Sahte Microsoft Teams Bildirimlerine Dikkat

Microsoft Teams’in bildirimlerini taklit ederek çalışanların giriş bilgilerini çalmayı amaçlayan yeni bir kimlik avı kampanyası tespit edildi. COVID-19 salgını nedeniyle, birçok şirket tam zamanlı uzaktan çalışmaya geçti ve saldırganlar bundan faydalanmak istiyor.

Sahte Microsoft Teams Bildirimleri

Saldırganlar, Microsoft Teams’den gelen otomatik bildirim e-postaları gibi görünen hazırlanmış e-postalar kullanır.

Kullanıcı e-postayı tıkladıktan sonra, onları Microsoft Teams’in gerçek web sayfalarını taklit eden sahte sayfalara götürür.

Kampanya Abnormal Security tarafından gözlemlendi , araştırmacılara göre “gönderenin e-postası Microsoft ile ilişkili olmayan yakın zamanda kaydedilmiş bir alan olan“ sharepointonline-irs.com  olarak görünüyor”

Kötü Amaçlı E-posta

Saldırganlar, kötü amaçlı bağlantı algılamasından kaçınmak ve saldırıyı başlatmak için kullanılan orijinal URL’yi gizlemek için çok sayıda URL yönlendirmesi kullandı.

Araştırmacılar, çalışan giriş bilgilerini çalmaya çalışan böyle iki saldırı gözlemledi

  1. Bir saldırıda e-posta, alıcıları resme tıkladıktan sonra  sahte Microsoft Office giriş sayfasına götüren  Microsoft ekibiyle oturum açmaya teşvik eden bir resim ve bir belgeye bağlantı içerir.
  2. Bir diğerinde, bir Youtube bağlantısı, birden çok kez yönlendirildi ve Microsoft giriş sayfasını taklit eden son bir web sayfasına ulaştı.

Bir alıcı saldırılara maruz kalırsa, oturum açma kimlik bilgilerinin güvenliği ihlal edilirse, saldırganlar Microsoft Office 365 hizmetlerine de erişebilir. Saldırı, giriş bilgilerini elde etmek için 50.000’den fazla çalışanı hedefliyor.

Son zamanlarda Group-IB Threat Intelligence grubu , “150’den fazla şirketin üst düzey yöneticisinin başarılı hedefli kimlik avı saldırıları nedeniyle saldırıya uğradığını ” bildirdi .

About The Author

Reply