Microsoft’un meşru kimlik doğrulama akışını saf dışı bırakan ve saldırganların hesaplara izinsiz erişim sağlamasını sağlayan EvilTokens, siber suç dünyasında hızla yayılıyor. Bu yöntem, kimlik avı saldırılarını yeni seviyelere taşıyarak, parolaları veya sahte giriş sayfalarını kullanmaktan vazgeçiyor. Peki, EvilTokens nasıl çalışıyor ve sizi bu tehditten nasıl koruyabilirsiniz?
## EvilTokens Nedir ve Nasıl Çalışır?
EvilTokens, Microsoft 365 hesaplarını hedef alan ve gerçek olmayan oturum açma süreçleriyle kullanıcıları kandıran gelişmiş bir kimlik avı aracıdır. Kurbanlar, sahte ama gerçekmiş gibi görünen giriş sayfaları yerine, doğrudan saldırganların kontrolündeki kodu kullanarak oturum açar. Bu süreçte, tüketilmekte olan iki faktörlü kimlik doğrulama (2FA), saldırganların eline geçer.
Bu yöntemin temel özelliği şudur: Saldırganlar, kurbanların cihaz kodlarını disguising eden özel kodlar kullanınca, kurbanlar aslında farkında olmadan saldırganların cihazını yetkilendirmiş olurlar. Bunun anlamı nedir? Kurbanlar, gerçek bir giriş yapıyormuş gibi görünse de, aslında saldırganların kontrolündeki oturuma giriş yaparlar. Bu da, saldırganların hesap erişimi ve verileri üzerinde tam kontrol elde etmesine imkan tanır.
## Attack Süreci ve Detaylı İşleyiş
### 1. Keşif Aşaması
Saldırganlar, ilk olarak hedefin aktif olup olmadığını belirlemek amacıyla, kimlik doğrulama sırasında kullanılabilecek bilgileri toplar. Bu aşama, genellikle 10-15 gün sürebilir ve kurbanların dikkatini çekmeden, arka planda gerçekleşir.
### 2. Kimlik Avı Bağlantısı ve Sahte Sayfa
Hedef alınan kullanıcılara, faturalar, belge paylaşımları veya takvim davetleri gibi güvenilir görünen sahte e-postalar gönderilir. Bu mesajlarda, kullanıcının tıklaması için teşvik edici ifadeler ve güven duyulan markalar taklit edilmiştir.
### 3. Kod Talebi ve Oturum Açma
Kullanıcı bağlantıya tıkladığında, sahte sayfa, gerçek Microsoft giriş sayfasına yönlendiriliyormuş gibi görünür. Aynı zamanda, kullanıcıdan geçici bir kimlik doğrulama kodu ister. Kullanıcı bu kodu girince, saldırganlar bu kodla gerçek oturum açma sürecine müdahale eder.
### 4. Otüm OturumKontrolü
Oturum açma işlemi başarıyla tamamlandığında, saldırganlar kontrolü ele geçirir ve güvenlik jetonları veya erişim belirteçleri sağlar. Böylece, kurbanın hesabına erişim sağlanır, e-posta yasadışı kullanılır ve diğer kurumsal kaynaklara ulaşılır.
## Güvenlik Riskleri ve Potansiyel Zararlar
Bu teknikle yapılan saldırılar büyük risk taşır:
– Kurumsal verilerin sızması ve gizlilik ihlalleri
– Mali kayıplar ve finansal dolandırıcılık
– İş sürekliliğinin aksaması veya sistemlerin tamamen devre dışı kalması
– Şirket imajına ciddi zararlar
EvilTokens, özellikle kurumsal e-posta sistemleri, şirket içi dosya paylaşım platformları ve kritik iletişim kanalları hedef alınarak kullanılıyor. Eğer şirketinizde bu tür saldırılara karşı önlem alınmazsa, ciddi veri ihlalleri ve maddi kayıplarla karşılaşabilirsiniz.
## En Etkili Koruma Yöntemleri
Bu gelişmiş saldırıya karşı alabileceğiniz birkaç uç nokta ve politika tabanlı önlemler var:
– İki faktörlü kimlik doğrulama ve cihaz kodu akışlarını sınırlandırın: Karşı önlem olarak, bu tür akışların kullanılmasını tamamen engellemek veya sınırlandırmak, saldırının önüne geçebilir.
– Kimlik doğrulama sırasında gelen talepleri dikkatlice inceleyin: Beklenmedik bir cihaz kodu veya doğrulama talebi gördüğünüzde, hemen BT veya güvenlik ekibiyle iletişime geçin.
– Riskli oturum açma işlemlerini tespit edin: Anormal IP adresleri, şüpheli cihazlar veya alışılmadık oturum açma saatleri gibi göstergeleri gözlemleyerek, saldırıları erken fark edin.
– Güvenlik farkındalığı eğitimleri düzenleyin: Çalışanlara, kimlik avı saldırılarının en yeni taktikleri hakkında bilgi verin. Özellikle, parolalar veya kodlar talep edilmediğinde dikkatli olunması gerektiğini öğretin.
– Sistemlerinizde kimlik doğrulama politikalarını güncelleyin: Gereksiz cihaz kodu akışlarını devre dışı bırakın ve Koşullu Erişim politikaları ile yönetim uygulayın.
– Olağan dışı davranışları otomatik tespit edin: Belirli davranışlar, saldırı olasılığını gösterir; bunları tespit ederek, gerçek zamanlı müdahale yapın.
## Sonuç
EvilTokens, kimlik avı saldırılarına yeni ve oldukça etkili bir yöntem sunuyor. Saldırganların cazip olan her iletiyi kurbanlara gerçekmiş gibi göstererek, parolaları veya sahte sayfaları kullanmadan hesaplara erişmesine imkan tanır. Bu nedenle, şirketlerin ve bireylerin en güncel ve kapsamlı güvenlik önlemleri almaları, farkındalık eğitimi vermeleri ve bu tür tehditleri sürekli takip etmeleri gerekir. Kimlik doğrulama sürecinizde şüpheli aktiviteleri erkenden fark etmek ve hızlı müdahale etmek, hesaplarınızın ve verilerinizin güvenliğini sağlayacaktır.
İlk yorum yapan olun