Kimlik Avı Saldırılarında Yeni Bir Dönem: EvilTokens
Microsoft hesaplarına sızmak isteyen siber şifreler, artık geleneksel yöntemler aktarım yöntemleri EvilTokens ile geliştirilmiş bir araca yönlendirilmiş durumda. Bu araç, Saldırganların kullanıcı parolasını veya sahte giriş sayfalarını kullanmadan hesaplara erişim olanaklarına izin verir. Peki, bu yeni tehdit ne kadar tehlikeli ve nasıl önlenebilir? İşte detaylar.
EvilTokens Nedir ve Nasıl Çalışır?
EvilTokens, özel olarak geliştirilmiş bir kimlik avı hizmet setidir. Saldırganlar, bu sistemi kullanarak kullanıcıların cihaz kodu ile oturum açma işlemlerini manipüle ediyor. Geleneksel kimlik avı yöntemlerinden farklı olarak, parolaları veya hesap bilgilerini doğrudan topluyor; bunun yerine, gerçek bir Microsoft oturum açma ortamında bilgilendirici yetkilendirmesini sağlıyorlar.
Saldırı Aşamaları ve İşleyiş Süreci
- Keşif Aşaması: Saldırganlar, hedef merkezleri tespit etmek ve aktif hesapları belirlemek için ayrıntılı araştırma yapar. Bu aşama genellikle saldırıdan 10-15 gün önce gerçekleşir.
- E-posta veya Mesaj Gönderimi: Kullanıcılar, sahte ama kullanılan e-postalar veya mesajları alır. Bu mesajlar genellikle faturalar, belge paylaşımları veya takvim davetleri içerir ve kullanıcıyı güvenilir bir sayfaya yönlendirir.
- Kimlik Doğrulama İsteği: Kullanıcı, anahtara tıkladığında, karşısına çıkan sayfaya cihaz kodunu girmesini ister. Bu kod, yalnızca 15 dakika geçerlidir ve Zararlıların kontrolünde bir cihazda kullanılmak üzere tasarlanmıştır.
- Oturum Açma ve Yetkilendirme: Kullanıcı kodu doldurulduktan sonra, sayfanın gerçek Microsoft oturum açma sayfasına yönlendirilir. Burada, kullanıcı hesabıyla giriş yapar ve saldırganın kontrolündeki oturumda yetkilendirme yapar.
- Simültane Oturumlar ve Sonrası: Saldırganlar, bu şekilde erişim sağlayan kurumsal e-postalar, dosyalar, Teams ve SharePoint gibi kritik kaynaklara erişebilir. Bu, içi kurum veri sızıntıları ve finansal sahtekârlıklar için büyük risk oluşturur.
EvilTokens’ın Özellikleri ve Neden Bu Kadar Tehlikeli?
EvilTokens, modern kimlik avı tekniklerine kıyasla çok daha etkili ve gizli bir yöntem sağlar. En büyük avantaj, kullanıcıların parolalarını ve doğrudan kimliklerini toplamalarından, güvenliklerini kazanmalarını ve oturumlarını ele geçirmelerini sağlamalarıdır. Ayrıca, Saldırganlar bu sistemi hızlı bir şekilde uyarlayıp, farklı ülke ve kuruluşlara saldırılar düzenleyebilir.
Nedir Bu Saldırıya Karşı Alınabilecek Önlemler?
- Cihaz kodu değişimi devre dışı bırakılmamalıdır: Şirketler, özellikle ihtiyaçlar veya cihaz kodu tabanlı kimlik doğrulamayı sınırlandırmalı veya devre dışı bırakılmalıdır.
- Çok Katmanlı Kimlik Doğrulamayı Kullanın: Yalnızca parola değil, ikinci faktör olarak güvenilir ve kontrol edilen cihazlara veya uygulamalara da güven sağlayın.
- Kimlik Doğrulama Kodlarını Dikkat Kontrol Edin: Beklenmedik cihaz kodu farklılıkları veya giriş aralıklarında şüpheli kabul edin ve hemen BT ekibinize görünebilir.
- Riskli Oturum Açma ve Anormallikler İzleyin: Oturum açma günlüklerini düzenli olarak inceleyerek, olağan dışı girişleri tespit edin. Şüpheli bir olay durumunda, kullanılan jetonları iptal edin.
- Kullanıcı Eğitimleri ve Farkındalık Arttırımı: Çalışanlar, modern kimlik avı teknikleri ve sahte sayfalar tanıma konusunda bilinçlendirilmelidir. Gerçekçi ve detaylı eğitim, saldırıların önlenmesine büyük katkı sağlar.
- Güvenilir Kaynaklar ve Bağlantı Kontrolü: E-postalardaki bağlantılara tıklamadan önce, URL’leri ayrıntılı olarak inceleyin ve tarayıcıda adres paylaşmanın doğruluğunu kontrol edin.
Sonuç ve Güncel Durum
EvilTokens gibi gelişmiş kimlik avı araçları, büyüyebilecek ve güvenlik önlemlerini en üst düzeye çıkarmalarını zorunlu kılıyor. Siber saldırganlar, sonuçta sürekli güncel tutarak ve kullanıcı bilgilerini artırarak bu tehditlere karşı koyabilirler. En iyi koruma, her zaman dikkatli olmak ve özellikleri incelemektir.
İlk yorum yapan olun