve bu kampanyanın bu tür saldırılara karşı korunma ihtiyacını daha da vurguladığını unutmayın.
Siber güvenlik uzmanlarının eldeki tehdidi analiz ederek özetlediği kilit noktalardan bazıları şunlardır:
- Microsoft'un e-posta hizmetlerinin kurumsal kullanıcıları, bu büyük ölçekli kimlik avı kampanyasının ana hedefleridir.
- Tüm bu kimlik avı saldırıları, kurbana kötü amaçlı bir bağlantıyla gönderilen bir e-posta ile başlar.
- Kampanya, blog yayınlandığı sırada aktiftir ve tehdit aktörü tarafından neredeyse her gün yeni kimlik avı alanları kaydedilir.
- Bazı durumlarda, bu kimlik avı saldırısı kullanılarak yöneticilerin iş e-postalarının güvenliği ihlal edildi ve daha sonra aynı kampanyanın bir parçası olarak başka kimlik avı e-postaları göndermek için kullanıldı.
- ABD, İngiltere, Yeni Zelanda ve Avustralya gibi coğrafi bölgelerde FinTech, Borç Verme, Sigorta, Enerji ve İmalat gibi kilit sektör dikeylerinden bazıları hedefleniyor.
- Bu saldırılarda, çok faktörlü kimlik doğrulamayı (MFA) atlayabilen özel bir proxy tabanlı kimlik avı kiti kullanılır.
- Otomatik URL analiz sistemlerini atlamak için tehdit aktörü tarafından çeşitli gizleme ve tarayıcı parmak izi teknikleri kullanılır.
- Kurumsal e-posta URL analiz çözümlerinden kaçınmak için çok sayıda URL yeniden yönlendirme yöntemi kullanılır.
- CodeSandbox ve Glitch gibi meşru çevrimiçi kod düzenleme hizmetleri, kampanyanın raf ömrünü artırmak için kötüye kullanılıyor.
Federal Kredi Birliği temasını kullanan orijinal e-postaları analiz ettiğimizde ilginç bir model gözlemledik. Bu e-postalar, ilgili Federal Kredi Birliği kuruluşlarının genel müdürlerinin e-posta adreslerinden kaynaklanmaktadır.
Saldırganın kaydettiği etki alanlarından bazılarının ABD'deki yasal Federal Kredi Birlikleri'nin yazım denetimi yapılmış sürümleri olduğunu da belirtmemize izin verin.
Günümüzde, çevrimiçi güvenlik ile tüm operasyonunuzu tehlikeye atmak arasındaki çizgi o kadar ince ki, onu görmek için bir atom mikroskobuna ihtiyacınız var.
Bu yüzden her zaman güvenliği öğütleriz, bu şu anlama gelir:
- Asla rastgele, güvenli olmayan kaynaklardan hiçbir şey indirmeyin.
- Kimlik bilgilerinizi veya diğer hassas bilgilerinizi asla kimseye açıklamayın.
- Güvenmediğiniz kişilerin bilgisayarınızı kullanmasına izin vermeyin.
- Güvenilmeyen kaynaklardan gelen e-postalarda alınan bağlantıları açmayın.
- Her zaman antivirüs yazılımı.
Bu sürekli değişen çevrimiçi ormanda güvende kalmak tamamen size bağlı, bu nedenle felaketten kaçınmak için ihtiyacınız olan tüm güvenlik önlemlerini aldığınızdan emin olun.
Son zamanlarda böyle bir e-posta aldınız mı? Aşağıdaki yorumlar bölümünde deneyiminizi bizimle paylaşın.
![Antivirüs Kimlik Avını Algılayabilir mi? [Önleme Kılavuzu]](/f/f7cd85f8e58b419c47d4b6b379d151ed.png?width=300&height=460)
![Antivirüs Kimlik Avını Algılayabilir mi? [Önleme Kılavuzu]](/f/4f6460d1d25f95007e1883c581a48b1e.jpg?width=300&height=460)