Siber güvenlik dünyasında yeni bir tehdit dalgası yükseliyor: Ghost phishing. ABD ve Avrupa'daki şirketleri hedef alan EvilTokens kampanyası, geleneksel e-posta güvenlik duvarlarını aşarak Microsoft 365 hesaplarını ele geçiriyor. Bu saldırı tekniğinin en tehlikeli yanı, zararlı bağlantının ilk incelemede tamamen masum görünmesi. Sayfa, AES-GCM algoritmasıyla şifrelenmiş HTML içeriği sayesinde, tarayıcıda açılana kadar gizli kalıyor. Güvenlik ekipleri için bu durum, statik URL kontrollerinin yetersiz kaldığı bir görünürlük boşluğu yaratıyor.
Ghost phishing'in temelinde Microsoft Device Code Phishing yöntemi yatıyor. Saldırganlar, kurbanları meşru bir Microsoft giriş akışını tamamlamaya ikna ediyor ve böylece şifre çalmadan hesap erişim yetkisi alıyor. Saldırı, kurbanın tarayıcısında sayfa açıldığında DOM (Belge Nesne Modeli) içinde şifre çözülerek aktif hale geliyor. Bu nedenle, ağ düzeyindeki kontroller yalnızca ilk yanıtı yakalayabiliyor; çalışanın gerçekte ne gördüğünü gözden kaçırıyor. Sonuç olarak, M365 hesap ele geçirme süresi uzuyor, müdahale gecikiyor ve kurumsal e-posta, dosyalar ve bulut hizmetlerine yetkisiz erişim sağlanıyor.
ANY.RUN'ın interaktif sanal kum havuzu, bu karmaşık saldırı akışını ortaya çıkardı. Analiz oturumunda, tarayıcının sayfayı nasıl şifresini çözdüğü ve DOM'da phishing içeriğini nasıl oluşturduğu adım adım izlenebiliyor. Fetch/XHR istekleri, Microsoft device code'un /api/device/start endpoint'ine yapılan çağrıları gösteriyor. Bu sayede güvenlik ekipleri, saldırının tam mekanizmasını anlayarak daha hızlı yanıt verebiliyor. Ayrıca, elde edilen IOC'ler (tehdit göstergeleri) ile ilgili altyapı bloke edilebiliyor.
Önemli Gelişmeler
Ghost phishing en çok hangi sektörleri vuruyor? ANY.RUN'ın tehdit istihbaratına göre, EvilTokens faaliyetleri ABD ve Avrupa'da yoğunlaşırken, hedef sektörler arasında teknoloji, üretim, eğitim, bankacılık, danışmanlık, finansal hizmetler ve yönetilen güvenlik hizmet sağlayıcıları (MSSP) yer alıyor. 15.000 kuruluştan alınan verilere göre, 2026'da phishing maruziyeti danışmanlıkta %75,6, finansal hizmetlerde %72,8, üretimde %71,9, teknolojide %67,9, bankacılıkta %66,7 ve MSSP'lerde %66,1 olarak gerçekleşti. Bu sektörlerde tek bir M365 hesabının ele geçirilmesi, iş e-postası ele geçirme (BEC) ve dolandırıcılık gibi ciddi sonuçlara yol açabiliyor.
Ghost phishing'i durdurmanın en etkili yolu, şüpheli bağlantıları tarayıcı içi veri incelemesi destekleyen bir sanal kum havuzunda açmaktır. ANY.RUN'ın Interactive Sandbox'ı, analistlerin şifrelenmiş AES-GCM yanıtının ötesine geçerek sayfanın şifre çözme sonrası davranışını görmesini sağlar. DOM anlık görüntüleri, gizli sayfanın ne zaman değiştiğini ve kullanıcı kodunun ne zaman göründüğünü gösterir. HTTP istekleri, device-code akışının arka plan iletişimini ortaya çıkarır. URL detayları, son hedefi ve tetiklenen algılama imzalarını belirtir. Bu sayede ekipler, saldırıyı manuel olarak yeniden yapılandırmak zorunda kalmaz.
Detaylar ve Etkileri
Tarayıcı düzeyindeki kanıtlar, SOC (Güvenlik Operasyon Merkezi) ekipleri arasında daha net bir devir teslim sağlar. Otomatik oluşturulan rapor, AI özeti ve önerilen sonraki adımlarla birlikte gelir. Kıdemli analistler, ham tarayıcı verilerinden vakayı yeniden oluşturmak yerine, tüm bulguları, gözlemlenen davranışları, göstergeleri ve yanıt bağlamını tek bir yerde alır. Bu, devir teslim sürecini hızlandırır, tekrarlanan iş yükünü azaltır ve ekiplerin doğrulamadan kapsama geçişini hızlandırır.
EvilTokens vakası, rahatsız edici bir gerçeği ortaya koyuyor: Bir e-posta incelemeyi geçebilir, ancak gerçek saldırı tarayıcının içinde bekler. Tarayıcı düzeyinde görünürlük olmadan, SOC kısmi kanıtlarla yüksek riskli kararlar almak zorunda kalır. Bu gecikme, saldırganlara daha fazla zaman kazandırır, erişimlerini genişletmelerine ve bir M365 hesabını maliyetli bir iş olayına dönüştürmelerine olanak tanır.
Teknik Analiz
Ghost phishing'i durdurmak için güvenlik liderleri şu adımları atmalıdır: Maruz kalma penceresini daraltmak, kıdemli analistler üzerindeki baskıyı azaltmak için 1. seviye analistlere yeterli kanıt sağlamak, ilk eskalasyondan itibaren eksiksiz saldırı bağlamı ile kapsamayı hızlandırmak, tarayıcı davranışı ve altyapı kalıplarını kullanarak algılama kapsamını iyileştirmek ve manuel inceleme ile tekrarlanan işleri azaltarak phishing yanıt maliyetini düşürmek.
Kaynak: thehackernews.com