Siber Güvenlikte Yeni Tehlike: OAuth Onay Saldırıları
Dijital dünyada siber tehditler evrim geçirmeye devam ediyor. Şubat 2026'da ortaya çıkan ve 'EvilTokens' olarak adlandırılan yeni bir 'Phishing-as-a-Service' (PhaaS) platformu, kurumsal güvenlik protokollerini ciddi şekilde sarsmış durumda. Beş hafta gibi kısa bir sürede beş farklı ülkede 340'tan fazla Microsoft 365 organizasyonunu hedef alan bu saldırı mekanizması, geleneksel çok faktörlü kimlik doğrulama (MFA) yöntemlerinin neden artık tek başına yeterli olmadığını gözler önüne seriyor.
OAuth İzinleri Nasıl Bir Zafiyete Dönüşüyor?
Bu saldırı türünde, kullanıcılar geleneksel oltalama yöntemlerinden farklı bir senaryoyla karşılaşıyor. Saldırganlar, kullanıcıları 'microsoft.com/devicelogin' adresine yönlendirerek kısa bir kod girmelerini ve MFA adımlarını tamamlamalarını istiyor. Kullanıcı, standart güvenlik prosedürünü yerine getirdiğini düşünerek işlemi onayladığında, aslında farkında olmadan saldırganlara OAuth erişim izni vermiş oluyor.
- MFA'yı Baypas Etme: Kullanıcı MFA'yı başarıyla geçtiği için, saldırganlar oturumu ele geçirerek kalıcı bir erişim token'ı elde ediyor.
- Kalıcı Erişim: OAuth izinleri sayesinde saldırganlar, şifre değiştirilse dahi sistemde kalmaya devam edebiliyor.
- Geniş Ölçekli Etki: PhaaS modeli, teknik bilgisi az olan saldırganların bile karmaşık kurumsal ağlara sızmasına olanak tanıyor.
Kurumunuzu Nasıl Koruyabilirsiniz?
Bu tür saldırılara karşı korunmanın en etkili yolu, kullanıcı farkındalığını artırmak ve teknik kontrolleri sıkılaştırmaktır. Microsoft 365 ortamında, şüpheli OAuth uygulamalarının erişimlerini düzenli olarak denetlemek ve 'Zero Trust' (Sıfır Güven) mimarisini benimsemek kritik öneme sahiptir. Ayrıca, çalışanlarınıza cihaz girişi (device login) süreçlerinde beklenmedik onay ekranlarına karşı tetikte olmaları gerektiği konusunda eğitimler vermelisiniz. Siber güvenlik, sadece yazılımsal değil, aynı zamanda bilinçli bir süreç yönetimidir.
