Microsoft’un meşru kimlik doğrulama akışını bozmak üzere tasarlanmış bir kimlik avı aracı olan EvilTokens, kullanıcıların parolalarını ele geçirmeden hesaplara erişim sağlıyor. ESET’in incelemelerine göre bu araç setiyle gerçekleştirilen saldırılar, sahte oturum açma sayfaları yerine gerçek bir doğrulama sürecini kullanıcının karşısına çıkarıyor ve 2FA dâhil olmak üzere adımları meşru bir oturum açma akışına entegre ediyor. Bu kit, özellikle Microsoft 365 hesaplarını ele geçirmek amacıyla geliştirilmiş durumda. Saldırılar, kullanıcıları gerçekten bir Microsoft oturum açma sayfasında, güvenilir bir şekilde görünen arayüzle yönlendirerek saldırganların kendi cihazlarını yetkilendirmelerini sağlıyor. 2026’nın Mart ayına dek uzanan bir kampanya kapsamında 340’tan fazla kuruluşa zarar verdiği tespit edildi veya yönlendirdiği hesap ele geçirildi.
EvilTokens ile Saldırılar Nasıl Gerçekleşir?
- Ön aşamada tehdit aktörleri, hedefine ulaşıp ulaşamayacağını belirlemek için bir keşif süreci yürütür. Microsoft’a göre bu adım, gerçek kimlik avı girişiminin başlamasından yaklaşık 10–15 gün önce tamamlanır.
- Kuruma gönderilen mesajlar, faturalar, paylaşılan belgeler veya SharePoint erişim istekleri gibi konularla ilişkilendirilen bir e-posta veya bildirim altında yalancı bir güvenlik uyarısı sunar. İçerikte, “Görüntülemek için doğrulayın” veya “İmza gereklidir” gibi ifadeler dikkat çekici olabilir.
- Kullanıcı bağlantıya tıkladığında, sayfa Microsoft’tan gelen bir kod ister. Bu kod yalnızca 15 dakikalık süre için geçerlidir ve bu sürenin kısıtlılığı saldırgan için kritik bir an yaratır.
- Sayfa, kurbana bir kod gösterir ve onu Microsoft’un gerçek microsoft.com/devicelogin portalına yönlendirir. Esas tehdit burada ortaya çıkar: kod, saldırganın oturum açma sürecine dahil olur; bu durumda kullanıcı kendi cihazını değil, saldırganın cihazını yetkilendirmiş olur.
- Geçerli bir oturum açma bilgisi elde edildiğinde Microsoft, saldırgan tarafından açılan oturuma erişim ve yenileme jetonları verir. Böylelikle sızdırılan veriler, kurumsal e-posta, dosyalar, Teams, SharePoint, OneDrive ve diğer 365 kaynaklarına erişim sağlayabilir ve BEC (kurumsal e-posta dolandırıcılığı) saldırılarına zemin yaratır. Finans, İnsan Kaynakları, lojistik ve satış birimleri bu saldırıların ana hedefleri haline gelir.
EvilTokens’tan Korunmanın Yolları
- Beklenmedik kimlik doğrulama taleplerini şüpheyle karşılayın. Hiçbir belge veya e-posta, cihaz kodunuzu istememelidir; talep aniden gelirse BT güvenlik ekibine bildirin.
- Oturum açma isteğini onaylamadan önce bağlamı kontrol edin: hangi uygulama ve hangi hesap için olduğunu, başlatıp başlatmadığınızı doğrulayın; gerçek Microsoft sayfaları bile talepleri otomatik olarak güvenli hale getirmez.
- Gerektiği durumlarda cihaz kodu akışını sınırlandırın. Koşullu Erişim ilkeleriyle hangi kullanıcıların, hangi cihazların ve hangi konumların bu akışı kullanabileceğini belirlemek güvenliği artırır.
- Olağandışı cihaz kodu talepleri, farklı altyapılar ve şüpheli oturum açma davranışları için uyanık olun ve yeni gelen kutusu kurallarını takip edin.
- Güvenlik farkındalığı eğitimlerini güçlendirin; çalışanlar, modern kimlik avı saldırılarının her zaman parola içeren sahte sayfalardan ibaret olmadığını anlamalıdır. Bazen gerçek bir sayfada bile yanlış cihaz için kod istenebilir.
- Şüpheli bir cihaz kodu talebi aldığında derhal BT veya güvenlik ekibine bildirin. Ekipler oturum açma günlüklerini inceleyip gerektiğinde oturumları iptal edebilir, jetonları geçersiz kılabilir ve güvenliği ihlal edilmiş hesapları geçici olarak devre dışı bırakabilir.
Kaynak: Beyaz Haber Ajansı (BYZHA)
Leave a Reply