Yazılım & İşletim SistemiOrta

Microsoft Hesap Kimlik Bilgilerini Çalmak İçin Bubble Platformunun Kötüye Kullanımı

Tehdit aktörleri, kimlik avı tespitini atlatmak amacıyla Bubble no-code platformunu kullanarak kötü amaçlı web uygulamaları geliştiriyor. Bu durum, Microsoft hesaplarına yönelik saldırıların artmasına neden oluyor.

B
Bleeping Computer Tutorials
15 görüntülenme
Microsoft Hesap Kimlik Bilgilerini Çalmak İçin Bubble Platformunun Kötüye Kullanımı

Microsoft Hesap Kimlik Bilgilerini Çalmak İçin Bubble Platformunun Kötüye Kullanımı

Giriş ve Sorun Tanımı

Son zamanlarda güvenlik araştırmacıları, tehdit aktörlerinin Microsoft (MS) hesaplarına yönelik kimlik avı (phishing) saldırılarında yeni bir yöntem kullandığını tespit etmiştir. Bu yöntem, popüler bir no-code uygulama geliştirme platformu olan Bubble'ın kötüye kullanılmasını içermektedir. Saldırganlar, Bubble'ın sunduğu kolaylıkları kullanarak, meşru görünen ve kimlik avı tespit mekanizmalarını atlatabilen sahte oturum açma sayfaları oluşturmaktadır.

Bu saldırıların temel amacı, kullanıcıların Microsoft 365, Outlook veya diğer MS hizmetlerine giriş yapmak için kullandıkları kullanıcı adı ve parolaları çalmaktır. Bubble platformu, hızlı prototipleme ve uygulama dağıtımı için tasarlandığından, saldırganlar tarafından oluşturulan kötü amaçlı uygulamalar, meşru hizmetlere benzeyen alan adları altında barındırılabilmektedir.

Saldırı Mekanizması

Saldırı zinciri genellikle aşağıdaki adımları takip eder:

  1. Bubble Uygulama Oluşturma: Saldırganlar, Bubble arayüzünü kullanarak Microsoft oturum açma sayfasına çok benzeyen bir web uygulaması tasarlar. Bu uygulama, kullanıcıdan kimlik bilgilerini girmesini isteyen bir form içerir.
  2. Veri Yakalama (Credential Harvesting): Kullanıcı, sahte sayfaya kimlik bilgilerini girdiğinde, bu veriler Bubble platformu üzerinden saldırganların kontrolündeki bir arka uç veritabanına (veya doğrudan saldırganın sunucusuna) iletilir.
  3. Tespitin Atlatılması: Bubble, genellikle meşru bir geliştirme platformu olarak kabul edildiği için, bu platform üzerinde barındırılan URL'ler, geleneksel e-posta filtreleri veya tarayıcı tabanlı kimlik avı korumaları tarafından anında engellenmeyebilir. Saldırganlar, bu durumu kullanarak kurbanları oltalayabilir.
  4. Kurban Yönlendirmesi: Başarılı bir kimlik bilgisi çalınmasının ardından, kurban genellikle meşru Microsoft oturum açma sayfasına yönlendirilir. Bu, kullanıcının dolandırıldığını fark etme olasılığını azaltır.
UYARI: Bubble gibi servislerin meşru kullanımı, güvenlik risklerini ortadan kaldırmaz. Kurumsal kullanıcılar, herhangi bir harici platformda kimlik bilgisi girmeden önce URL'yi ve sertifika detaylarını daima kontrol etmelidir.

Önerilen Çözüm ve Önleme Adımları (Son Kullanıcılar İçin)

Bu tür saldırılara karşı korunmak için kullanıcıların proaktif adımlar atması kritik öneme sahiptir. Aşağıdaki adımlar, kimlik avı riskini önemli ölçüde azaltacaktır:

  1. Çok Faktörlü Kimlik Doğrulama (MFA) Zorunluluğu: Microsoft hesaplarınızda MFA'yı etkinleştirmek, parolalar çalınsa bile yetkisiz erişimi büyük ölçüde engeller.
  2. URL Doğrulaması: Bir oturum açma ekranıyla karşılaştığınızda, tarayıcının adres çubuğunu kontrol edin. Microsoft oturum açma URL'sinin login.microsoftonline.com veya benzer bir resmi Microsoft alan adı olduğundan emin olun. Bubble veya başka bir üçüncü taraf alan adına dikkat edin.
  3. Bağlantılara Dikkat: Şüpheli e-postalardaki veya mesajlardaki bağlantılara tıklamaktan kaçının. Doğrudan tarayıcıya resmi site adresini yazarak erişim sağlayın.
  4. Tarayıcı Güvenlik Ayarları: Tarayıcılarınızın (Chrome, Edge, Firefox) yerleşik kimlik avı koruma özelliklerinin etkin olduğundan emin olun.

İdari Önlemler ve İzleme (IT Yöneticileri İçin)

IT ekipleri, organizasyon genelinde bu tür riskleri azaltmak için aşağıdaki kontrolleri uygulamalıdır:

  1. Erişim Koşulları Politikaları (Conditional Access): Azure AD Conditional Access kullanarak, yalnızca bilinen ve güvenilir cihazlardan veya ağ konumlarından erişime izin verin.
  2. Kimlik Avı Eğitimi: Çalışanlara, özellikle de yeni geliştirme platformlarından kaynaklanan kimlik avı girişimleri hakkında düzenli ve güncel eğitimler verin.
  3. E-posta Güvenliği Ağ Geçitleri: Gelişmiş tehdit koruma (ATP) özelliklerine sahip e-posta ağ geçitlerini kullanarak, şüpheli URL'leri ve alan adı itibarlarını tarayın.

Bubble gibi platformların kötüye kullanımı, siber güvenlik ortamının sürekli evrildiğini göstermektedir. Geliştirme araçlarının sunduğu esneklik, ne yazık ki saldırganlar için de yeni fırsatlar yaratmaktadır. Bu nedenle, çok katmanlı bir savunma stratejisi benimsemek zorunludur.

İlgili Makaleler