- Proofpoint, Microsoft OAuth 2.0 cihaz kod akışını kötüye kullanan kimlik avı artışını bildirdi
- Kurbanlar gerçek Microsoft etki alanlarına kod girerek saldırganlara jetonlara erişim hakkı veriyor
- Proofpoint, cihaz kod akışlarının engellenmesini önerir
Devlet destekli tehdit aktörleri de dahil olmak üzere siber suçlular, giderek daha fazla suistimal ediyor MicrosoftMicrosoft 365 hesaplarını devralmak için OAuth 2.0 cihaz kodu kimlik doğrulama akışı.
Bu, siber güvenlik araştırmacıları Proofpoint tarafından hazırlanan yeni bir rapora göre. bir yeni kağıt 18 Aralık’ta yayınlanan raporda araştırmacılar, kurbanların kandırılarak hesaplarına erişim izni verildiği sosyal mühendislik saldırılarında Eylül 2025’ten bu yana keskin bir artış görüldüğünü doğruluyor.
Saldırı genellikle bir bağlantı veya QR kodu içeren bir kimlik avı e-postasıyla başlar. Daha sonra mağdurlara, içeriği görebilmeleri için Microsoft’un oturum açma sayfasına bir cihaz kodu girerek hesaplarının kimlik doğrulamasını yeniden yapmaları gerektiği söyleniyor.
Ruslar, Çinliler ve diğerleri
Tehdit aktörleri, kodu girdikten sonra hesaplarına bağlı bir erişim jetonu alırlar; bu jeton onlara yalnızca erişim sağlamakla kalmaz, aynı zamanda e-posta izleme, yanal hareket ve daha fazlasını da sağlar.
Proofpoint ayrıca oturum açmanın gerçek bir Microsoft etki alanında gerçekleştiğini, bunun da geleneksel kimlik avı savunmalarının ve kullanıcı farkındalık kontrollerinin çoğunlukla işe yaramaz olduğu anlamına geldiğini açıklıyor. Saldırganlar aslında hırsızlık yapmıyor şifrelerveya MFA kodları, dolayısıyla orada da hiçbir alarm tetiklenmez.
Proofpoint, TA2723 (mali motivasyonlu bir tehdit aktörü), UNK_AcademicFlare (siber casusluk amacıyla hükümet ve askeri e-posta hesaplarını hedef alan Rus devleti destekli bir tehdit aktörü) ve Çin’den çok sayıda grup dahil olmak üzere şu anda bu tekniği kötüye kullanan çok sayıda grup olduğunu söylüyor.
Ayrıca suçluların SquarePhish 2 ve Graphish gibi cihaz kodunun kötüye kullanımını otomatikleştiren, QR kodlarını destekleyen ve Azure uygulama kayıtlarıyla entegre olan farklı kimlik avı çerçeveleri kullandığı da söylendi. Bu, giriş engelini azaltır ve düşük vasıflı tehdit aktörlerinin bile saldırılara girişmesine olanak tanır.
Proofpoint, özellikle kuruluşlar parolasız ve FIDO tabanlı kimlik doğrulamayı benimsedikçe, OAuth ve cihaz kodu kimlik doğrulamasının kötüye kullanımının muhtemelen artacağına inanıyor ve mümkün olduğunda Koşullu Erişim aracılığıyla cihaz kodu akışlarının engellenmesini öneriyor.
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.