Microsoft 365 kullanıcılarını hedef alan yeni bir sesli kimlik avı kampanyası, çalışanları sahte Microsoft Entra passkey kaydı yapmaya ikna ederek kurumsal hesapları ele geçirmeyi amaçlıyor. Kimlik ve erişim yönetimi şirketi Okta, saldırının O-UNC-066 olarak izlediği ve Pink adıyla faaliyet gösteren tehdit grubu tarafından yürütüldüğünü açıkladı. Araştırma, saldırganların Microsoft’un kısa süre önce kullanıma sunduğu passkey kayıt kampanyalarını kötüye kullandığını gösteriyor.

Saldırganlar Gerçek Güvenlik Sürecini Taklit Ederek Güven Kazanıyor

Okta’nın yayımladığı teknik analiz, saldırganların hedef çalışanları telefonla arayarak yeni bir güvenlik güncellemesi gerektiğini söylediğini ortaya koyuyor. Aramanın ardından kurbanlar, alan adında “passkey” ifadesi bulunan oltalama bağlantılarına yönlendiriliyor. Microsoft Entra passkey saldırısı sırasında kullanılan internet siteleri, hedef kurumun kurumsal logosunu taşıyarak gerçek Microsoft Entra kayıt ekranını neredeyse birebir taklit ediyor. Saldırının temel amacı kullanıcıyı sahte bir güvenlik sürecinin parçası olduğuna inandırmak.

Microsoft 365 Kullanıcılarını Hedef Alan Yeni Entra Passkey Dolandırıcılığı Ortaya Çıktı
Sahte parola oluşturma sayfası

Microsoft, Mayıs ayında yöneticilerin çalışanlara passkey geçişini kolaylaştırabilmesi için kayıt kampanyaları başlatmasına izin veren yeni bir özellik sunmuştu. Saldırganlar ise bu yeni işlevi sosyal mühendislik senaryolarına uyarlayarak oltalama girişimlerini daha inandırıcı hâle getiriyor. Gerçek güvenlik süreçlerinin taklit edilmesi, klasik kimlik avı saldırılarının başarı oranını artırabiliyor.

Microsoft 365 Kullanıcılarını Hedef Alan Yeni Entra Passkey Dolandırıcılığı Ortaya Çıktı
Sahte kurtarma ifadesi

Kimlik Avı Kiti Operatör Tarafından Anlık Olarak Yönetiliyor

Okta, kullanılan oltalama altyapısının klasik saldırılardan farklı çalıştığını belirtiyor. Araştırmaya göre saldırgan, PHP tabanlı özel bir yönetim paneli üzerinden kurbanın oturum açma sürecini gerçek zamanlı olarak izliyor. Operatör, çok faktörlü kimlik doğrulama yöntemine göre saldırı akışını anlık değiştirebildiği için çok faktörlü kimlik doğrulama koruması tek başına yeterli olmayabiliyor. Girilen kullanıcı adı, parola ile doğrulama kodları doğrudan saldırgana aktarılıyor.

Kurban, hesabına yeni bir güvenlik anahtarı eklediğini düşünürken saldırgan kendi kontrolündeki passkey’i Microsoft hesabına kaydediyor. Sürecin sonunda gösterilen BIP-39 kurtarma ifadeleri de kullanıcıyı oyalamak amacıyla hazırlanıyor. Microsoft Entra passkey kayıt işlemlerinde BIP-39 ifadeleri kullanılmıyor. Bu ayrıntı, saldırının anlaşılması açısından önemli teknik göstergelerden biri olarak öne çıkıyor.

Microsoft 365 Kullanıcılarını Hedef Alan Yeni Entra Passkey Dolandırıcılığı Ortaya Çıktı

Palo Alto Networks Unit 42, Pink grubunun The Com adı verilen dağınık tehdit ağıyla bağlantılı yeni bir siber suç markası olduğunu değerlendiriyor. Araştırmacılar, grubun sesli oltalama yöntemini kullanarak kimlik bilgileri ile MFA doğrulama kodlarını ele geçirdiğini, ardından SharePoint ile OneDrive üzerinde bulunan kurumsal verileri kısa sürede dışarı aktardığını belirtiyor. SharePoint ve OneDrive, saldırganların ilk hedef aldığı Microsoft 365 hizmetleri arasında yer alıyor.

Pink grubu, 31 Mayıs’ta faaliyete geçirdiği şantaj sitesinde ele geçirdiği dosyalardan örnekler yayımlayarak kurumlar üzerinde fidye baskısı oluşturuyor. Son aylarda kullanılan bazı oltalama alan adlarında “passkey” kelimesinin bulunması da saldırı altyapısının ortak özelliklerinden biri olarak değerlendiriliyor.

Okta, kurumların yardım masası çalışanlarının kimliğini doğrulamak için ek kontrol mekanizmaları oluşturmasını tavsiye ediyor. Şirket ayrıca hizmet verilmediği ülkelerden gelen kimlik doğrulama taleplerinin engellenmesini, koşullu erişim ilkelerinin gözden geçirilmesini, Microsoft Entra oturum günlüklerinin düzenli izlenmesini ve FIDO2 tabanlı kimlik doğrulama politikalarının doğru yapılandırılmasını öneriyor. Türkiye’de Microsoft 365 kullanan kurumlar açısından da sesli oltalama saldırıları artık yalnızca kullanıcı farkındalığıyla önlenemeyecek kadar gelişmiş yöntemler kullanıyor. Kurumsal güvenlik ekiplerinin teknik kontrolleri sosyal mühendislik senaryolarıyla birlikte değerlendirmesi giderek daha kritik hâle geliyor.

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.