Microsoft’un yasal kimlik doğrulama akışını altüst eden bir kimlik avı olan EvilTokens, saldırganların parolaları çalmadan yahut geçersiz giriş sayfaları oluşturmadan hesaplara sızmasına imkan tanıyor. Siber güvenlik alanında dünya lideri olan ESET, EvilTokens’ı kullanan hücumların nasıl gerçekleştiğini inceledi. Kullanıcıların dikkat etmeleri gereken noktalara dikkat çekti, güvenliklerini nasıl sağlayabileceklerine yönelik tekliflerini paylaştı.
EvilTokens, Microsoft 365 hesaplarını ele geçirmek üzere geliştirilmiş bir kimlik avı hizmeti kiti. Bu kiti kullanan hücumlar, aygıt kodu kimlik avına dayandığından, kurbanların parolalarını girecekleri gerçek oturum açma sayfalarının ikna edici kopyalarına muhtaçlık duymuyorlar. Bunun yerine saldırganlar, kurbanı gerçek bir Microsoft oturum açma sayfasında iki faktörlü kimlik doğrulama (2FA) dâhil olmak üzere yasal bir kimlik doğrulama sürecini tamamlamaya yönlendiriyor.
Siber hatalılar tarafından süratle benimsenen bu araç setinin 2026 yılının Mart ayında çeşitli ülkelerdeki 340’tan fazla kuruluşu maksat alan bir kampanya da dâhil olmak üzere, bir dizi hesap ele geçirme ve kurumsal e-posta dolandırıcılığı (BEC) taarruzunda kullanıldığı tespit edildi.
EvilTokens’ı kullanan hücumlar nasıl gerçekleşiyor?
- Saldırının öncesinde, berbat niyetli şahısların evvel gaye hesabın faal olup olmadığını doğruladığı bir “keşif” etabı yer alır. Microsoft, bu keşif kademesinin gerçek kimlik avı teşebbüsünden 10 ila 15 gün evvel gerçekleştirildiğini gözlemlemiştir.
- Mağdur, çoklukla fatura, paylaşılan doküman, takvim daveti yahut SharePoint erişim isteği üzere görünen bir e-posta yahut bildiri alır. Yem, sağlam bir markayı taklit eden bir tuzak sayfası ile birlikte “Görüntülemek için doğrulayın” yahut “İmza gereklidir” üzere kolay tabirlerden oluşur.
- Kurban temasa tıkladığında, sayfa Microsoft’tan bir kod ister. Kod sadece 15 dakika boyunca geçerlidir; bu nedenle burada vakit ve zamanlama hayati değer taşır.
- Sayfa, kurbana kodu gösterir ve onu Microsoft’un gerçek microsoft.com/devicelogin oturum açma portalına yönlendirir. İşin püf noktası, kodun saldırganının oturumuna ilişkin olmasıdır; bu nedenle kurban, farkında olmadan kendi aygıtını değil, saldırganın aygıtını yetkilendirir.
- Geçerli bir oturum açma bilgisi algıladığında Microsoft, saldırgan tarafından açılan oturuma erişim ve yenileme jetonları verir. Sisteme girdikten sonra hatalılar, kurumsal e-postalara, evraklara, Teams’e, SharePoint’e, OneDrive’a ve öbür Microsoft 365 kaynaklarına erişebilir ve bilgileri sızdırabilir ya da BEC atakları hazırlayabilir. Bu nedenle finans, İK, lojistik ve satış hesapları saldırganların büyük ilgisini çekmektedir.
EvilTokens’tan korunmak için öenmli ipuçları
- Kimlik doğrulama kodu için gelen beklenmedik talepleri kuşkulu olarak değerlendirin. Hiçbir evrak, fatura, e-posta yahut diğer bir platform, açık bir neden olmaksızın aygıt kodunuzu istememelidir. Talep apansız gelirse bunu patronunuzun BT yahut güvenlik takımına bildirin.
- Bağlam, sayfadan daha değerlidir. Rastgele bir oturum açma isteğini onaylamadan evvel, erişim isteyen uygulamanın hangisi olduğunu, hangi hesabın kelam konusu olduğunu ve bu süreci sahiden sizin başlatıp başlatmadığınızı denetim edin. Gerçek bir Microsoft sayfası, bir isteği otomatik olarak inançlı hâle getirmez.
- Kuruluşlar, gerekli olmadığı durumlarda aygıt kodu akışını büsbütün kısıtlamalıdır. Microsoft, gerekli olmadığı durumlarda aygıt kodu akışını engellemek ve bunu makul kullanıcılar, aygıtlar, pozisyonlar yahut işletim sistemleriyle sonlandırmak için Şartlı Erişim unsurlarının uygulanmasını önerir.
- Olağan dışı aygıt kodu kimlik doğrulamalarına, tanıdık olmayan altyapılara, riskli oturum açma süreçlerine, kuşkulu belirteç kullanımına ve yeni gelen kutusu kurallarına dikkat edin; bunların rastgele biri bir meseleye işaret edebilir.
- Güvenlik farkındalığı eğitimleri, saldırganların kullandığı en yeni hilelere ayak uydurmalıdır. Çalışanlar, çağdaş kimlik avı akınlarının her vakit geçersiz bir sayfaya parola girilmesini gerektirmediğini anlamalıdır. Bazen saldırgan, çalışanlardan gerçek bir sayfada gerçek bir kodu girmelerini isteyebilir fakat bu kod yanlış aygıt içindir.
- Beklenmedik bir aygıt kodu talebi alan çalışanlar, şirketlerinin BT yahut güvenlik gruplarını bilgilendirmelidir; bu gruplar oturum açma günlüklerini incelemek, oturumları iptal etmek, yenileme belirteçlerini geçersiz kılmak, berbat gayeli gelen kutusu kurallarını kaldırmak ve güvenliği ihlal edilmiş hesabı süreksiz olarak devre dışı bırakmak zorunda kalabilir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
