Microsoft’un yasal kimlik doğrulama akışını altüst eden bir kimlik avı olan EvilTokens, saldırganların parolaları çalmadan yahut düzmece giriş sayfaları oluşturmadan hesaplara sızmasına imkan tanıyor. Siber güvenlik alanında dünya lideri olan ESET, EvilTokens’ı kullanan akınların nasıl gerçekleştiğini inceledi. Kullanıcıların dikkat etmeleri gereken noktalara dikkat çekti, güvenliklerini nasıl sağlayabileceklerine yönelik tekliflerini paylaştı. 

EvilTokens, Microsoft 365 hesaplarını ele geçirmek üzere geliştirilmiş bir kimlik avı hizmeti kiti. Bu kiti kullanan taarruzlar, aygıt kodu kimlik avına dayandığından, kurbanların parolalarını girecekleri gerçek oturum açma sayfalarının ikna edici kopyalarına gereksinim duymuyorlar. Bunun yerine saldırganlar, kurbanı gerçek bir Microsoft oturum açma sayfasında iki faktörlü kimlik doğrulama (2FA) dâhil olmak üzere yasal bir kimlik doğrulama sürecini tamamlamaya yönlendiriyor. 

Siber hatalılar tarafından süratle benimsenen bu araç setinin 2026 yılının Mart ayında çeşitli ülkelerdeki 340’tan fazla kuruluşu gaye alan bir kampanya da dâhil olmak üzere, bir dizi hesap ele geçirme ve kurumsal e-posta dolandırıcılığı (BEC) hücumunda kullanıldığı tespit edildi. 

EvilTokens’ı kullanan ataklar nasıl gerçekleşiyor?

• Saldırının öncesinde, makus niyetli bireylerin evvel maksat hesabın etkin olup olmadığını doğruladığı bir “keşif” kademesi yer alır. Microsoft, bu keşif etabının gerçek kimlik avı teşebbüsünden 10 ila 15 gün evvel gerçekleştirildiğini gözlemlemiştir.
• Mağdur, ekseriyetle fatura, paylaşılan doküman, takvim daveti yahut SharePoint erişim isteği üzere görünen bir e-posta yahut bildiri alır. Yem, muteber bir markayı taklit eden bir tuzak sayfası ile birlikte “Görüntülemek için doğrulayın” yahut “İmza gereklidir” üzere kolay sözlerden oluşur. 
• Kurban irtibata tıkladığında, sayfa Microsoft’tan bir kod ister. Kod sırf 15 dakika boyunca geçerlidir; bu nedenle burada vakit ve zamanlama hayati kıymet taşır.
• Sayfa, kurbana kodu gösterir ve onu Microsoft’un gerçek microsoft.com/devicelogin oturum açma portalına yönlendirir. İşin püf noktası, kodun saldırganının oturumuna ilişkin olmasıdır; bu nedenle kurban, farkında olmadan kendi aygıtını değil, saldırganın aygıtını yetkilendirir.
• Geçerli bir oturum açma bilgisi algıladığında Microsoft, saldırgan tarafından açılan oturuma erişim ve yenileme jetonları verir. Sisteme girdikten sonra hatalılar, kurumsal e-postalara, evraklara, Teams’e, SharePoint’e, OneDrive’a ve öteki Microsoft 365 kaynaklarına erişebilir ve bilgileri sızdırabilir ya da BEC taarruzları hazırlayabilir. Bu nedenle finans, İK, lojistik ve satış hesapları saldırganların büyük ilgisini çekmektedir. 

EvilTokens’tan korunmak için öenmli ipuçları

• Kimlik doğrulama kodu için gelen beklenmedik talepleri kuşkulu olarak değerlendirin. Hiçbir evrak, fatura, e-posta yahut öbür bir platform, açık bir neden olmaksızın aygıt kodunuzu istememelidir. Talep apansız gelirse bunu patronunuzun BT yahut güvenlik grubuna bildirin.
• Bağlam, sayfadan daha değerlidir. Rastgele bir oturum açma isteğini onaylamadan evvel, erişim isteyen uygulamanın hangisi olduğunu, hangi hesabın kelam konusu olduğunu ve bu süreci hakikaten sizin başlatıp başlatmadığınızı denetim edin. Gerçek bir Microsoft sayfası, bir isteği otomatik olarak inançlı hâle getirmez.
• Kuruluşlar, gerekli olmadığı durumlarda aygıt kodu akışını büsbütün kısıtlamalıdır. Microsoft, gerekli olmadığı durumlarda aygıt kodu akışını engellemek ve bunu muhakkak kullanıcılar, aygıtlar, pozisyonlar yahut işletim sistemleriyle sonlandırmak için Şartlı Erişim prensiplerinin uygulanmasını önerir.
• Olağan dışı aygıt kodu kimlik doğrulamalarına, tanıdık olmayan altyapılara, riskli oturum açma süreçlerine, kuşkulu belirteç kullanımına ve yeni gelen kutusu kurallarına dikkat edin; bunların rastgele biri bir sıkıntıya işaret edebilir. 
• Güvenlik farkındalığı eğitimleri, saldırganların kullandığı en yeni hilelere ayak uydurmalıdır. Çalışanlar, çağdaş kimlik avı hücumlarının her vakit geçersiz bir sayfaya parola girilmesini gerektirmediğini anlamalıdır. Bazen saldırgan, çalışanlardan gerçek bir sayfada gerçek bir kodu girmelerini isteyebilir lakin bu kod yanlış aygıt içindir.
• Beklenmedik bir aygıt kodu talebi alan çalışanlar, şirketlerinin BT yahut güvenlik gruplarını bilgilendirmelidir; bu takımlar oturum açma günlüklerini incelemek, oturumları iptal etmek, yenileme belirteçlerini geçersiz kılmak, berbat emelli gelen kutusu kurallarını kaldırmak ve güvenliği ihlal edilmiş hesabı süreksiz olarak devre dışı bırakmak zorunda kalabilir.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Kaynak: Beyaz Haber Ajansı