Microsoft’un meşru kimlik doğrulama akışını altüst eden bir kimlik avı olan EvilTokens, saldırganların parolaları çalmadan veya sahte giriş sayfaları oluşturmadan hesaplara sızmasına olanak tanıyor. Siber güvenlik alanında dünya lideri olan ESET, EvilTokens’ı kullanan saldırıların nasıl gerçekleştiğini inceledi. Kullanıcıların dikkat etmeleri gereken noktalara dikkat çekti, güvenliklerini nasıl sağlayabileceklerine yönelik önerilerini paylaştı.
EvilTokens, Microsoft 365 hesaplarını ele geçirmek üzere geliştirilmiş bir kimlik avı hizmeti kiti. Bu kiti kullanan saldırılar, cihaz kodu kimlik avına dayandığından, kurbanların parolalarını girecekleri gerçek oturum açma sayfalarının ikna edici kopyalarına ihtiyaç duymuyorlar. Bunun yerine saldırganlar, kurbanı gerçek bir Microsoft oturum açma sayfasında iki faktörlü kimlik doğrulama (2FA) dâhil olmak üzere meşru bir kimlik doğrulama sürecini tamamlamaya yönlendiriyor.
Siber suçlular tarafından hızla benimsenen bu araç setinin 2026 yılının Mart ayında çeşitli ülkelerdeki 340’tan fazla kuruluşu hedef alan bir kampanya da dâhil olmak üzere, bir dizi hesap ele geçirme ve kurumsal e-posta dolandırıcılığı (BEC) saldırısında kullanıldığı tespit edildi.
EvilTokens’ı kullanan saldırılar nasıl gerçekleşiyor?
- Saldırının öncesinde, kötü niyetli kişilerin önce hedef hesabın aktif olup olmadığını doğruladığı bir “keşif” aşaması yer alır. Microsoft, bu keşif aşamasının gerçek kimlik avı girişiminden 10 ila 15 gün önce gerçekleştirildiğini gözlemlemiştir.
- Mağdur, genellikle fatura, paylaşılan belge, takvim daveti veya SharePoint erişim isteği gibi görünen bir e-posta veya mesaj alır. Yem, güvenilir bir markayı taklit eden bir tuzak sayfası ile birlikte “Görüntülemek için doğrulayın” veya “İmza gereklidir” gibi basit ifadelerden oluşur.
- Kurban bağlantıya tıkladığında, sayfa Microsoft’tan bir kod ister. Kod yalnızca 15 dakika boyunca geçerlidir; bu nedenle burada zaman ve zamanlama hayati önem taşır.
- Sayfa, kurbana kodu gösterir ve onu Microsoft’un gerçek microsoft.com/devicelogin oturum açma portalına yönlendirir. İşin püf noktası, kodun saldırganının oturumuna ait olmasıdır; bu nedenle kurban, farkında olmadan kendi cihazını değil, saldırganın cihazını yetkilendirir.
- Geçerli bir oturum açma bilgisi algıladığında Microsoft, saldırgan tarafından açılan oturuma erişim ve yenileme jetonları verir. Sisteme girdikten sonra suçlular, kurumsal e-postalara, dosyalara, Teams’e, SharePoint’e, OneDrive’a ve diğer Microsoft 365 kaynaklarına erişebilir ve verileri sızdırabilir ya da BEC saldırıları hazırlayabilir. Bu nedenle finans, İK, lojistik ve satış hesapları saldırganların büyük ilgisini çekmektedir.
EvilTokens’tan korunmak için öenmli ipuçları
- Kimlik doğrulama kodu için gelen beklenmedik talepleri şüpheli olarak değerlendirin. Hiçbir belge, fatura, e-posta veya başka bir platform, açık bir neden olmaksızın cihaz kodunuzu istememelidir. Talep aniden gelirse bunu işvereninizin BT veya güvenlik ekibine bildirin.
- Bağlam, sayfadan daha önemlidir. Herhangi bir oturum açma isteğini onaylamadan önce, erişim isteyen uygulamanın hangisi olduğunu, hangi hesabın söz konusu olduğunu ve bu işlemi gerçekten sizin başlatıp başlatmadığınızı kontrol edin. Gerçek bir Microsoft sayfası, bir isteği otomatik olarak güvenli hâle getirmez.
- Kuruluşlar, gerekli olmadığı durumlarda cihaz kodu akışını tamamen kısıtlamalıdır. Microsoft, gerekli olmadığı durumlarda cihaz kodu akışını engellemek ve bunu belirli kullanıcılar, cihazlar, konumlar veya işletim sistemleriyle sınırlandırmak için Koşullu Erişim ilkelerinin uygulanmasını önerir.
- Olağan dışı cihaz kodu kimlik doğrulamalarına, tanıdık olmayan altyapılara, riskli oturum açma işlemlerine, şüpheli belirteç kullanımına ve yeni gelen kutusu kurallarına dikkat edin; bunların herhangi biri bir soruna işaret edebilir.
- Güvenlik farkındalığı eğitimleri, saldırganların kullandığı en yeni hilelere ayak uydurmalıdır. Çalışanlar, modern kimlik avı saldırılarının her zaman sahte bir sayfaya parola girilmesini gerektirmediğini anlamalıdır. Bazen saldırgan, çalışanlardan gerçek bir sayfada gerçek bir kodu girmelerini isteyebilir ancak bu kod yanlış cihaz içindir.
- Beklenmedik bir cihaz kodu talebi alan çalışanlar, şirketlerinin BT veya güvenlik ekiplerini bilgilendirmelidir; bu ekipler oturum açma günlüklerini incelemek, oturumları iptal etmek, yenileme belirteçlerini geçersiz kılmak, kötü amaçlı gelen kutusu kurallarını kaldırmak ve güvenliği ihlal edilmiş hesabı geçici olarak devre dışı bırakmak zorunda kalabilir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
