Pink siber fidye çetesi, Microsoft 365 hesaplarını ele geçirmek için yeni bir sosyal mühendislik taktiği kullanıyor. Saldırganlar, çalışanları sahte bir Entra passkey kayıt sürecine yönlendirerek kimlik bilgilerini ve çok faktörlü kimlik doğrulama (MFA) kodlarını çalıyor. Okta ve Palo Alto Networks araştırmacıları, bu kampanyanın özellikle yiyecek-içecek, teknoloji, sağlık, otomotiv, inşaat ve havacılık sektörlerindeki işletmeleri hedef aldığını belirtiyor. Amaç, veri hırsızlığı ve fidye talebi.
Saldırı, bir çalışana yapılan vishing (sesli phishing) çağrısıyla başlıyor. Arayan kişi kendini BT destek personeli olarak tanıtıyor ve passkey kurulumu yapılması gerektiğini söylüyor. Ardından kurban, Microsoft Entra ID giriş sayfasını taklit eden bir alt alan adına yönlendiriliyor. Bu sayfa, kurbanın çalıştığı şirkete aitmiş gibi özelleştirilmiş durumda. Kurban, Microsoft 365 hesabına giriş yapması, ikinci kimlik doğrulama faktörünü girmesi ve passkey oluşturması isteniyor.
Phishing kiti, saldırganların kurbanın MFA gereksinimlerine göre kimlik doğrulama akışını özelleştirmesine olanak tanıyor. Örneğin, TOTP, push bildirimi (sayı eşleştirmeli) veya SMS OTP gibi yöntemler destekleniyor. Phishing sayfaları arasında yükleme ekranları gösterilerek saldırganlara, girdiği kimlik bilgilerini kullanarak Microsoft 365 hesabına gerçekten giriş yapması için zaman kazandırılıyor. Giriş başarılı olduğunda, kurbana passkey kurulumu yapması istenen bir sayfa gösteriliyor.
İlginç bir detay, passkey kurulumu sırasında kurbana BIP-39 tohum ifadesi (seed phrase) kelimeleri gösterilmesi. Bu ifadeler kripto para cüzdanlarında kullanılan standart bir formatta. Kurban, bu kelimeleri yazması ve ardından bir tanesini doğrulama amacıyla girmesi isteniyor. Ancak Okta araştırmacıları, BIP-39 tohum ifadelerinin Microsoft Entra passkey kayıt süreciyle hiçbir ilgisi olmadığını vurguluyor. Saldırganlar, aslında kurbana bir gösteri yaparak dikkatini dağıtıyor ve kendi passkey'lerini hesaba kaydediyor.
Passkey'ler, phishing'e karşı dayanıklı ve kriptografik olarak bağlı oldukları siteye özgü oldukları için güvenlik açısından önemli bir gelişme. Ancak bu özellikleri, saldırganların hedef hesaba passkey ekleyerek kalıcı erişim elde etmesini de kolaylaştırıyor. Microsoft, Mayıs 2026 itibarıyla yöneticilerin passkey kayıt kampanyaları oluşturmasına izin veren bir özellik sunmuş durumda. Bu kampanyalar, kullanıcılara oturum açarken passkey kaydı yapmaları için hatırlatmalar gösteriyor. Saldırganlar da bu meşru hatırlatmaları taklit ederek kurbanları tuzağa düşürüyor.
Detaylar ve Etkileri
Palo Alto Networks araştırmacıları, aynı kampanyayı Haziran 2026'da belgelemiş. Saldırganlar, hesaba erişim sağladıktan sonra SharePoint ve OneDrive gibi platformlardan veri sızdırıyor, ardından ele geçirilen hesap üzerinden fidye e-postası ve Teams mesajları gönderiyor. Pink fidye çetesi, The Com adlı merkezi olmayan bir siber suç ağıyla bağlantılı. The Com, çoğunlukla İngilizce konuşan ve genç siber suçlulardan oluşan, Discord, Telegram ve oyun platformları üzerinde organize olan bir topluluk.
Bu saldırılardan korunmak için çalışanların passkey kurulumu gibi hassas işlemlerde gelen aramalara veya e-postalara doğrudan güvenmemesi, şirket içi prosedürleri kontrol etmesi ve şüpheli durumları BT departmanına bildirmesi gerekiyor. Ayrıca, çok faktörlü kimlik doğrulama (MFA) kullanımı ve phishing farkındalık eğitimleri de önemli. Şirketler, Entra ID'de passkey kaydı için yalnızca güvenilir yöntemlerin kullanılmasını sağlamalı ve anormal giriş aktivitelerini izlemelidir.
Kaynak: helpnetsecurity.com