Devam eden bir dizi kimlik avı saldırısı, alıcıların Microsoft kimlik bilgilerini çalmak amacıyla engellenen spam iletilerini incelemelerini isteyen sahte Office 365 bildirimleri kullanıyor.
Bu kimlik avı e-postalarını özellikle inandırıcı yapan şey, bunları potansiyel hedeflere göndermek için karantina[at]messaging.microsoft.com’un kullanılması.
Ek olarak, saldırganlar resmi Office 365 logosunu da kullanmaktalar ve e-postanın sonuna Microsoft’un gizlilik bildirimine ve kabul edilebilir kullanım ilkelerine dair bağlantılar da ekliyorlar.
Neyse ki kimlik avı mesajları, metin biçimlendirme sorunları ve bu e-postaların kötü niyetli olduğunu daha da belli edecek fazladan boşluklarla birlikte geliyor.
Söz konusu saldırıları keşfeden bulut e-posta güvenlik sağlayıcısı MailGuard, “Bu kimlik avı saldırıları, alıcıya bir spam iletisinin engellendiğini ve gözden geçirmeleri için karantinada tutulduğunu bildiren e-postayı gösteren “Spam Bildirimi: 1 Yeni İleti” olarak görülüyor dedi.
“Önlenen spam mesajının ayrıntıları, dolandırıcıların konu başlığını ‘[şirket etki alanı] Ayarlama: İşlem Giderleri 3. Çeyrek GÜNCELLEME’ şeklinde kişiselleştirerek bir aciliyet duygusu yaratmak ve finansla ilgili bir mesaj ilettiği izleniminin verilmesi amaçlanmıştır.”
Hedef kullanıcılara, bağlantıya tıklayarak Microsoft’un Güvenlik ve Uyumluluk Merkezi’ne giderek karantinaya alınan mesajları gözden geçirmeleri için 30 gün süre veriliyor.
Ancak, ‘İncele’ düğmesine tıklandığında Office 365 portalına ulaşmak yerine, karantinaya alınan spam iletilerine erişmek için Microsoft kimlik bilgilerini girmelerini isteyen bir kimlik avı giriş sayfasına yönlendirilirler.
Kimlik avı sayfasında görüntülenen kötü amaçlı forma giriş bilgilerini girdikten sonra, kurbanların hesaplarının ayrıntıları saldırgan tarafından kontrol edilen sunuculara gönderilir.
Hedefteki kullanıcılar tüm bu işlemleri yaptıkları takdirde, Microsoft kimlik bilgileri daha sonra siber suçlular tarafından hesaplarının kontrolünü ele geçirmek ve tüm bilgilerine erişmek için kullanılabilir.
MailGuard, “Microsoft hesap ayrıntılarınızın siber suçluların eline düşmesi, iletişim bilgileri, takvimler, e-posta iletişimleri ve bunlara benzer birçok hassas verilerinize yetkisiz erişime sahip oldukları anlamına gelir” dedi.
Kimlik avı saldırıları için çekici hedef
Office 365 kullanıcıları, kimlik bilgilerini toplamaya ve bunları dolandırıcılık odaklı kullanmaya çalışan kimlik avı saldırılarında sürekli olarak hedef alınmakta.
Microsoft, Ağustos ayında Temmuz 2020’den itibaren Office 365 müşterilerini çok sayıda saldırı dalgasında hedef alan, yüksek düzeyde bir hedefli kimlik avı saldırısını olduğunu açıklamıştı.
Mart ayında şirket, Aralık 2020’den bu yana yaklaşık 400.000 OWA ve Office 365 kimlik bilgilerini çalan ve daha sonra güvenli e-posta ağ geçitleri (SEG’ler) korumalarını atlatmak için yeni yasal hizmetleri kötüye kullanmaya başlayan bir kimlik avı operasyonu konusunda da uyarı yayınlamıştı.
Ocak ayının sonlarında ise Redmond, Microsoft Defender ATP abonelerine, uzaktaki çalışanları hedef alan artan sayıda OAuth kimlik avı (onaylı kimlik avı) saldırıları hakkında çeşitli açıklamalar yayınladı.
Kimlik acı saldırıları başarılı oldukları takdirde, Business Email Compromise (BEC) saldırıları da dahil olmak üzere birçok dolandırıcılık saldırısına imkan sağlayabilir.
Örneğin FBI, Mart ve Nisan 2020’de yayınladığı “Özel Sektör Bildirimlerinde” Microsoft Office 365 ve Google G Suite dahil olmak üzere popüler bulut e-posta hizmetlerini kötüye kullanan BEC dolandırıcıları konusunda uyarı yapmıştı.
ABD Federal Ticaret Komisyonu (FTC), geçen yıl kimlik hırsızlığı raporlarının sayısının 2019’a kıyasla iki katına çıktığını ve tek bir yıl içinde 1,4 milyonla rekor vaka sayısına ulaştığını açıkladı.
Kaynak: bleepingcomputer.com
Diğer Haberler
Microsoft, Windows 11’deki Outlook Arama Sorununu Giderdi
Microsoft, Windows 11’de Tarayıcı Ayarlarında Değişikliğe Gidiyor
Microsoft OneDrive Fotoğraf Düzenleme Özelliklerine Kavuşuyor