Microsoft 365 oturum açma bilgileri ADFS yönlendirmeleriyle hedef alındı: Yeni kimlik avı yöntemi tespit edildi
Siber saldırganlar, Microsoft’un resmi office.com alan adını ve Active Directory Federation Services (ADFS) yönlendirmelerini kullanarak kullanıcıları sahte giriş sayfalarına çekiyor. Push Security araştırmacıları, yöntemin güvenlik yazılımlarını atlatabildiğini ve çok faktörlü kimlik doğrulamayı aşmak için kullanılabildiğini belirtiyor.
Microsoft 365 kullanıcılarını hedef alan yeni bir kimlik avı tekniği ortaya çıktı. Push Security’nin analizine göre saldırganlar, Microsoft’un güvenilir altyapısını kullanan sahte yönlendirmeler üzerinden kullanıcıların giriş bilgilerini ele geçiriyor.
Saldırı yöntemi
Kampanya, Google’da “Office 265” şeklinde yazılan hatalı arama sonucunda karşıya çıkan sponsorlu bağlantıyla başladı. Bu bağlantıya tıklayan kullanıcı önce outlook.office.com adresine yönlendirildi, ardından bluegraintours[.]com alan adına ve oradan da kimlik bilgilerini çalmak için hazırlanan sahte Microsoft 365 giriş sayfasına aktarılıyor.
Push Security araştırmacıları, saldırganların kendi Microsoft kiracısını (tenant) oluşturup ADFS yapılandırması yaptığını tespit etti. Bu sayede, yönlendirme zincirinde yer alan alan adı kimlik sağlayıcısı gibi davranarak sahte sayfaya yetkilendirme isteği gönderebildi.
Neden tespit edilmedi
Saldırganların kullandığı alan adı, sahte blog yazıları ve içeriklerle doldurularak otomatik tarayıcılar için güvenilir görünecek şekilde tasarlandı. Ayrıca, hedef alınmayan kullanıcılar otomatik olarak yeniden office.com’a yönlendirildi. Bu yöntem, araştırmacıların “hedefli erişim” olarak tanımladığı koşullu yükleme kısıtlamalarıyla desteklendi.
Push Security açıklaması
Şirketin kurucu ortağı ve ürün sorumlusu Jacques Louw, saldırının belirli sektör ya da rolleri hedeflemediğini belirterek, “Bu, kullanıcıları güvenilir bağlantılara tıklatarak klasik kimlik avı kitlerine yönlendirmeye çalışan deneysel bir yöntem gibi görünüyor.” dedi.
Önceki örneklerden farkı
Daha önce ADFS, taklit edilen giriş sayfalarıyla kimlik bilgisi toplamak için kullanılmıştı. Bu kampanyada ise gerçek yönlendirme zinciri kullanıldığı için saldırı daha inandırıcı hale geldi.
Önlemler
Uzmanlar, ADFS yönlendirmelerinin izlendiği güvenlik kontrollerinin devreye alınmasını ve Google reklam parametrelerinin düzenli kontrol edilmesini öneriyor. Ayrıca, işletmelerin sahte yönlendirmeleri tespit edebilmesi için reklam kaynaklı trafik üzerinde daha fazla izleme yapılması gerektiği belirtiliyor.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğenmek
0
Beğenmemek
0
Aşk
0
Eğlenceli
0
Sinirli
0
Üzgün
0
Vay
0
