Zoom Temalı Kimlik Avı Saldırısı Kurbanların Microsoft Kullanıcı Kimlik Bilgilerini Çaldı

Armorblox'taki araştırmacılar geçen, dolandırıcıların Microsoft exchange kimlik bilgilerini çalmak için Zoom kullanıcılarını taklit ettiği son kimlik avı saldırısını açıkladı.

Bu saldırı, Microsoft Exchange E-posta Güvenliği'ni atlayarak 21.000'den fazla posta kutusunu hedefleyen Ulusal Sağlık Şirketi'ni hedef aldı. Microsoft Exchange Server, dünya çapında milyonlarca şirket tarafından kullanılan bir posta ve takvim sunucusudur. Bu, onu siber suçlular için para döndürücü bir hedef haline getiriyor.

Armorblox araştırmacıları, "E-posta saldırısının sosyal olarak tasarlanmış bir yükü vardı, Microsoft Exchange e-posta güvenliğini atladı ve 21.000'den fazla kullanıcıya teslim edilecekti" diyor.

Kimlik Bilgileri Kimlik Avı E-posta Saldırısı Akışı

Kurbana güven duygusu oluşturmak için, bu e-posta saldırısı tanınmış bir markanın kimliğine büründü. Bu nedenle, saldırganlar kötü amaçlı e-postada meşru logolar ve şirket markası kullandılar. Özellikle, kurbanların hassas PII verilerini sızdırmak için sahte açılış sayfası içeriyordu.

Araştırmacılar, e-postanın "[External] For name of recipient on Today, 2022" başlıklı olduğunu ve her kullanıcının gerçek adının alıcı olarak listelendiğini söylüyor. E-postanın gövdesi, alıcının yanıt bekleyen iki mesajı olduğunu iddia etti.

E-postanın gövdesinde iki kötü URL bulunur – biri ana harekete geçirici mesaj düğmesiyle ilişkili, diğeri ise abonelikten çıkma bağlantısı olarak gölgelenmiştir.

Armorblox araştırmacıları, "E-posta, alıcıya e-posta iletişiminin hedefli, sosyal olarak tasarlanmış bir e-posta saldırısı yerine, Zoom'dan meşru bir iş e-postası iletişimi olduğuna dair güven aşılamak için en üstte bir Zoom logosu içeriyordu", Armorblox araştırmacıları

E-posta, kurbanları meşru bir Microsoft oturum açma sayfasına benzeyen sahte bir açılış sayfasına götürdü. Ardından, kurbanlardan Microsoft hesabı parolalarını (hassas PII verileri) girmeleri istendi.

Özellikle, tehdit saldırganları, son 12 ayda bildirilen tek bir enfeksiyonla 'güvenilir' bir itibar puanı gösteren geçerli bir alan adı kullandılar.

"E-posta saldırısı, tüm e-posta kimlik doğrulama denetimlerini geçtiği için yerel Microsoft Exchange e-posta güvenlik denetimlerini atladı: DKIM, SPF ve DMARC", Armorblox

Armorblox hızla harekete geçti ve e-postaların şüphelenmeyen alıcılara ulaşmasını engelledi. Bu nedenle araştırmacılar, kuruluşların yerleşik e-posta güvenliğini, tehdit algılamaya önemli ölçüde farklı bir yaklaşım getiren katmanlarla geliştirmelerini önerdi.

Ayrıca, sosyal mühendislik ipuçlarına karşı dikkatli olun ve kimlik bilgilerinin sızdırılmasının etkisini azaltmak için çok faktörlü kimlik doğrulaması ve parola yönetimi en iyi uygulamalarını uygulayın.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.