Getty Resimleri
Salı günü Microsoft, bu tür ele geçirmeleri önlemek için tasarlanmış çok faktörlü kimlik doğrulama önlemleriyle korunduklarında kullanıcı hesaplarını ele geçirebilecek devam eden büyük ölçekli bir kimlik avı kampanyasının ayrıntılarını verdi. Eylül ayından bu yana 10.000 kuruluşu hedef alan operasyonun arkasındaki tehdit aktörleri, çalışanları bilgisayar korsanlarına para göndermeleri için kandırmak için kurban e-posta hesaplarına gizli erişimlerini kullandı.
İki faktörlü kimlik doğrulama, MFA veya 2FA olarak da bilinen çok faktörlü kimlik doğrulama, hesap güvenliği için altın standarttır. Hesap kullanıcısının, sahip olduğu veya kontrol ettiği bir şey (fiziksel güvenlik anahtarı, parmak izi veya yüz veya retina taraması) ve bildiği bir şeye (parola) ek olarak kimliğini kanıtlamasını gerektirir. MFA’nın artan kullanımı hesap devralma kampanyalarını engellediğinden, saldırganlar karşılık vermenin yollarını buldular.
Ortadaki düşman
Microsoft, hesap kullanıcıları ile oturum açmaya çalıştıkları iş sunucusu arasına saldırgan kontrollü bir proxy sitesi ekleyen bir kampanya gözlemledi. Kullanıcı proxy sitesine bir parola girdiğinde, proxy sitesi bunu gerçek sunucuya gönderdi ve ardından gerçek sunucunun yanıtını kullanıcıya geri iletti. Kimlik doğrulama tamamlandıktan sonra, tehdit aktörü meşru sitenin gönderdiği oturum çerezini çaldı, böylece kullanıcının ziyaret edilen her yeni sayfada yeniden kimliğinin doğrulanması gerekmez. Kampanya, proxy sunucusuna giden bir HTML eki içeren bir kimlik avı e-postasıyla başladı.
“Gözlemlerimize göre, kimlik avı sitesinde ilk kez güvenliği ihlal edilmiş bir hesap oturum açtıktan sonra, saldırgan, Outlook’ta çevrimiçi (outlook.office.com) kimlik doğrulaması yapmak için çalınan oturum tanımlama bilgisini kullandı,” Microsoft 365 Defender Araştırma Ekibi üyeleri ve Microsoft Tehdit İstihbarat Merkezi şunları yazdı: Blog yazısı. “Birden çok durumda, çerezlerin bir MFA iddiası vardı; bu, kuruluşun bir MFA politikası olsa bile, saldırganın, güvenliği ihlal edilen hesap adına erişim elde etmek için oturum çerezini kullandığı anlamına gelir.”
Çerez hırsızlığını takip eden günlerde, tehdit aktörleri çalışanların e-posta hesaplarına erişti ve iş e-postası ele geçirme dolandırıcılıklarında kullanmak için mesajlar aradılar; bu da hedefleri kandırarak iş arkadaşlarına veya iş ortaklarına ait olduğuna inandıkları hesaplara büyük meblağlarda para göndermelerini sağladı. Saldırganlar, diğer tarafı ödeme yapmaya ikna etmek için bu e-posta ileti dizilerini ve saldırıya uğrayan çalışanın sahte kimliğini kullandı.
Saldırıya uğrayan çalışanın güvenlik açığını keşfetmesini önlemek için, tehdit aktörleri belirli e-postaları otomatik olarak bir arşiv klasörüne taşıyan ve bunları okundu olarak işaretleyen gelen kutusu kuralları oluşturdu. Sonraki birkaç gün boyunca, tehdit aktörü yeni e-postaları kontrol etmek için düzenli aralıklarla giriş yaptı.
Blog yazarları, “Bir keresinde, saldırgan aynı anda ele geçirilmiş aynı posta kutusundan birden fazla dolandırıcılık girişimi gerçekleştirdi” diye yazdı. “Saldırgan her yeni dolandırıcılık hedefi bulduğunda, oluşturdukları Gelen Kutusu kuralını bu yeni hedeflerin kuruluş alanlarını içerecek şekilde güncelledi.”
Microsoft
Dolandırıcılığa düşmek çok kolay
Blog gönderisi, çalışanların bu tür dolandırıcılıklara kanmasının ne kadar kolay olabileceğini gösteriyor. E-postaların ve iş yükünün çokluğu, genellikle bir mesajın ne zaman gerçek olduğunu bilmeyi zorlaştırır. MFA’nın kullanılması, kullanıcının veya kuruluşun iyi bir güvenlik hijyeni uyguladığını zaten gösterir. Dolandırıcılıktaki görsel olarak şüpheli birkaç unsurdan biri, proxy sitesi açılış sayfasında kullanılan alan adıdır. Yine de, çoğu kuruluşa özgü giriş sayfasının opaklığı göz önüne alındığında, yarım yamalak alan adı bile ölü bir hediye olmayabilir.
Microsoft
Microsoft’un hesabındaki hiçbir şey, MFA’nın dağıtılmasının hesap devralmalarını önlemek için en etkili önlemlerden biri olmadığını söylemek için alınmamalıdır. Bununla birlikte, tüm MFA eşit değildir. Tek seferlik kimlik doğrulama kodları, SMS ile gönderilse bile, hiç olmamasından çok daha iyidir, ancak daha egzotik suistimaller yoluyla kimlik avı yapılabilir veya ele geçirilebilir durumda kalırlar. SS7 protokolü metin mesajları göndermek için kullanılır.
Mevcut en etkili MFA biçimleri, endüstri genelinde belirlenen standartlarla uyumlu olanlardır. FIDO İttifakı. Bu MFA türleri, Yubico veya Feitian gibi şirketlerden veya hatta bir Android veya iOS cihazından dongle olarak gelebilecek fiziksel bir güvenlik anahtarı kullanır. Kimlik doğrulama, biyometrinin çalınmasını önlemek için hiçbiri son kullanıcı cihazından ayrılmayan bir parmak izi veya retina taramasından da gelebilir. Tüm FIDO uyumlu MFA’ların ortak noktası, kimlik avı yapamaması ve bu tür devam eden kampanyalara dayanıklı arka uç sistemleri kullanmasıdır.
Kaynak : https://arstechnica.com/?p=1866290