- Saldırganlar, OAuth tuzaklarıyla sahte Microsoft Teams davetleri göndermek için güvenliği ihlal edilmiş GMX Mail hesaplarını kullanıyor
- Kötü amaçlı Azure Web Uygulamasına yetki veren kurbanlar, e-postaya, dosyalara ve kalıcı hesap denetimine erişim sağlar
- Anormal yapay zeka dikkatli olmayı teşvik ediyor: gönderenleri doğrulayın, bağlantıları inceleyin ve acil toplantı taleplerine dikkat edin
Dolandırıcılar mağdurlara sahte mesaj gönderiyor Microsoft Ekipleri Oturum açma kimlik bilgilerini çalmak ve tüm dünyada kalıcı erişim sağlamak amacıyla toplantı davetleri Microsoft Uzmanlar 365 ekosistemi konusunda uyardı.
Siber güvenlik uzmanları Anormal Yapay Zeka yakın zamanda kampanyayı vahşi doğada gözlemlediklerini söyledi. Bu, güvenliği ihlal edilmiş bir GMX Mail hesabıyla başlar. Bu serbest tüketici e-posta hizmeti Kullanıcıların tek bir hesaptan on adede kadar gönderen adresi oluşturmasına olanak tanıyan Almanya’dan.
Ele geçirilen hesaplar, bir şirketin İK departmanından geliyormuş gibi görünen, otomatik bildirim e-postaları gibi görünecek şekilde tasarlanmış ve Teams markasını taşıyan sahte e-postalar göndermek için kullanılıyor.
Erişim için kimlik avı
Her zamanki temalar şunlardır:
Büyük bir “Toplantıya şimdi katılın” harekete geçirici mesaj bağlantısı
Toplantı Kimliği ve Şifre bölümü
Orijinal Teams davetlerini yansıtacak şekilde tasarlanmış sahte bir “Düzenleyici” bölümü
Kurban yemi yutar ve sağlanan bağlantıya tıklarsa, ziyaretçiden OAuth yetkilendirmesi yapmasını ve Microsoft hesabına izin vermesini isteyen, güvenliği ihlal edilmiş bir Azure Web Uygulamasına yönlendirilecektir. Dolandırıcılar, uygulamanın bir web uygulaması olduğu gerçeğini “Lütfen katılımı onaylayın – toplantı isteği” başlığıyla maskelemeye çalıştı.
Bu kötü amaçlı web uygulamasına erişim izni vermek, uygulamaya oturum açma, profili okuma, şifre değiştirildikten sonra bile erişimi sürdürme, e-postalara ve e-posta verilerine erişme, e-posta gönderme, dosyaları çalma ve daha pek çok izin verir.
Araştırmacılar, GMX’in bu özel özellik için seçildiğine inanıyor çünkü bu özellik, saldırganların yeni altyapı kurmadan kimlikleri kolayca değiştirmesine olanak tanıyor ve saldırıyı hazırlamak için gereken süreyi kısaltıyor.
GMX’in seçilmesinin bir başka nedeni de mesajların SPF, DKIM ve DMARC doğrulamasını başarıyla geçerek insanların gelen kutularına ulaşmasıdır. Anormal için bu, teknik meşruiyetin “alışılmadık bir seviyesidir”.
Kimlik avına karşı korunmanın en iyi yolu, tıklamadan önce basitçe düşünmektir; gönderenin e-posta adresini kontrol edin, şüpheli yönlendirmeleri tespit etmek için bağlantıların üzerine gelin ve yüksek aciliyet hissi veren e-postalara karşı dikkatli olun.
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.