Giriş
Son dönemde siber tehdit aktörleri, Microsoft 365 kullanıcılarını hedef alan vishing (sesli phishing) saldırıları gerçekleştirmektedir. Bu saldırılar, kullanıcıları yeni bir Entra passkey kaydı oluşturma konusunda ikna etmeye yönelik sahte güvenlik uyarıları içermektedir. Saldırganlar, kurbanların kimlik bilgilerini çalmayı veya hesaplarını ele geçirmeyi amaçlamaktadır.
Saldırı Mekanizması ve Tehdit Modeli
Vishing saldırıları, geleneksel phishing yöntemlerinden farklı olarak sesli iletişim kanallarını kullanmaktadır. Saldırganlar, genellikle:
- Resmi Microsoft destek hattı numaralarını taklit eden sahte numaralardan arama yaparlar.
- Kullanıcıları acil eylemde bulunmaya teşvik eden stresli ve tehditkar bir dil kullanırlar.
- Entra passkey kayıt sürecini detaylıca anlatarak teknik terimleri kötüye kullanırlar.
Saldırının temel amacı, kullanıcıları Microsoft Entra ID (eski adıyla Azure AD) platformunda yeni bir passkey kaydı oluşturmaya yönlendirmektir. Passkey'ler, FIDO2 standardına dayalı modern kimlik doğrulama yöntemleridir ve saldırganlar bu süreci manipüle ederek kullanıcıların hesaplarını ele geçirmeyi hedefler.
Saldırı Senaryosu
- Hedef Belirleme: Saldırganlar, genellikle kurumsal e-posta adresleri veya LinkedIn gibi platformlarda bulunan kullanıcıları hedef alır.
- Sahte Arama: Kurbanlara, Microsoft destek ekibinden geldiği iddia edilen bir arama yapılır.
- Zorlayıcı Dil: "Hesabınız tehlikede, acilen passkey kaydı oluşturmalısınız" gibi mesajlarla kullanıcı baskı altına alınır.
- Kimlik Avı Linki: Kullanıcıya gönderilen bir bağlantıyla Entra ID portalına yönlendirilir ve sahte kayıt formunu doldurması istenir.
- Bilgi Toplama: Kullanıcıdan alınan kimlik bilgileriyle hesap ele geçirilir veya başka saldırılarda kullanılır.
Etkileri ve Riskler
Bu saldırıların başarıyla gerçekleşmesi durumunda ortaya çıkabilecek riskler şunlardır:
- Hesap Ele Geçirme: Kullanıcıların Microsoft 365 hesapları saldırganlar tarafından kullanılabilir.
- Veri Sızıntısı: Kurumsal veriler, e-postalar ve hassas belgeler saldırganların eline geçebilir.
- Yanlış Yönlendirme: Saldırganlar, kullanıcıları sahte sistemlere yönlendirerek daha fazla saldırı gerçekleştirebilir.
- İtibar Kaybı: Kurumların marka itibarı ve müşteri güveni zedelenebilir.
Tespit ve Müdahale Adımları
1. Saldırı Tespiti
Aşağıdaki belirtiler saldırının gerçekleştiğini gösterebilir:
- Kullanıcıların Microsoft 365 hesaplarında beklenmedik passkey kayıtları.
- Resmi olmayan kaynaklardan gelen kayıt talepleri.
- Kullanıcıların aniden hesaplarına erişememesi.
2. Acil Müdahale
- Hesap Kilitleme:
# Microsoft 365 Admin Center üzerinden hesap kilitleme Connect-MsolService Set-MsolUser -UserPrincipalName



