3 hafta önce
15
Siber saldırganlar oğullar dönemde kişilik doğrulama süreçlerini hedefleri saha yepyeni yöntemlere yöneliyor. Microsoft Entra alet kodu oltalama saldırısı olarak adlandırılan kampanyalar, çalışanları sahte senaryolarla yönlendirerek firma hesaplara erişim sağlıyor. Saldırgan gruplar klasik parola hırsızlığı seçenek biçimsel giriş akışlarını kullanarak güvenlik kontrollerini aşmaya çalışıyor. Güvenlik araştırmacıları, özellikle teknoloji, maliye ile üretim sektörlerinde riskler seviyesinin arttığını bildiriyor.
Saldırganlar Sesli Dolandırıcılıkla Cihaz Kodu Yöntemini Birleştiriyor
Uzmanlar, Microsoft Entra alet kodu oltalama saldırısı sürecinde saldırganların kullanıcıyı doğrudan sahte tek siteye yönlendirmediğini aktarıyor. Saldırgan ekipler, gerçek giriş sayfalarını kullandığı için çalışanlar buluşma açma sürecini olağan tek işlem olarak değerlendiriyor. Araştırmacılar, saldırganların telefonları araması üzerinden yürüttüğü vishing yöntemi sayesinde çalışanları kesin tek giriş kodunu girmeye ikna ettiğini belirtiyor.
Microsoft’un alet kişilik doğrulama formuSaldırganlar, OAuth 2.0 device authorization akışı üzerinden oluşturulan doğrulama kodlarını hedefleri personele iletiyor. Kullanıcı sisteme giriş yaptığında platformlar geçerli kişilik belirteçleri üretiyor. Sistem tarafında olağan dışı tek işlem görünmediği için güvenlik katmanları saldırıyı erkenden aşamada ayrım edemiyor. Saldırgan taraf daha sonraları elde edilen erişim belirteçleriyle firma servislerde buluşma açabiliyor.
Güvenlik kaynakları, saldırıların arkasında olduğu öne sürülen ShinyHunters grubunun daha önce kişilik altyapılarını hedefleri saha operasyonlarla anıldığını aktarıyor. Araştırmacılar, saldırganların öz uygulamalarını geliştirmek seçenek meşru istemci kimliklerini yeğleme ettiğini söylüyor. Bu yaklaşım, çalışanların karşılaştığı ekranın güvenilir görünmesini sağlıyor.
Saldırıyı inceleyen KnowBe4 uzmanları, Aralık 2025’ten itibaren sahte ödeme bildirimleri ile evrak paylaşım uyarılarının yoğun şekilde kullanıldığını raporladı. Analistler, saldırganların device code phishing tekniğini klasik elektronikposta oltalama senaryolarıyla birleştirdiğini ifadeleri ediyor. Güvenlik ekipleri, kullanıcı onayı verilen uygulamaların düzenli olarak denetlenmesi lüzumtiğini vurguluyor.
Kampanyada kullanılan kötü amaçlı sayfalar
Siber güvenlik şirketi Proofpoint araştırmacıları, benzer saldırı kitlerinin farklı tehditleri aktörleri arasında hızla yayıldığını bildiriyor. Uzman ekipler, lüzumsiz durumlarda alet kodu doğrulama özelliğinin kapatılmasını öneriyor. Sistem yöneticileri, şüpheli OAuth izinlerini kaldırarak buluşma kayıtlarını ttesirkye yöneliyor.
Microsoft tarafı ise kişilik platformunun norm güvenlik akışları içinde çalıştığını, kullanıcı farkındalığının eleştirel görev oynadığını değerlendiriyor. Uzmanlar, saldırganların ele geçirdiği erişim belirteçleri sayesinde SSO başvuru erişimi üzerinden şirket verilerine ulaşabildiğini aktarıyor.
Kurumsal güvenlik ekipleri, Microsoft Entra alet kodu oltalama saldırısı karşısında çalışan eğitimlerini güncellerken koşullu erişim politikalarını daha sıkı hâle getiriyor. Siber tehditleri ortamı gelişmeye devam ettiği için kişilik doğrulama süreçlerinin düzenli denetlenmesi kurumların bilgi güvenliği açısından belirleyici görev oynuyor.
English (US) ·