Yeni Nesil Kimlik Avı Saldırıları: Parolasız Güvenlik Tehdidi İnovatif Dijital Fırtına

Siber suçluların yeni en yoğun saldırı kapısı: EvilTokens

Günümüz siber dünyasında, EvilTokens gibi gelişmiş kimlik avı araçları, saldırganların hedeflerine ulaşmak için geliştirdikleri yeni ve sofistike kapıları temsil ediyor. Bu teknoloji, geleneksel kimlik avı usullerinin ötesine geçerek, saldırganların kullanıcıların dikkatini çekmeden ve parolaları sızdırmadan hesaplara erişim sağlamasına olanak tanıyor. Peki, bu gizli kapıları nasıl tanıyabilir ve kendimizi bu tehditlere karşı nasıl koruyabiliriz? İşte, bu soruların yanıtını ve EvilTokens’ın çalışma prensiplerini detaylarıyla inceliyoruz.

EvilTokens Nedir ve Nasıl İşler?

EvilTokens, özellikle Microsoft 365 hesaplarını hedef alan, saldırganların parolaları veya sahte giriş sayfaları oluşturmadan doğrudan kullanıcıların cihazlarını yetkilendirmesine olanak tanıyan bir kimlik avı hizmet kitidir. Bu araç seti kullanılarak gerçekleştirilen saldırılar, kimlik doğrulama sürecini uçtan uca manipüle ederek, saldırganların gerçek kullanıcı oturumlarını taklit etmesini sağlar.

Gerçekleştirilen saldırı sürecinde, saldırganlar hedef kullanıcıya e-posta veya mesaj aracılığıyla sahte bir kimlik doğrulama talebi gönderir. Bu talepte genellikle, kullanıcıdan cihaz kodu veya iki faktörlü kimlik doğrulama (2FA) kodu gibi bilgiler istenir. Kullanıcı bu bilgileri sağladığında, saldırgan ek bir sahte sayfa veya doğrudan cihazını yetkilendirmeden, bu kodları Microsoft’un resmi sunucularına iletmiş olur. Böylece saldırganlar, kullanıcı bilgilerini ele geçirmeden veya fark ettirmeden hesabı kontrol altına alır.

Saldırganlar Bu Süreci Nasıl Kullanıyor?

İşte EvilTokens kullanılarak gerçekleştirilen saldırıların temel adımları:

• Keşif ve Hazırlık: Saldırganlar, ilk etapta hedeflerin aktif olup olmadığını sorgulayan keşif aşamasını gerçekleştirir. Bu süreç, hedef hesapların kullanılabilirliğini ve saldırıya açık olup olmadığını belirlemek için yapılır.
• Sahte Kimlik Doğrulama: Hedef kullanıcıya, gerçek bir Microsoft giriş sayfasını taklit eden sahte bir bağlantı veya mesaj gönderilir. Bu sayfa, kullanıcının dikkatini çekmek için tasarlanmış ve kimlik bilgisi veya cihaz kodu girmesini ister.
• Riskli Kod Talebi ve Gönderimi: Kullanıcı, sahte sayfaya girdiği cihaz kodunu veya 2FA kodunu, saldırganın ulaşabileceği forma iletir. Bu işlem, birkaç dakika ile sınırlı ve zaman dilimini kesinlikle aşmamaktadır. Bu noktada, saldırganlar bu kodu Microsoft’un resmi sunucularına ileterek, kullanıcı adına giriş yapmış gibi davranır.
• Hesaba Erişim ve Kontrol: Kodlar doğrulandığında, saldırganlar cihazını yetkilendirmiş olur ve oturum açar. Bu sayede, kullanıcı giriş bilgilerinin paylaşılmasına gerek kalmadan, hesabın tam kontrolü saldırganın eline geçer. Bu aşamada, e-posta, dosya ve diğer kurumsal kaynaklar saldırganların kullanımına açılır.

Tehditlere Karşı Korunma Yöntemleri

Bu gelişmiş saldırılardan korunmak için aşağıdaki önlemleri almak hayati önem taşır:

• Beklenmedik Kimlik Doğrulama Taleplerini Dikkatle İnceleyin: Gelen herhangi bir cihaz kodu veya 2FA talebini, güvenilirliği şüpheli görülen mesajlardan ayırt edin. Bir kurum veya uygulama size cihaz kodu veya kimlik doğrulama isteğinde bulunmadan parolanızın veya kodların istenmesi olağan değildir. Bu tür talepleri hemen güvenlik ekibinizle paylaşın.
• Sağlam Kimlik Doğrulama Politikaları Uygulayın: Koşullu erişim ilkeleriyle, cihaz kodu akışını tamamen devre dışı bırakabilir veya sınırlandırabilirsiniz. Bu, saldırganların sahte kimlik doğrulama pencerelerini kullanmasını önlemeye yardımcı olur.
• Risk Analizi ve İzleme: Anormal faaliyetleri tespit etmek için oturum açma günlüklerini düzenli inceleyin. Olağandışı cihaz girişleri veya riskli oturum açma girişimleri, erken uyarı sağlar ve gerektiğinde önlemler alınır.
• Farkındalık Eğitimleri ile Güvenlik Bilincini Artırın: Çalışanlara, gerçek ve sahte kimlik doğrulama işlemlerini ayırt edebilme yeteneği kazandırın. Çalışanlar, sahte taleplerle karşılaştıklarında hemen BT veya güvenlik ekipleriyle iletişime geçmelidir.
• Güvenlik Mekanizmalarını Güçlendirin: Çok faktörlü kimlik doğrulamayı, kimlik doğrulama kodlarının ve cihaz kontrolünün katmanlarına entegre edin. Ayrıca, yeni cihazların ve IP adreslerinin tanımını yaparak, şüpheli girişleri engelleyebilirsiniz.

Bu Tehditleri Önlemek İçin En İyi Uygulamalar

Belirtilen tehditlere karşı alabileceğiniz en etkili önlemler:

• İnsan odaklı eğitimlerle, çalışanlara kimlik avı saldırılarının en güncel ve karmaşık biçimleri hakkında bilgi verin. Özellikle, cihaz kodu veya 2FA taleplerinin skala ve yöntemlerini anlatın.
• Ortamınızdaki tüm erişim noktalarında, biometrik ve cihaz bazlı kontrollerle çok faktörlü kimlik doğrulama kullanımını zorunlu hale getirin.
• Tüm giriş ve kimlik doğrulama işlemlerini izleyin ve düzenli güvenlik raporları hazırlayın. Anormal seviye veya alışılmadık giriş girişimlerine özel dikkat gösterin.
• Riskli oturumlar veya onların izleri tespit edildiğinde, otomatik önlemler (ör. oturumların sonlandırılması, token geçersiz kılma gibi) alın.
• Kullandığınız platformların ve sistemlerin, en güncel güvenlik yamaları ve yapılandırmaları ile korunduğundan emin olun. Güncellemeleri ihmal etmeyin.