Siber güvenlik dünyasında yeni bir tehdit ortaya çıktı: Forg365. Bu phishing-as-a-service (PaaS) platformu, Telegram üzerinden yayılarak, teknik bilgisi sınırlı saldırganların Microsoft 365 (M365) hesaplarını ele geçirmesini sağlıyor. ZeroBEC güvenlik şirketinin araştırmasına göre, platform, kimlik doğrulama kontrollerini aşmak ve erişimi kalıcı kılmak için yapay zeka destekli tuzak oluşturma, cihaz kodu suistimali ve aracı-adam (adversary-in-the-middle) tekniklerini bir araya getiriyor.
Forg365'in en dikkat çekici özelliği, kullanıcı dostu yapısı. Platform, beş günlük ücretsiz deneme süresi sunuyor ve ardından aylık 400 dolar veya yıllık 3.800 dolar gibi nispeten düşük bir ücretle abonelik modeliyle çalışıyor. Bu fiyatlandırma, siber suç dünyasında giriş bariyerini düşürerek daha fazla kişinin bu tür saldırılara yönelmesine neden olabilir. Araştırmacılar, platformun Telegram botu aracılığıyla otomatik olarak sahte oturum açma sayfaları oluşturduğunu ve bu sayfaların M365 kullanıcılarını hedef aldığını belirtiyor.
Platformun en kritik teknik detayı, cihaz kodu (device code) akışını suistimal etmesi. Microsoft, belirli senaryolarda (örneğin, tarayıcısız cihazlar) cihaz kodu kimlik doğrulamasına izin veriyor. Forg365, kullanıcıları sahte bir oturum açma sayfasına yönlendirerek, onlara bir cihaz kodu girmelerini sağlıyor. Bu kod, saldırganın kendi cihazında kullanılarak M365 hesabına erişim token'ı almasına olanak tanıyor. Bu yöntem, çok faktörlü kimlik doğrulamayı (MFA) bile atlatabiliyor çünkü kullanıcı kendi onayını vermiş oluyor.
Forg365 ayrıca yapay zeka destekli tuzak oluşturma özelliğiyle öne çıkıyor. Platform, hedef alınan kuruluşun marka ve diline uygun, gerçekçi e-postalar ve oturum açma sayfaları üretmek için AI modellerini kullanıyor. Bu, sosyal mühendislik saldırılarının başarı oranını artırıyor. Aracı-adam tekniği sayesinde, saldırgan gerçek zamanlı olarak kullanıcı ile Microsoft sunucuları arasına giriyor ve hem kimlik bilgilerini hem de oturum token'larını çalabiliyor.
ZeroBEC araştırmacıları, Forg365'in özellikle küçük ve orta ölçekli işletmeleri hedeflediğini belirtiyor. Bu işletmeler, genellikle M365 gibi bulut hizmetlerini kullanıyor ancak güvenlik farkındalığı ve kaynakları sınırlı olabiliyor. Platform, kurbanlara gönderilen e-postalarda meşru görünen bağlantılar kullanarak, kullanıcıları sahte oturum açma sayfalarına yönlendiriyor. Ayrıca, elde edilen erişim token'larını kullanarak, saldırganlar e-posta okuma, kişi listelerini çalma ve daha fazla dolandırıcılık e-postası gönderme gibi işlemler yapabiliyor.
Bu tür platformların yaygınlaşması, işletmeler için M365 güvenliğini yeniden düşünmeyi zorunlu kılıyor. Uzmanlar, cihaz kodu akışının gereksiz yere etkin bırakılmamasını, özellikle yönetilmeyen cihazlarda bu özelliğin kapatılmasını öneriyor. Ayrıca, kullanıcıların şüpheli e-postalara karşı eğitilmesi, MFA'nın yanı sıra koşullu erişim politikalarının uygulanması ve oturum token'larının sık sık yenilenmesi gibi önlemler alınmalı. Forg365 gibi PaaS platformları, siber suçun demokratikleştiğini gösteriyor; bu nedenle her ölçekteki işletme, proaktif güvenlik önlemlerine yatırım yapmalı.
Kaynak: csoonline.com