Office 365 Parolalarını Çalmak için Saldırganlar Sahte VPN Güncelleme Uyarısı Gönderiyor !!!


Güvenlik şirketi Abnormal Security’ye göre, dolandırıcıların Microsoft Office 365 kimlik bilgilerini çalmak amacıyla uzak çalışanları hedeflemek için sahte VPN güncelleme uyarıları kullanıyor.


Saldırganlar genel olarak Evden çalışanlar, şirket ağlarına ve verilerine erişmelerine yardımcı olmak için VPN’lere ve diğer uzaktan bağlantı araçlarına güvenerek, dolandırıcıların artık BT departmanından gelmiş gibi görünen ve uzaktan erişim yapılandırmalarını hemen güncellemelerini isteyen özel hazırlanmış kimlik avı e-postaları kullanıyorlar.

Abnormal Security’e göre, kullanıcı adlarını ve parolalarını, giriş sayfalarını sahtekarlığa uğratan kötü amaçlı etki alanlarına girerek Office 365 kimlik bilgilerini bırakmalarını sağlıyorlar. Raporda şu ana kadar bu kampanyanın 5.000 ila 15.000 çalışan e-posta gelen kutusunu hedeflediği belirtiliyor.

Abnormal Security tarafından ortaya çıkarılan kimlik avı kampanyasında, uzak çalışanın çalıştığı kuruluşun etki alanını taklit eden e-posta adreslerinin kullanıldığı görülmekte.

Bu kimlik avı e-postaları, “yeni bir VPN yapılandırması ev erişimi” uyarısı olduğunu iddia eden bir bağlantı içerir. Bununla birlikte, VPN yapılandırma sayfası yerine bağlantı, kurbanı rapora göre kullanıcının e-posta ve şifresi ile giriş yapması gereken sahte bir Office 365 sitesine yönlendiriyor.

Sahte açılış sayfası, şirketin logolarını ve resimlerini kullanmak da dahil olmak üzere standart Microsoft Office 365 giriş sayfasıyla neredeyse aynı görünüyor. Buna ek olarak, yasal bir Microsoft .NET platformunda barındırılan kötü amaçlı etki alanı, web sayfasına güvenlik araçlarını kandırmaya yardımcı olabilecek geçerli bir sertifika üretiyor.

Abnormal Security’e göre, kampanya kimlik avı sayfasının URL’sini gizliyor ve bunun yerine hedeflenen kurbanın çalıştığı şirketin adını içeren bağlantı metni kullanıyor.-

Raporda, “Gerçek URL’yi gizleyerek kullanıcı, eriştiği sitenin gerçek Microsoft Office giriş sayfası olmadığından habersiz olabilir.”

Araştırmacılar, ayrı IP adreslerinden kaynaklanan bu kimlik avı e-postalarında çok sayıda varyasyon bulsalar da, kullanılan yük bağlantısının tüm saldırılar için aynı olduğunu söylüyorlar. Rapora göre, kimlik avı e-postalarının kimlik avı alanını kontrol eden tek bir saldırgan tarafından gönderildiğini göstermekte.

Kaynak

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!