Sahte Teams uygulaması tehlike saçıyor: Kendinizi nasıl koruyacağınızı açıklıyoruz!
Siber dolandırıcılar, Microsoft Teams daveti kılığına giren sahte bir web uygulamasıyla kullanıcıların Microsoft 365 hesaplarına kalıcı erişim elde etmeye çalışıyor. Tuzak göründüğünden çok daha tehlikeli.
Bir grup dolandırıcı, sahte Microsoft Teams toplantı davetleri göndererek kullanıcıların oturum açma bilgilerini ele geçirmeye ve Microsoft 365 ekosistemi genelinde kalıcı erişim sağlamaya çalışıyor. Güvenlik uzmanları, bu yöntemin hızla yayıldığı konusunda uyarıyor.
Abnormal AI’dan siber güvenlik araştırmacıları, kampanyayı yakın zamanda aktif şekilde tespit ettiklerini açıkladı. Saldırı zinciri, ele geçirilmiş bir GMX Mail hesabıyla başlıyor. Almanya merkezli bu ücretsiz e-posta hizmeti, tek bir hesaptan on farklı gönderici adresi oluşturma imkânı sunduğu için saldırganların işini kolaylaştırıyor.
Ele geçirilen bu hesaplar üzerinden, şirketlerin insan kaynakları departmanından gönderiliyormuş izlenimi veren, otomatik bildirim formatında hazırlanmış, Teams marka unsurlarıyla süslenmiş sahte e-postalar yollanıyor.
Toplantı daveti kılığında oltalama
Dolandırıcıların kullandığı tipik öğeler şöyle:
- Büyük ve dikkat çekici “Şimdi toplantıya katıl” düğmesi
- Toplantı Kimliği ve Parola kısmı
- Gerçek Teams davetleriyle birebir örtüşen sahte “Düzenleyen” bölümü
Kullanıcı bu tuzağa düşüp bağlantıya tıkladığında, saldırganlar tarafından ele geçirilmiş bir Azure Web App sayfasına yönlendiriliyor. Bu sayfada ziyaretçiden OAuth aracılığıyla Microsoft hesabına belirli izinler vermesi isteniyor. Saldırganlar, bunun bir web uygulaması olduğunu gizlemek için başlığı “Lütfen katılımınızı onaylayın - toplantı isteği” olarak ayarlamış.
Bu sahte web uygulamasına verilen izinler sayesinde saldırganlar:
- Hesaba giriş yapabiliyor
- Profil bilgilerini okuyabiliyor
- Parola değişse bile erişimi sürdürebiliyor
- E-postalara ve posta verilerine ulaşabiliyor
- E-posta gönderebiliyor
- Dosyaları çalabiliyor
ve daha fazlasını yapabiliyor. Araştırmacılar, GMX Mail kullanımının saldırganlara hem hızlı kimlik değiştirme imkânı sağladığını hem de yeni altyapı kurmadan saldırı hazırlık süresini kısalttığını belirtiyor.
Tehlikeli bir güvenilirlik: SPF, DKIM ve DMARC’ı aşıyor
GMX’in seçilmesinin bir diğer nedeni ise gönderilen mesajların SPF, DKIM ve DMARC doğrulamasından başarıyla geçmesi. Bu sayede sahte iletiler, güvenlik filtrelerini atlayıp doğrudan kullanıcıların gelen kutusuna düşebiliyor. Abnormal ekibi, bu durumun “alışılmadık derecede yüksek bir teknik meşruiyet” sağladığını vurguluyor.
Nasıl korunabilirsiniz?
Oltalama saldırılarına karşı en etkili savunma, acele etmeden düşünmek ve birkaç basit kontrol yapmaktır:
- Gönderen e-posta adresini dikkatle inceleyin
- Bağlantıların üzerine gelerek (tıklamadan) gerçek yönlendirme adresini kontrol edin
- Aciliyet vurgusu taşıyan e-postalara daha temkinli yaklaşın
Bu basit adımlar, sahte Microsoft Teams davetleri gibi giderek daha sofistike hale gelen saldırılardan korunmanıza yardımcı olabilir.