Genel Bakış
Son dönemde ortaya çıkan Forg365, Microsoft 365 hesaplarını hedef alan ve yapay zeka (AI) destekli bir Phishing-as-a-Service (PhaaS) operasyonudur. Bu platform, Adversary-in-the-Middle (AiTM) ve cihaz kodu (device code) yöntemlerini birleştirerek saldırılarını gerçekleştirmektedir. Kötü niyetli aktörler, Forg365'i kullanarak kurumsal ağlara sızmak, hassas verileri çalmak ve kimlik avı saldırılarını otomatikleştirmek için AI destekli tuzaklar oluşturabilmektedir.
Tehdit Modeli ve Saldırı Yöntemleri
Forg365'in temel saldırı mekanizması aşağıdaki bileşenlerden oluşmaktadır:
1. Adversary-in-the-Middle (AiTM) Saldırıları
AiTM saldırıları, kullanıcı ile hedef hizmet (örneğin Microsoft 365) arasındaki iletişimi ele geçirmeyi amaçlamaktadır. Forg365, bu saldırıyı gerçekleştirmek için aşağıdaki adımları kullanmaktadır:
- Fişing E-postası Oluşturma: AI destekli metin üretimi kullanılarak, kullanıcıları tıklamaya teşvik eden sahte e-postalar hazırlanır. Bu e-postalar, genellikle acil eylem gerektiren konuları (örneğin "Hesabınız askıya alınmıştır") içermektedir.
- Sahte Giriş Sayfası: Kullanıcıları kandırmak için Microsoft 365'in resmi giriş sayfasına benzeyen bir phishing sayfası oluşturulur. Bu sayfa, kullanıcı adı ve şifre gibi kimlik bilgilerini çalmak amacıyla tasarlanmıştır.
- Oltalama Linki: E-postada bulunan bağlantı, kullanıcıyı sahte giriş sayfasına yönlendirir. Bağlantı, orijinal URL'yi gizlemek için kısaltılmış veya sahte alan adları kullanabilir.
- Oltalama ve Veri Toplama: Kullanıcı kimlik bilgilerini girdiğinde, bu bilgiler saldırganın sunucusuna gönderilir. Saldırgan, daha sonra bu bilgileri kullanarak Microsoft 365 hesabına erişim sağlar.
2. Cihaz Kodu (Device Code) Phishing'i
Cihaz kodu phishing'i, Microsoft'un cihaz kodu tabanlı kimlik doğrulama (OAuth 2.0) sistemini hedef almaktadır. Bu yöntemde, saldırganlar aşağıdaki adımları izlemektedir:
- OAuth Uygulaması Oluşturma: Saldırganlar, meşru bir uygulama gibi görünen sahte bir OAuth uygulaması oluşturur. Bu uygulama, Microsoft 365 hesabına erişim talebinde bulunur.
- Cihaz Kodu Üretme: Kullanıcı, Microsoft 365 hesabına giriş yaptığında, sistem bir cihaz kodu üretir. Bu kod, kullanıcının cihazında görüntülenir.
- Sahte Cihaz Kodu Sayfası: Kullanıcıdan, cihaz kodunu sahte bir sayfaya girmesi istenir. Bu sayfa, genellikle "Cihazınızı Doğrulayın" gibi başlıklar içermektedir.
- Yetki Verme ve Erişim: Kullanıcı cihaz kodunu girdiğinde, saldırganın OAuth uygulaması yetki alır. Bu sayede saldırgan, kullanıcının Microsoft 365 hesabına erişim sağlar ve verileri çalabilir.
3. AI Destekli Tuzak Oluşturma
Forg365, AI kullanarak phishing e-postalarını ve sahte giriş sayfalarını otomatikleştirmektedir. AI aşağıdaki şekilde kullanılmaktadır:
- Metin Üretimi: AI, kullanıcıları kandırmak için doğal dil işleme (NLP) kullanarak sahte e-postalar üretir. Bu e-postalar, genellikle acil eylem gerektiren konuları içermektedir.
- Sayfa Tasarımı: AI, Microsoft 365'in resmi giriş sayfasına benzeyen sahte sayfalar oluşturur. Bu sayfalar, kullanıcıları kandırmak için orijinal sayfanın stil ve içeriğini taklit eder.
- Kişiselleştirme: AI, kullanıcıların ilgi alanlarına ve davranışlarına göre phishing e-postalarını kişiselleştirir. Bu sayede, kullanıcıların sahte e-postaları fark etme olasılığı azalır.
Etkileri ve Riskler
Forg35'in başarılı bir şekilde kullanılması durumunda, aşağıdaki riskler ortaya çıkmaktadır:
- Hesap Ele Geçirme: Kullanıcıların Microsoft 365 hesapları ele geçirilebilir ve kötü niyetli aktörler tarafından kullanılabilir.
- Veri Hırsızlığı: Kurumsal veriler, e-postalar, belgeler ve diğer hassas bilgiler çalınabilir.
