Microsoft Defender Araştırma ekibi tarafından 13.000 kuruluşta 35.000'den fazla kullanıcıyı hedef alan bir kimlik avı kampanyası tespit edildi.
Büyük ölçekli kimlik bilgisi hırsızlığı kampanyası, kampanyanın cazibesi olarak sahte dahili uyumluluk veya düzenleyici iletişimleri kullandı.
Bu kampanyadaki sahtekarlar, yapılandırılmış düzenlere ve önleyici özgünlük ifadelerine sahip gösterişli, kurumsal tarzda HTML şablonları kullandı; bu da bunların tipik kimlik avı e-postalarından daha güvenilir görünmesini sağladı ve meşru iç iletişim olarak inandırıcılığını artırdı.
Kampanya 15-16 Nisan 2026 tarihleri arasında yürütüldü ve öncelikli olarak ABD firmalarını hedef aldı ancak toplamda 26 ülkedeki kuruluşlarda tespit edildi.
Acil Uyumluluk Kimlik Avı Yemi
Microsoft'un bulgularına göre, suçlamalarla ilgili mesajlar ve tekrarlanan zamana bağlı eylem istemleri yer alıyor. Bu, kampanyaya mağdurlar üzerinde harekete geçmeleri konusunda bir aciliyet ve baskı hissi verdi.
Örneğin, konu satırlarında "Davranış politikası kapsamında yayınlanan dahili vaka kaydı" yer alıyordu ve mesajlar, bir "davranış kuralları incelemesinin" başlatıldığını iddia ediyordu ve metin içinde kuruma özgü isimlere atıfta bulunuluyordu.
Gelecekte Ne Bekleniyor?
E-postalar, alıcılara vaka materyallerini incelemek için "kişiselleştirilmiş eki açmaları" talimatını veriyordu.
Ekteki PDF, alıcıları "Vaka Materyallerini İncele" bağlantısını tıklamaya teşvik etti; bu, kimlik bilgisi toplama akışını başlatan şeydi.
Saldırganlar, mesajın yetkili bir dahili kanaldan geldiğini ve tüm bağlantıların ve eklerin güvenli bir şekilde incelendiğini iddia ederek mesajı meşru görünecek şekilde tasarladılar.
Mesajın HIPAA uyumlu iletişimlerle ilişkili meşru bir hizmet olan Paubox kullanılarak şifrelendiğini iddia eden yeşil bir banner, güvenilirliği daha da güçlendirdi.
Alıcı, PDF içindeki bağlantıya tıkladığında, kullanıcının "geçerli bir oturumdan" geldiğini doğrulamak için bir mekanizma olarak sunulan Cloudflare CAPTCHA'yı görüntüleyen bir açılış sayfasına yönlendiriliyordu. Microsoft'a göre bu muhtemelen otomatik analizleri ve korumalı alanları caydıracaktır.
CAPTCHA'yı geçtikten sonra kurbanlar, belgelerin şifrelendiğini ve devam etmek için hesap kimlik doğrulamasının gerekli olduğunu iddia eden başka bir siteye yönlendirildi.
Teknik Analiz
Microsoft, cihaz kodu kimlik avına benzeyen bir saldırı zinciri gözlemledi ancak yalnızca ortadaki rakip (AiTM) bileşenini doğruladı.
Kurbanlar, cihaz türüne bağlı olarak son kimlik avı sitesine yönlendirilmeden önce, e-posta girişleri, CAPTCHA'lar ve güven verici durum mesajları içeren çok aşamalı sayfalardan geçirildi.
Nasıl Önlem Alınmalı?
Burada, kullanıcılardan uyumluluk incelemesi kisvesi altında Microsoft'ta oturum açmaları istendi ve bu, kimlik doğrulama belirteçlerinin çalınması ve hesapların tehlikeye atılması için bir AiTM oturumunun ele geçirilmesini tetikledi.
Önemli Gelişmeler
Microsoft'tan Koruma Kılavuzu
Uzmanların Görüşleri
Microsoft, bu tehdidin etkisini azaltmak için aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere hizmet azaltımlarını önerdi: