Dolandırıcılar, ABD Şirketlerini Hedef Alan Sahte E-postalar Göndermek İçin Microsoft 365 Direct Send'i Kullanıyor
Dolandırıcılar, sahte sesli mesajlar ve QR kodları kullanarak kimlik avı saldırılarıyla güvenlik filtrelerini aşarak ABD'li firmaları hedef alan sahte dahili e-postalar göndermek için Microsoft 365 Direct Send'i kullanıyor.
Varonis Threat Labs'daki siber güvenlik araştırmacıları, Microsoft 365'in az bilinen bir özelliğini kullanarak kötü amaçlı e-postalar gönderen gelişmiş bir yeni kimlik avı kampanyasını ortaya çıkardı.
Mayıs 2025'te başlayan ve istikrarlı bir şekilde devam eden bu saldırı, şimdiye kadar 70'ten fazla kuruluşu hedef aldı ve bunların önemli bir çoğunluğu (%95'i) ABD merkezli kuruluşlardı.
Araştırmacılar, Hackread.com ile paylaşılan blog yazısında , bu kampanyanın benzersiz yönünün "bir hesabı tehlikeye atmaya gerek kalmadan dahili kullanıcıları taklit edebilme" yeteneği olduğunu ve bu nedenle geleneksel e-posta güvenlik sistemlerinin bunu tespit etmesinin özellikle zor olduğunu belirttiler.
Kampanya, yazıcılar gibi dahili cihazların kullanıcı kimlik doğrulaması gerektirmeden e-posta göndermesi için tasarlanmış Microsoft 365'in Doğrudan Gönderme özelliğinden yararlanıyor. Varonis'e göre saldırganlar bu özelliği kötüye kullanıyor.
Varonis Threat Labs'tan Tom Barnea, raporunda bu yöntemin işe yaradığını, çünkü "giriş veya kimlik bilgisi gerekmediğini" vurguladı. Tehdit aktörlerinin, şirketin alan adı ve dahili e-posta adresi biçimleri gibi genellikle tahmin edilmesi kolay olan birkaç genel ayrıntıya ihtiyacı var.
Doğrudan Gönderme'yi kullanarak suçlular, harici bir kaynaktan gönderilmiş olsalar bile, bir kuruluşun içinden geliyormuş gibi görünen e-postalar oluşturabilirler. Bu, kötü amaçlı mesajların, Microsoft'un kendi filtreleri ve üçüncü taraf çözümleri tarafından meşru dahili iletişimler olarak ele alınması nedeniyle, genel e-posta güvenlik kontrollerini atlatmasını sağlar.
Ayrıca Varonis, bu sahte e-postaların sıklıkla sesli posta bildirimlerini taklit ettiğini ve QR kodlu bir PDF eki içerdiğini gözlemledi. Bu QR kodunu taramak, kurbanları kimlik bilgilerini çalmak için tasarlanmış sahte bir Microsoft 365 oturum açma sayfasına yönlendirir.
Kuruluşların bu yeni saldırı biçimini tespit etmek için uyanık olmaları gerekir. Varonis, Microsoft 365 "akıllı ana bilgisayarına" (örneğin, tenantname.mail.protection.outlook.com) gönderilen harici IP adresleri veya dahili etki alanları için SPF, DKIM veya DMARC gibi kimlik doğrulama kontrollerindeki başarısızlıklar gibi işaretler için e-posta mesajı başlıklarını kontrol etmeyi öneriyor. Kullanıcıların kendilerine gönderdiği e-postalar veya herhangi bir karşılık gelen oturum açma etkinliği olmadan alışılmadık coğrafi konumlardan gelen mesajlar gibi davranışsal ipuçları da güçlü göstergelerdir.
Mağdur olmayı önlemek için Varonis, Exchange Yönetim Merkezi'nde Doğrudan Göndermeyi Reddet ayarının etkinleştirilmesini ve sıkı bir DMARC politikasının uygulanmasını öneriyor. Kullanıcı eğitimi, özellikle Quishing ( QR Kimlik Avı ) saldırılarında QR kod eklerinin tehlikeleri konusunda personelin uyarılması çok önemlidir.
Son olarak, tüm kullanıcılar için Çok Faktörlü Kimlik Doğrulama'yı (MFA) zorunlu kılmak ve Koşullu Erişim Politikaları uygulamak, bu tür karmaşık kimlik avı girişimleri yoluyla kimlik bilgileri çalınsa bile hesapları koruyabilir.
HackRead
