Microsoft Teams Bildirimlerini Taklit Eden Oltalama Saldırıları Yaygınlaşıyor
Microsoft Teams’in bildirim mesajlarını gerçeğine yakın şekilde taklit eden yeni bir kimlik avı kampanyası Abnormal Security’nin 1 Mayıs’ta yayımlanan blog mesajında duyuruldu.
Microsoft’un bulut üzerinden işbirliği platformu olarak bilinen Teams, Covid-19 pandemisinin başlangıcından bu yana büyük bir kullanım artışına ulaştı. Microsoft’un 30 Mart 2020 tarihinde yaptığı duyuruya göre platform 19 Mart tarihinden itibaren %70’lik bir artışla günlük ortalama 75 milyon aktif kullanıcı sayısına ulaştı.
Bu yoğun kullanım Microsoft Teams’i oltalama saldırganları açısından cazip bir hedef haline getirdi. Abnormal Security güvenlik araştırmacılarının raporuna göre 15.000 ile 50.000 arasındaki posta alıcısı bu saldırıların hedefi haline geldi.
İlgili oltalama saldırıları Teams’in otomatik bildirimlerinin kopyası alınarak oluşturulan sahte e-postaların kullanıcılara gönderilmesiyle gerçekleştiriliyor. İlgili e-postaların içeriğinde bulunan yönlendirme linkleri ile kurbanlar saldırganların hazırladığı Microsoft’un birebir kopyası olan bağlantılara yönlendiriliyor.
Saldırganlar, saldırıları barındıran gerçek URL’yi gizlemek için çok sayıda URL yönlendirmesi kullanıyor. Bu şekilde e-posta koruma hizmetleri tarafından kullanılan kötü amaçlı bağlantıları engellemelerini de atlatmış oluyorlar.
Örnek olarak saldırılardan birinde kurbanlar önce YouTube’a yönlendirilip daha sonra iki farklı daha yönlendirme yapıldıktan sonra oltalama için kullanılan bağlantının giriş sayfasına yönlendiriliyor. Sahte giriş sayfaları Microsoft’un giriş sayfalarının oldukça başarılı bir kopyası olduğu için saldırganlar kullanıcıları yanıltabiliyor.
Kullanıcıların bu giriş sayfasına kullanıcı adı ve parola bilgisini girmesi Microsoft hesaplarına ait bilgilerin çalınmasına sebep olmaktadır. Microsoft Teams, Office 365 ailesi ile bağlantılı bir uygulama olduğu için bu giriş bilgilerini ele geçiren saldırganlar diğer Office 365 uygulamalarına da erişim sağlamış oluyorlar.
Kullanım oranlarının artmasıyla Microsoft Teams, Zoom benzeri uygulamaları hedefleyen siber atakların sayısında artışlar gözlenmeye devam ediyor. Mirosoft Teams, yakın bir zamanda yayınladığı güncellemeyle kötü amaçlı GIF gönderimi üzerinden işletme hesaplarını ele geçiren bir açığı da kapatmıştı.
Son kullanıcılara yönelik verilecek farkındalık eğitimlerinin yanında özellikle iki faktörlü kimlik doğrulamanın kullanılması bu tip saldırılara karşı önleyici önlemler olarak öneriliyor.
