Palo Alto Networks'ün güvenlik araştırma birimi Unit 42, Microsoft Teams kullanıcılarını hedef alan yeni bir siber dolandırıcılık kampanyasını gün yüzüne çıkardı. Bu kampanya, kullanıcılara gönderilen sahte anket e-postalarıyla başlıyor ve ardından gelen sahte Microsoft Destek çağrılarıyla devam ediyor. Dolandırıcılar, kullanıcıların güvenini kazanarak bilgisayarlarına uzaktan erişim sağlayan ve Ether RAT adı verilen bir truva atını yüklemeyi amaçlıyor.
Saldırının ilk aşamasında, kullanıcılar bir anket katılımı teklifi içeren e-posta alıyor. E-posta ekinde bulunan PDF dosyasını açan kullanıcılar, kısa bir süre sonra Microsoft Destek adına bir sesli arama alıyor. Arayan kişi, kullanıcıya teknik bir sorun olduğunu veya anketle ilgili bir yardıma ihtiyaç duyulduğunu söyleyerek güven kazanmaya çalışıyor. Bu noktada, kullanıcıdan bilgisayarına uzaktan erişim izni vermesi isteniyor.
Unit 42 araştırmacıları, bu tür dolandırıcılıkların özellikle Microsoft Teams gibi yaygın kullanılan iş platformlarını hedef aldığını belirtiyor. Saldırganlar, kurumsal kullanıcıların günlük iş akışında sıkça karşılaştıkları anket ve destek taleplerini taklit ederek daha inandırıcı olmayı başarıyor. Bu yöntem, kullanıcıların savunma mekanizmalarını aşmak için oldukça etkili bir sosyal mühendislik taktiği olarak öne çıkıyor.
Kullanıcı izin verdiğinde, dolandırıcılar bilgisayara bir uzaktan erişim aracı (RAT) yüklüyor. Bu araç, saldırganlara hedef bilgisayar üzerinde tam kontrol sağlıyor. Ether RAT olarak adlandırılan bu truva atı, dosyalara erişme, tuş vuruşlarını kaydetme, ekran görüntüsü alma ve hatta web kamerasını kullanma gibi yeteneklere sahip. Ayrıca, diğer kötü amaçlı yazılımları indirmek ve sistemde kalıcı olmak için de kullanılabiliyor.
Bu tür saldırılara karşı korunmanın en etkili yolu, gelen e-postaların kaynağını dikkatlice kontrol etmektir. Microsoft, anket veya destek talepleri için kullanıcılara e-posta göndermez ve özellikle resmi destek süreçlerinde telefonla iletişim kurmaz. Kullanıcılar, tanımadıkları kişilerden gelen anket e-postalarını ve beklenmedik destek aramalarını şüpheyle karşılamalıdır.
Önemli Gelişmeler
Ayrıca, herhangi bir uzaktan erişim izni vermeden önce, arayan kişinin kimliğini doğrulamak için resmi Microsoft destek kanallarını kullanmak önemlidir. Kurumsal kullanıcılar, BT departmanlarına bu tür talepleri bildirerek daha güvenli bir yaklaşım sergileyebilir. Siber güvenlik uzmanları, bu tür sosyal mühendislik saldırılarına karşı düzenli farkındalık eğitimlerinin kritik öneme sahip olduğunu vurguluyor.
Kaynak: csoonline.com