- Kimlik Avı Saldırılarının Yayılması: Ele geçirilen hesaplar, diğer kullanıcılara yönelik kimlik avı saldırıları için kullanılabilir.
- Yasal ve Finansal Kayıplar: Kurumlar, veri ihlalleri nedeniyle yasal ve finansal kayıplar yaşayabilir.
Uyarı: Forg365 gibi AI destekli phishing platformları, saldırganların saldırılarını otomatikleştirmesine ve daha etkili hale getirmesine olanak tanımaktadır. Bu nedenle, kullanıcıların ve kurumların güvenlik önlemlerini artırması gerekmektedir.
Korunma ve Müdahale Adımları
Aşağıdaki adımlar, Forg365 saldırılarına karşı korunmak ve müdahale etmek için önerilmektedir:
1. Kullanıcı Farkındalığı ve Eğitimi
- Phishing Farkındalığı: Kullanıcılar, phishing saldırılarının nasıl çalıştığını ve nasıl tanınacağını öğrenmelidir. Bu, kurum içi eğitim programları ve simülasyonlar aracılığıyla gerçekleştirilebilir.
- Güvenlik Politikaları: Kurumlar, kullanıcıların şüpheli e-postaları bildirebileceği ve yetkililere iletebileceği bir sistem oluşturmalıdır.
- AI Tabanlı Tehdit Algılama: Kurumlar, AI destekli tehdit algılama sistemleri kullanarak phishing e-postalarını otomatik olarak tespit edebilir ve engelleyebilir.
2. Teknik Kontroller
- Çok Faktörlü Kimlik Doğrulama (MFA): Microsoft 365 hesaplarına erişimde MFA kullanılması zorunlu hale getirilmelidir. MFA, hesap ele geçirme saldırılarını önemli ölçüde azaltmaktadır.
- Giriş Sayfası Doğrulaması: Kullanıcılar, Microsoft 365'e giriş yaparken, tarayıcının adres çubuğunda "https://login.microsoftonline.com" gibi doğru URL'yi kullanıp kullanmadıklarını kontrol etmelidir.
https://login.microsoftonline.com - Güvenlik Duvarı ve Proxy Kuralları: Kurumlar, güvenlik duvarları ve proxy'ler aracılığıyla phishing sitelerine erişimi engelleyebilir. Örneğin, aşağıdaki komutlar kullanılarak Squid Proxy'de engelleme yapılabilir:
acl phishing_sites dstdomain .phishing-example.com .fake-login-page.com http_access deny phishing_sites - OAuth Uygulamalarının Denetimi: Kurumlar, Microsoft 365'te yetkilendirilmiş OAuth uygulamalarını düzenli olarak denetlemeli ve gereksiz uygulamaları kaldırmalıdır. Aşağıdaki PowerShell komutu, yetkilendirilmiş uygulamaları listelemek için kullanılabilir:
Get-MsolServicePrincipal | Select-Object DisplayName, AppPrincipalId
3. Olay Müdahalesi
- Hesap Kilitleme: Eğer bir kullanıcı phishing saldırısına maruz kalırsa, hesabı derhal kilitleyin ve şifreyi sıfırlayın. Microsoft 365'te aşağıdaki komut kullanılarak kullanıcı hesabı kilitlenebilir:
Set-MsolUser -UserPrincipalName user@domain.com -BlockCredential $true - Yetki Revizyonu: Tüm yetkilendirilmiş uygulamaların ve API'lerin yetkilerini gözden geçirin ve gereksiz yetkileri kaldırın.
- Güvenlik Denetimi: Phishing saldırısının kaynağını ve etkilerini araştırın. Güvenlik denetimleri ve log incelemeleri yaparak saldırının nasıl gerçekleştiğini belirleyin.
İpuçları ve En İyi Uygulamalar
İpucu 1: Kullanıcılar, şüpheli e-postaları asla tıklamamalı veya yanıtlamamalıdır. E-postaların doğruluğunu teyit etmek için doğrudan Microsoft 365'in resmi web sitesini ziyaret edin.
İpucu 2: Kurumlar, Microsoft 365'te Microsoft Defender for Office 365 gibi gelişmiş tehdit koruma çözümlerini kullanmalıdır. Bu çözümler, phishing e-postalarını otomatik olarak tespit edip engelleyebilir.
İpucu 3: Düzenli olarak güvenlik farkındalığı eğitimleri düzenleyin ve kullanıcıları en son phishing taktikleri hakkında bilgilendirin.
Sonuç
Forg365, AI destekli phishing platformları arasında öne çıkan yeni bir tehdittir. Bu platform, saldırganların Microsoft 365 hesaplarını hedef almasını ve kurumsal verileri çalmasını kolaylaştırmaktadır. Kurumlar ve kullanıcılar, bu tehdide karşı korunmak için teknik ve eğitimsel önlemleri bir arada uygulamalıdır. AI destekli tehditler giderek yaygınlaşırken, güvenlik stratejilerinin de sürekli güncellenmesi gerekmektedir.



