Kimlik Avcıları Sahte Yönetici Uyarıları ile Office 365 Yöneticilerini Hedefliyor

Bir çalışanın e-posta hesabını ele geçirmek kötü amaçlı yazılım dağıtımı için karlı olabilir, ancak bir e-posta alanının yönetici hesabına erişebilmek büyük vurgundur. Bu nedenle, bir kuruluşun kullanıcılarını değil, yöneticilerini hedef alan kimlik avı dolandırıcılıklarından haberdar olmak önemlidir.

Yöneticileri hedef alan kimlik avcıları, bir yönetici hesabı aracılığıyla gerçekleştirilebilecek daha fazla saldırı aralığı nedeniyle daha popüler hale geliyor. Yönetici kimlik bilgileriyle, saldırganlar bir kuruluşun etki alanı altında yeni hesaplar oluşturabilir, diğer kullanıcılar olarak posta gönderebilir ve diğer kullanıcıların e-postalarını okuyabilir.

Bir yöneticinin hesabına erişmek için, kimlik avcıları Office 365 yönetici uyarılarıyla gizlenmiş kampanyalar oluşturmaya başladı. Bu uyarılar tipik olarak, yöneticilerin posta hizmetiyle ilgili bir sorun veya keşfedilen yetkisiz erişim keşfi gibi acil bir ilgiyi gerektiren zamana duyarlı bir sorunla ilgili olacaktır.

Office 365 Yönetici kimlik avı e-postaları

BleepingComputer tarafından bulunan sahte bir uyarı örneği, bir kuruluşun Office 365 lisanslarının süresinin dolduğunu belirten bir örnektir. Posta daha sonra, kullanıcının ödeme bilgilerini kontrol etmek için Office 365 Yönetici Merkezi’ne giriş yapmasını söylemeye devam eder.

Bir başka kimlik avı e-postası da  , birinin yöneticisine, kullanıcının e-posta hesaplarından birine eriştiği konusunda yöneticiyi uyaran Office 365’ten geliyor. Daha sonra yöneticiden giriş yaparak sorunu araştırması istenir.

Beklendiği gibi, bu e-postalardaki bağlantıları tıkladığınızda, Microsoft giriş bilgilerinizi girmenizi isteyen bir kimlik avı açılış sayfasına yönlendirilirsiniz.

Örneğin, yukarıdaki e-postadaki “Araştır” bağlantısı, Azure’daki windows.net etki alanında barındırılan sahte bir Microsoft giriş sayfasına yol açacaktır. Azure ve bir windows.net alanını kullanmak, giriş bilgisine daha fazla meşruiyet kazandırır.

Daha inandırıcı hale getirmek için, Azure’da barındırılan kimlik avı sayfaları, aşağıda gösterildiği gibi Microsoft’tan bir sertifika kullanılarak korunur.

Tahmin edebileceğiniz gibi, bir yönetici bu aldatmacaya düşerse ve kimlik bilgilerini sayfaya girerse, saldırganlar tarafından çalınır. Bu hesapta etkin bir şekilde 2 faktörlü kimlik doğrulama yapılmazsa, saldırgan Office 365 yönetici portalına erişebilir.

Kaynak:bleepingcomputer

About The Author

Reply