Rockstar 2FA adlı yeni bir “phishing-as-a-service” (PhaaS) platformu, Microsoft 365 kullanıcılarını hedef alan büyük ölçekli dolandırıcılık saldırıları gerçekleştiriyor. Rockstar 2FA platformu, iki faktörlü kimlik doğrulama (2FA) korumalarını aşarak kimlik bilgilerini ve oturum çerezlerini ele geçirebilen bir adversary-in-the-middle (AiTM) yöntemi kullanıyor.
Rockstar 2FA, hedef kullanıcıları, Microsoft 365 giriş sayfasını taklit eden sahte bir siteye yönlendirerek kimlik bilgilerini topluyor. Kullanıcılar giriş bilgilerini girdiğinde, platform bu bilgileri gerçek Microsoft hizmetlerine ileterek oturum çerezlerini ele geçiriyor. Bu çerezlerle saldırganlar, şifre veya 2FA kodlarına ihtiyaç duymadan hesaplara erişim sağlayabiliyor.
Rockstar 2FA, DadSec ve Phoenix adlı önceki dolandırıcılık kitlerinin gelişmiş bir sürümü olarak ortaya çıktı. Platform, Ağustos 2024’ten itibaren siber suç topluluklarında hızla popülerleşti. Platform iki haftalık kullanım için 200 dolar gibi uygun fiyatlarla satışa sunuldu. Platformun öne çıkan özellikleri şu şekilde oldu;
- Microsoft 365, Hotmail, Godaddy ve SSO desteği,
- Tespit edilmesini zorlaştıran rastgele kodlama ve bağlantılar,
- Cloudflare Turnstile entegrasyonu ile bot filtreleme,
- Gerçek zamanlı kayıtlar ve yedekleme seçeneklerine sahip kullanıcı dostu bir yönetim paneli,
- Otomatik şirket logosu ve tema entegrasyonu
Rockstar 2FA, sahte e-postalar ve bağlantılarla kullanıcıları tuzağa düşürüyor. Bu e-postalar genellikle şu konularda oluyor;
- Belge paylaşımı bildirimleri,
- IT departmanından gelen uyarılar,
- Şifre sıfırlama talepleri,
- Maaş ödeme bildirimleri
Saldırılar, botları ve güvenlik araştırmacılarını filtrelemek için Cloudflare Turnstile gibi araçları kullanıyor. Hedef kullanıcılar, sahte Microsoft 365 giriş sayfasına yönlendirilirken, uygunsuz kullanıcılar bir araba temalı aldatıcı sayfaya aktarılıyor.
Rockstar 2FA’nın yaygınlaşması, dolandırıcılık hizmetlerinin düşük maliyetlerle kolayca erişilebilir olmaya devam ettiğini gösteriyor. Microsoft 365 kullanıcıları bu tür tehditlerden korunmak için aşağıdaki önlemleri alabilir;
- E-posta ve bağlantıların doğruluğunu kontrol edin,
- Güvenilir olmayan kaynaklardan gelen şüpheli mesajları bildirin,
- Oturum çerezlerini ele geçirmeyi önleyen güvenlik araçlarını kullanın.
Rockstar 2FA gibi gelişmiş dolandırıcılık platformlarının ortaya çıkması, dijital güvenlikte proaktif olmanın önemini bir kez daha gözler önüne seriyor. Microsoft 365 ve diğer hizmetleri hedef alan bu tür saldırılar kullanıcıların kimlik bilgilerini ele geçirmekle kalmayıp, hesapların tam kontrolünü kötü niyetli aktörlere teslim edebiliyor. Bu nedenle, kullanıcıların sahte e-postalar ve web siteleri konusunda dikkatli olması gerekiyor.