Siber suçlular iş e-postasına sağladıkları erişimle birlikte kurumsa e-posta gizliliği ihlali türü saldırılar gerçekleştirebilir. Bu nedenle, kurumsal kullanıcıları MS Office oturum açma sayfası gibi tasarlanmış internet sitelerinde oturum açmaya yönlendiren çok sayıda kimlik avı mektubuyla karşılaşıyoruz. Bu da, bir bağlantının sizi böyle bir sayfaya yönlendirmesi durumunda nelere dikkat etmeniz gerektiğini bilmenin çok önemli olduğu anlamına geliyor.
Microsoft Office hesaplarına ait kimlik bilgilerini çalan siber suçlularla ilk kez karşılaşmıyoruz. Buna karşın saldırganların kullandığı yöntemler her gün daha da gelişiyor. Bugün, en iyi uygulama örneklerini göstermek ve ana hatlarıyla bazı yeni püf noktalarından bahsetmek için gerçek hayattan — gerçekten aldığımız bir e-postadan — bir örnek anlatacağız.
Yeni bir kimlik avı hilesi: HTML eki
Bir kimlik avı e-postası normalde, sahte bir internet sitesine giden bir köprü bağlantı içerir. Sürekli söylediğimiz gibi, köprü bağlantıları hem genel görünüm hem de gerçekte yönlendirdikleri internet adresleri açısından dikkatli bir şekilde incelenmesi gerekir (Fare ile URL’nin üzerine gelmek çoğu posta istemcisinde ve web arayüzünde gidilecek hedef adresi gösterir). İnsanlar bu basit önlemi uygulamaya başladığından beri kimlik avcıları bağlantıları, tek amacı otomatik şekilde yeniden yönlendirmek olan ekli HTML dosyalarıyla değiştirmeye başladı.
HTML ekine tıklandığında ek, bir tarayıcıda açılıyor. İşin kimlik avıyla ilgili olan kısmına gelirsek; dosya, kimlik avı internet sitesine ait adresin bir değişken olarak girildiği tek satırlık bir koda (javascript: window.location.href) sahip. Bu kod tarayıcının internet sitesini aynı pencerede açmaya zorluyor.
Bir kimlik avı e-postasında nelere dikkat edilmeli
Yeni taktikleri bir yana koyalım; kimlik avı kimlik avıdır, bu nedenle e-postanın kendisiyle başlayın. İşte aldığımız gerçek e-posta. Bu örnekte sahte e-posta, bir sesli mesaj bildirimine ait:
Eke tıklamadan önce üzerinde düşünmenizi istediğimiz birkaç soru var:
- Göndereni tanıyor musunuz? Gönderen kişi iş yerinden size sesli mesaj bırakabilir mi?
- E-posta ile sesli mesaj göndermek şirketinizde yaygın bir uygulama mı? Yalnızca bugünlerde pek kullanılmadığı için değil aynı zamanda Microsoft 365 de Ocak 2020’den beri sesli postayı desteklemiyor.
- Bildirimi hangi uygulamanın gönderdiği konusunda net bir fikriniz var mı? MS Recorder, Office’in uygulama paketinin bir parçası değil — zaten Microsoft’un sesli mesaj gönderebilen varsayılan ses kayıt uygulamasının adı MS Recorder değil, Voice Recorder.
- Ek, bir ses dosyasına benziyor mu? Voice Recorder ses kaydı paylaşabilir ancak bunları .m3a uzantısına sahip dosya şeklinde gönderir. Ses kaydı bilmediğiniz bir araç tarafından gönderilmiş ve bir sunucuda tutuluyor olsa bile, bir posta eki şeklinde değil ses kaydına ait bir bağlantı şeklinde olmalıdır.
Özetle: Elimizde bilinmeyen bir program kullanılarak kaydedilmiş ve e-postaya bir internet sayfası şeklinde ek yapılmış, bilinmeyen bir gönderici tarafından gönderilmiş sözde sesli mesajımız olduğunu belirten (asla kullanmadığımız bir özellik) bir e-posta var. Açmaya değer mi? Kesinlikle değmez.
Kimlik avı sayfası nasıl tanınır?
E-postadaki bu eke tıkladığınızı ve bir kimlik avı sayfasına geldiğinizi varsayalım. Bunun gerçek bir site olmadığını nasıl anlarsınız?
İşte bakmanız gerekenler:
- Adres çubuğundaki adres bir Microsoft adresine benziyor mu?
- “Hesabınıza erişemiyor musunuz?” ve “Bir güvenlik anahtarıyla oturum açın” bağlantıları, sizi yönlendirmesi gereken sayfalara yönlendiriyor mu? Bir kimlik avı sayfasında bile bu bağlantılar sizi gerçek Microsoft sayfalarına yönlendirebilirler, ancak bizim örneğimizde bu bağlantılar çalışmadıkları için bu durum açık bir şekilde dolandırıcılık işareti.
- Sayfa doğru şekilde görüntüleniyor mu? Microsoft normalde arka plan görselinin boyutu gibi ayrıntılarla ilgili herhangi bir sorun yaşamaz. Elbette, arasıra bu tür aksaklıklar herkesin başına gelebilir ancak bu anormallikler birer tehlike işaretidir.
Ne olursa olsun, eğer herhangi bir şüpheniz varsa, Microsoft’un gerçek oturum açma sayfasının neye benzediğini görmek için https://login.microsoftonline.com/ adresine bakın.
Oltaya gelmekten nasıl kaçınılır
Office hesabı parolalarınızı bilinmeyen saldırganlara vermekten kaçınmak için:
- Dikkat edin. En basit kimlik avı biçimlerinden kaçınmak için kendinize yukarıda sorduğumuz soruları sorun. Daha farklı bir çok hileye ilişkin bilgiye sahip olmak için modern siber tehdit farkındalığı eğitim kurslarımızı deneyin;
- Köprü bağlantılar veya HTML dosyalarıyla gerçekleştirilen kimlik avı girişimlerini açığa çıkarmak için Office 365 koruması, kimlik avı sitelerinin açılmasını önlemek için uç nokta koruması kullanarak çalışanlarınızın e-postalarını koruyun.