Microsoft, kimlik bilgilerini çalmak için açık e-posta bağlantılarını kullanan büyük bir kimlik avı kampanyası hakkında bir uyarı yayınladı.
Eski bir deyim bize çok değil akıllıca çalışmamızı tavsiye ediyor ve kimse bunu modern bilgisayar korsanlarından daha iyi uygulayamıyor. URL’ler kadar yaygın bir şey kullanarak, tehdit aktörleri çok sayıda kullanıcıyı bir kuruluşun ağına erişim sağlayabilecek, kredi kartı bilgilerini veya şantaj için kullanılabilecek kişisel verileri çalabilecek hassas bilgileri girmeleri için kandırmayı başarır.
Günümüzde bazıları, kampanyalarını, gelişmiş ve güncel kötü amaçlı yazılımdan koruma çözümleri tarafından algılanmadıkları noktaya kadar mükemmelleştirmeyi başarıyor.
Microsoft 365 Defender Tehdit İstihbarat Ekibi bir bildiri ile” Saldırganlar, kullanıcıları tıklamaya çekmek için bu bağlantıları, iyi bilinen üretkenlik araçlarını ve hizmetlerini taklit eden sosyal mühendislik tuzaklarıyla birleştiriyor.” […] “Bunu yapmak, kullanıcıyı sahte bir oturum açma sayfasına götürmeden önce, bir meşruiyet duygusu ekleyen ve bazı otomatik analiz sistemlerinden kaçınmaya çalışan bir CAPTCHA doğrulama sayfası da dahil olmak üzere bir dizi yeniden yönlendirmeye yol açar. Bu, nihayetinde kimlik bilgilerinin tehlikeye girmesine yol açar.
Microsoft 350’den fazla kimlik avı alanı buldu
Microsoft, yakın tarihli bir kampanyada, ikna edici sosyal mühendislik tuzaklarının etkili kullanımını gösteren en az 350 farklı kimlik avı dolandırıcılığı tespit etti. Çoğu durumda, bağlantılar, her ikisi de kuruluş ortamında yaygın olarak kullanılan Office 365 ve Zoom gibi programlardan gelen bildirimler gibi görünür. Yönlendirme URL’leri mesajda kodlanmıştır, e-posta adresleri ise çevrimiçi mağazalar, kulüpler veya çevrimiçi varlığı olan başka herhangi bir şey adına olabilir.
Kötü amaçlı açılış sayfası, saldırıyı doğrulamak için herhangi bir dinamik tarama girişimini reddetmek için Google’ın reCAPTCHA’sını kullanır. CAPTCHA denetimi tamamlandıktan sonra, kurbanlara, kullanıcı adlarını ve parolaları ele geçirdikleri, genellikle Microsoft Office 365 gibi tanınmış bir sağlayıcıyı taklit eden sahte bir oturum açma sayfası sunulur.
