Resmi bir basın açıklaması aracılığıyla Microsoft Threat Intelligence, Microsoft teknik desteği gibi görünerek bazı alan adlarına erişilebilirlik elde etmek için belirteç hırsızlığı teknikleri kullanılarak gerçekleştirilen bir kimlik avı saldırısı tespit ettiğini açıkladı.Ayrıca Microsoft, Rus siber suçluların kurumsal sistemlere erişim elde etmek için jeton hırsızlığı, kimlik avı, parola çalma gibi çeşitli bilgisayar korsanlığı tekniklerini nasıl kullandıklarını açıklıyor.2018'de zaten aktif olan Midnight Blizzard olarak bilinen siber suçlular ve siber casusluk grubu, Microsoft Teams sohbetleri sırasında gönderilen kimlik bilgilerinin çalınması nedeniyle birkaç kullanıcıya kimlik avı saldırısı göndererek Redmond devinin iletişim platformunu hedef aldı.
Kimlik avı saldırısı nedir?
Bilgisayar korsanları grubu, onmicrosoft.com adlı yeni bir alt etki alanı tanıttı ve resmi Microsoft teknik desteğinden geliyormuş gibi görünen rastgele bir mesajla kurbanlara gönderdi. Yardım desteği kılığına giren siber suçlulardan oturum açma kimlik bilgilerini vermeleri istendi ve iki faktörlü kimlik doğrulama (MFA) etkinleştirildiyse, e-posta ve paroladan sonra kodun girilmesini de talep etti.Daha sonra bilgisayar korsanları, kimliklerini doğrulamak için kullanıcıyı Microsoft'un Authenticator uygulaması aracılığıyla bir güvenlik kodu girmesi için kandırır. Bu şekilde siber suçlular, kurbanın önemli bilgilerini ve kimliğini çalarak kurbanın Microsoft 365 hesabına tam erişim sağlamayı amaçladı.Bu tehdidi önlemek için Microsoft kullanıcılara şu önlemleri alması gerektiğini ifade etti:- Microsoft 365 kuruluşlarında harici etki alanlarını engelleme
- Saldırı araştırmalarına yardımcı olması için Microsoft 365 denetimini kullanın
- Çalışanların güvenilen veya güvenilen harici hesapları belirlemesine yardımcı olun
- Bulut için Microsoft Defender'ın koşullu uygulama denetimini açın
- Tek seferlik erişim belirteçleri uygulayın