Microsoft'tan Kritik Uyarı: Sahte Uyum E-postalarıyla 13.000 Organizasyonu Hedef Alan Devasa Kimlik Avı Kampanyası Yazılım

Microsoft'tan Kritik Uyarı: Sahte Uyum E-postalarıyla 13.000 Organizasyonu Hedef Alan Devasa Kimlik Avı Kampanyası

Microsoft Defender Araştırma Ekibi, 13.000 organizasyon ve 35.000'den fazla kullanıcıyı hedef alan, sahte uyum e-postaları kullanan büyük bir kimlik a

Microsoft Defender Araştırma Ekibi, 13.000'den fazla organizasyon ve 35.000 kullanıcıyı hedef alan büyük bir kimlik avı kampanyası tespit etti. Kampanya, sahte iç uyum veya düzenleyici iletişimler kullanarak kimlik bilgilerini çalmayı amaçlıyor. Saldırganlar, kurumsal tarzda HTML şablonları, yapılandırılmış düzenler ve önceden hazırlanmış doğruluk ifadeleriyle e-postaları meşru göstermeye çalıştı. Bu sayede e-postalar tipik kimlik avı mesajlarına göre daha inandırıcı hale getirildi.

Kampanya 15-16 Nisan 2026 tarihleri arasında aktif oldu ve ağırlıklı olarak ABD'deki firmaları hedeflese de toplam 26 ülkede tespit edildi. E-postalarda 'İç soruşturma dosyası açıldı' gibi konu satırları kullanılarak aciliyet hissi yaratıldı. Mesajlar, bir 'davranış kuralları incelemesi' başlatıldığını iddia ediyor ve kuruluşa özel isimler içeriyordu. Alıcılardan, ekli PDF'yi açarak dava materyallerini incelemeleri istendi.

PDF'deki 'Dava Materyallerini İncele' bağlantısına tıklayan kullanıcılar, Cloudflare CAPTCHA ile karşılaştı. Bu, otomatik analizi ve sandbox'ları engellemek için kullanıldı. CAPTCHA'yı geçenler, belgelerin şifreli olduğunu ve hesap doğrulaması gerektiğini iddia eden başka bir siteye yönlendirildi. Microsoft, saldırı zincirinde cihaz kodu kimlik avı benzeri bir yöntem gözlemledi ancak yalnızca ortadaki düşman (AiTM) bileşenini doğruladı.

Kullanıcılar, e-posta girişleri, CAPTCHA'lar ve güvence mesajları içeren birden fazla aşamalı sayfadan geçirildi. Sonunda, cihaz türüne göre yönlendirildikleri sahte bir oturum açma sayfasında Microsoft hesap bilgilerini girmeleri istendi. Bu, AiTM oturum ele geçirme saldırısını tetikleyerek kimlik doğrulama token'larını çaldı. Microsoft, bu tehdide karşı çok faktörlü kimlik doğrulama, koşullu erişim politikaları ve kullanıcı farkındalık eğitimini içeren koruma önlemleri öneriyor.

Paylaş: