Microsoft, kullanıcıları şimdiden 10.000'den fazla kuruluşu etkilemiş olan tehlikeli bir AiTM kimlik avı saldırısı dalgasına karşı uyardı. Saldırılar Eylül 2021'den beri gerçekleşiyor ve Office 365 kullanıcı oturum açma bilgilerini çalıyor.
Saldırganlar Office365 MFA'yı Atlayabilir
Ortadaki düşman (AiTM) kimlik avı web sitelerini kullanarak, kötü niyetli taraflar, çok faktörlü kimlik doğrulama (MFA) Office365 kullanıcıları tarafından sahte bir Office365 kimlik doğrulama sayfası oluşturarak kullanılan özellik.
Bu süreçte saldırganlar, hedef ile sahtecilik yapılan web sitesi arasında bir proxy sunucusunun konuşlandırılması yoluyla kurbanın oturum çerezini elde etmeyi amaçlar.
Esasen saldırganlar, oturum açma bilgilerini çalmak için Office365 oturum açma oturumlarına müdahale ediyor. Bu olarak bilinir oturum çalma. Ama işler burada bitmiyor.
AiTM Saldırıları BEC Saldırılarına ve Ödeme Sahtekarlığına Yol Açıyor
Saldırgan, AiTM sitesi aracılığıyla kurbanın posta kutusuna erişim elde ettiğinde, takip eden iş e-posta güvenliği (BEC) saldırılarını gerçekleştirmeye devam edebilir. Bu dolandırıcılıklar, çalışanları kuruluşa zarar verebilecek eylemlerde bulunmaları için kandırmak için üst düzey şirket personelinin kimliğine bürünmeyi içerir.
Bu, hedef kuruluşun özel finansal belgelerine erişerek birden fazla ödeme sahtekarlığı örneğine yol açmıştır. Bu verilerin alınması genellikle fonların saldırgan tarafından kontrol edilen hesaplara aktarılmasına yol açar.
üzerine uzun bir yazıda Microsoft Güvenlik Blogu, şirket "Eylül 2021'den bu yana 10.000'den fazla kuruluşu hedeflemeye çalışan bir AiTM kimlik avı kampanyasının birden çok yinelemesini tespit ettiğini" iddia ediyor.
Bu Saldırılar MFA Zayıflığının Göstergesi Değildir
Bu saldırı, çok faktörlü kimlik doğrulamasından yararlanıyor olsa da, bu güvenlik önleminin herhangi bir etkisizliğini temsil etmez. Microsoft, blog gönderisinde bunun nedeninin "AiTM kimlik avının oturum tanımlama bilgisini çalması, Saldırganın, oturum açma yönteminden bağımsız olarak, kullanıcı adına bir oturumda kimliği doğrulanır. kullanır".
Çok faktörlü kimlik doğrulama çok koruyucu olabileceğinden, siber suçlular, uyarılardan ziyade özelliğin başarısından daha fazla bahseden bunun üstesinden gelmek için yollar geliştiriyor. Bu nedenle, bu kimlik avı kampanyası, hesaplarınızda MFA'yı devre dışı bırakmak için bir neden olarak GÖRÜLMEmelidir.
Kimlik Avı Korkutucu Bir Şekilde Yaygın Bir Saldırı Yöntemidir
Kimlik avı, bu özel AiTM kampanyasının binlerce bilmeyen tarafı etkilemeyi başardığı çevrimiçi ortamda korkutucu derecede yaygın bir saldırı yöntemidir. Bir MFA zayıflığına işaret etmese de, siber suçluların artık bu tür güvenlik önlemlerinin üstesinden gelmek için yeni yollar geliştirdiğini gösteriyor.
