Office 365 hesabı avcılığı

Şubat 6, 2019

Geçtiğimiz yazdan beri, kimliği belirsiz siber suçlular oturum açma bilgilerini ele geçirme umuduyla Office 365 kullanıcılarına e-postalar yolluyor. Bu saldırıyı ilk kez su yüzüne çıkaran araştırmacılara göre, söz konusu hizmetin kullanıcılarının yaklaşık %10’u böyle bir e-posta mesajı almış olabilir.

PhishPoint saldırısı

Bu dolandırıcılık e-postaları görünürde, SharePoint programında iş birliği yapmaya davet eden standart e-postalardan farksız. E-postaların alıcıları, OneDrive İş’te depolanan bir belgeyi açmaya yönlendiriliyor. Yapılan kurnazlık şu: E-postadaki link gerçekten de bir OneDrive İş belgesine yönlendiriyor, ama bu belge aslında içinde bir erişim talebi barındırıyor. Sayfanın en altında yer alan “Belgeye Erişin” bağlantısı, kurbanı Microsoft Office 365 oturum açma sayfası olarak gizlenmiş üçüncü parti bir siteye yönlendiriyor.

Kurumsal çalışma alanları, diğer kaynaklardan daha güvenilir olarak algılanır ve kullanıcılar, yabancıların SharePoint hizmetlerine kolayca erişim sağlayamayacağı izlenimine kapılır. Bu yüzden kullanıcılar, dolandırıcılık web sitesine yönlendiren bağlantıları korkmadan açar. Eğer kurban bu site üzerinde oturum açma bilgilerini girerse bu bilgiler söz konusu dosya sahiplerinin eline geçmiş olur.

Siber suçlular, bu bilgilerle e-posta hesaplarına, bulut depolama hizmetlerine ve gizli iş bilgilerine erişim de dahil olmak üzere kurbanın bütün ayrıcalıklarını ele geçirme potansiyeline sahiptir. Dolandırıcılar, kurumsal bir hesabın arkasına saklanarak rakipler için hassas bilgiler çalabilir, kötü amaçlı yazılımları yayabilir veya hedefli kimlik avı (spear-phishing) saldırısı için çalışanların isimlerini ve proje bilgilerini kullanabilir.

Bu saldırıdaki asıl kurnazlık, e-posta filtrelerinin de mesajdaki bağlantıyı kontrol etmesi ancak bağlantının tamamen temiz olarak algılanmasıdır. Çünkü bağlantı, kullanıcıları kusursuz itibara sahip bir çalışma alanında yer alan bir belgeye yönlendirir. Ancak kullanıcı, bu belgeye eriştiği andan itibaren e-posta filtrelerinin etki alanından çıkar ve artık koruma işi tamamen, bilgisayarda yüklü olan güvenlik yazılımının becerisine kalır.

Şirketinizi ve çalışanlarınızı nasıl koruyabilirsiniz?

Çalışanlarınızın konuya ilişkin farkındalığını arttırmak, bu ve benzeri saldırılara karşı şirketinizin güvenliğini iyileştirmek için işte size bazı öneriler:

  • Office 365 kullanan personele bu dolandırıcılık yöntemini anlatın. Belge bağlantılarının, öncesinde hiç sözü edilmeden, ani bir kararla gönderilmesi çok nadir yaşanan bir durumdur. O yüzden daha önce üzerinde hiç konuşulmadan gönderilen bir belgeyi açmadan önce, dosyayı gönderdiğini düşündüğünüz kişi ile mutlaka iletişime geçin.
  • Bilinmeyen adreslerden gelen e-postaları dikkatli bir şekilde inceleyin ve personelden de aynısını yapmasını isteyin. Şüpheli durumları kesinlikle araştırın.
  • Bir uç nokta siber güvenlik yazılımı ile her çalışanın iş istasyonunu koruyun. Bu koruma, bahsettiğimiz kimlik avı saldırılarına karşı mücadelede hayati bir öneme sahiptir.