Siber suçlular artık kullanıcılardan kurumsal kimlik bilgilerini sızdırmak için kimlik avı bağlantılarını ele geçirilmiş SharePoint sunucusundaki dosyaya gizliyor ve bunları yerel bir bildirim mekanizması üzerinden dağıtıyor
Günümüz spam filtreleri e-posta mesajının gövdesinde bağlantı olması durumunda hemen her koşulda kimlik avı e-postalarını tespit edebiliyor. Bu nedenle siber suçlular, güvenlik çözümlerini atlatmak için kullandıkları araçları sürekli olarak geliştirme yoluna gidiyorlar.
Artık daha önce bilinen yöntemlerde olduğu gibi kimlik avı bağlantılarını SharePoint sunucusuna gizlemiyor, bağlantıları meşru SharePoint bildirimlerini üzerinden dağıtıyorlar. 2023’ün başlarında bu şekilde dağıtılan 1.600’den fazla kötü amaçlı bildirimi filtrelendi. Siber suçlular Avrupa, Kuzey Amerika ve diğer bölgelerdeki şirketlerden bu yolla veri sızdırmaya çalıştı.
Meşru bildirimler üzerinde yapılan bu hile, teknoloji konusunda uzman çalışanların bile dikkatini dağıtacak ölçüde başarılı. Bildirimler gerçek bir şirketin hizmetlerini taklit ederek gönderiliyor ve özellikle şirketin SharePoint’i günlük rutinin bir parçası olarak kullanması durumunda hiç şüphe uyandırmıyor.
SharePoint bildirimleri aracılığıyla kimlik avı saldırısı nasıl yapılıyor?
Çalışan, birinin kendisiyle bir OneNote dosyası paylaşmak istediğini söyleyen standart bir SharePoint bildirimi alıyor. Son derece doğal ve yasal görünümlü olan bu bildirim, e-posta spam filtresini SharePoint sunucusuna gizlenmiş bir kimlik avı bağlantısına kıyasla daha kolay atlatabiliyor.
Çalışan söz konusu OneNote dosyasını açacağını düşündüğü bağlantıyı takip ediyor. Ancak notun gövdesinde farklı bir dosya türünün (örneğin PDF) büyükçe bir simgesi ve standart bir kimlik avı bağlantısı içeren ikinci bir ‘bildirim’ yer alıyor.
Bu kimlik avı bağlantısı, kullanıcıyı Microsoft OneDrive oturum açma sayfasını taklit eden bir kimlik avı web sitesine yönlendiriyor. Siber suçlular bunu Yahoo!, AOL, Outlook, Office 365 ve diğerleri gibi çeşitli e-posta hesaplarının kimlik bilgilerini çalmak için de kullanıyor.
Şirketler kendilerini bu saldırılardan nasıl koruyabilir?
Bu tür oltalama mesajları ikna edici olsa da, çalışanlara açıklanabilecek bir dizi kırmızı bayrakla ayırt edilmeleri mümkün.