Microsoft Office 365 kullanıcıları yeni bir phishing tehdidiyle karşı karşıya. Bu yeni saldırı yöntemi, VPN konfigürasyonunu güncellemek için bir bildirim mesajı şeklinde karşımıza çıkıyor ve evden çalışan kişileri hedef alıyor.
COVID-19 salgını nedeniyle evden çalışmak zorunda kalan kişilerin VPN kullanarak işlerini halletmeleri şirket güvenliği için önemli bir konu. Bu zaaftan haberdar olan siber saldırganlar, bu zor dönemde sanki IT departmanıymış gibi çalışanlara e-posta yolluyorlar ve VPN güncellemesi yapmalarını söylüyorlar. E-posta güvenlik şirketi Abnormal Security’nin belirttiğine göre hackleme maksadıyla şimdiden 15.000’den fazla mesaj yollanılmış.
Peki saldırı nasıl gerçekleşiyor? Bu yöntemde siber suçlular, kurban seçtikleri çalışanların şirket isimlerini taklit eden bir e-posta ile mesaj yolluyorlar. Bu mesajın içerisinde VPN ayarlarını güncellemeyle ilgili linkler bulunuyor. Tabii ki bu linkler kurban kişiyi başka bir web sitesine yönlendirerek Office 365 verilerini çalıyor.
“Bu saldırının türevleri birçok farklı e-posta ile farklı IP adreslerinden yapılsa da yönlendirilen site aynı. Bu da demektir ki phishing sitesini kontrol eden sadece 1 saldırgan var” şeklinde durumu açıklıyor Abnormal Security yetkilileri.
Saldırganın yönlendirdiği sayfa, muadillerine göre aslında oldukça başarılı, çünkü Azure Blob Storage ile Microsoft’a ait web.core.windows.net domainini kullanıyor ve Office 365 login sayfası taklidi yapıyor. Böylece geçerli bir Microsoft sertifikasına sahip oluyor ve tespiti oldukça zorlaşıyor. Bu saldırı için Azure Blob Storage’ın kullanılması oldukça zekice. Zira *.web.core.windows.net wildcard SSL sertifikası nedeniyle siteye giren herkes adres barında kilit işaretini görüyor ve siteyi güvenli zannediyor.
Bu saldırılara maruz kalmamak için Microsoft.com, live.com, Outlook.com gibi resmi siteler üzerinden giriş işlemi yapılması tavsiye ediliyor. Geçtiğimiz 1 ay içerisinde bu tarz saldırılarda oldukça fazla bir artış olduğunu sizlere haber etmiştik. Okuyucularımızın bu tarz e-postalara güvenmemesi gerektiğini ve her zaman güvenlik kontrollerini yapmalarını tavsiye ediyoruz.
