Microsoft 365'te Büyük Oltalama Krizi

Taraklı Ajans

Microsoft 365 Hesapları Tehdit Altında

Beş farklı ülkede 340'tan fazla kurum, kodlama bilmeyenler için tasarlanmış popüler bir bulut platformunu silah olarak kullanan sofistike bir oltalama (phishing) kampanyasının hedefi oldu. ABD, Kanada, Avustralya, Yeni Zelanda ve Almanya'yı kapsayan bu saldırılar, Microsoft 365 hesaplarını hedef alıyor.

MFA Korumasını Nasıl Aşıyorlar?

Saldırganlar, geleneksel oltalama yöntemlerinin aksine, Microsoft'un OAuth cihaz yetkilendirme akışı özelliğini kötüye kullanıyor. Normalde akıllı TV veya yazıcı gibi cihazlar için tasarlanan bu özellik, kullanıcıyı resmi Microsoft giriş sayfasında bir kod girmeye ikna ederek çalışıyor. Kullanıcı bu kodu girdiğinde, çok faktörlü kimlik doğrulaması (MFA) açık olsa bile, saldırgan 90 güne kadar hesaba erişim sağlayan bir token elde ediyor.

Railway.com ve EvilTokens Faktörü

Saldırıların arkasındaki altyapının Railway.com üzerinden yürütülmesi dikkat çekiyor. Railway'in sunduğu temiz IP adresleri, Microsoft'un güvenlik sistemlerinin bu girişleri şüpheli olarak işaretlemesini engelliyor. Ayrıca Huntress, bu saldırıların EvilTokens adlı yeni bir "hizmet olarak oltalama" (phishing-as-a-service) platformuyla bağlantılı olduğunu tespit etti. EvilTokens, 7/24 destek ekibi ve yapay zeka destekli oltalama araçlarıyla profesyonel bir suç altyapısı sunuyor.

Güvenlik Önlemleri

Huntress, tehdidin ölçeğini fark ettikten sonra yaklaşık 60.000 Microsoft bulut kiracısı için Railway'e ait IP adreslerinden gelen girişleri engelleyen bir koşullu erişim politikası güncelledi. Uzmanlar, Microsoft 365 yöneticilerine bu tür gelişmiş saldırılara karşı tetikte olmalarını ve gerekli güvenlik güncellemelerini yapmalarını öneriyor.