Siber güvenlik uzmanları, Microsoft Sway'i kullanarak sahte iniş sayfaları barındıran ve kimlik bilgilerini, çok faktörlü kimlik doğrulama (MFA) kodlarını ve çerezleri çalmak için QR kodu balık avı saldırısı olarak da bilinen yeni bir kampanya keşfettiler.
Sway, 2015 yılında Microsoft 365 ürün ailesinin bir parçası olarak piyasaya sürülen ücretsiz bulut tabanlı bir dijital anlatım uygulamasıdır. Kullanıcılara raporlar, kişisel hikayeler, sunumlar, belgeler ve benzeri için etkileşimli tasarımlar oluşturup paylaşma imkanı sunar.
Netskope Tehdit Laboratuvarları, bir siber güvenlik firması, ilk kez Temmuz 2024'te quishing dolandırıcılığını kaydetti. Şirket, Sway'de Microsoft'un siber güvenlik çözümlerini atlatmak için çeşitli taktikler kullanan siber saldırı kampanyalarında 2.000 kat artış tespit etti.
Bu siber saldırıların çoğu teknoloji, üretim ve finans endüstrilerini hedef aldı, özellikle Asya ve Kuzey Amerika bölgelerinde.
Microsoft QR kodu dolandırıcılık kampanyaları, Neskope'nin doğruladığı e-postalardan kaynaklanıyor.
Araştırmacılar, Sway kullanıcılarına gönderilen e-postaların, sway.cloud.microsoft alan adında barındırılan kimlik avı sayfalarına yönlendirildiğini tespit etti. Bu kimlik avı sayfaları, sahte QR kodu Kullanıcıların diğer zararlı web sayfalarına yönlendirilmeleri için taranmaları teşvik edildi.
URL resim içine gömülü olduğundan, yalnızca metin tabanlı içerikleri tarayabilen e-posta tarayıcıları atlanabilir. Ayrıca, bir kullanıcıya bir QR kodu gönderildiğinde, kodu tarayabilmek için başka bir cihaz kullanabilir, örneğin mobil telefonunu. Netskope araştırmacıları gözlemledi.
Kullanıcıları mobil telefonlarını bu QR kodları taratmaları konusunda teşvik etmek, çoğu telefonun daha zayıf güvenlik önlemleriyle birlikte gelmesi nedeniyle yaygın bir dolandırıcılık stratejisidir.
Kötü niyetli aktörler, genellikle antivirüs yazılımı veya Uç Nokta Algılama ve Müdahale (EDR) çözümlerinin yalnızca bilgisayarlarda mevcut olduğu phishing'e karşı güvenlik kontrollerini telefonlarda atlayabilirler.
Mobil cihazlarda uygulanan güvenlik önlemleri genellikle dizüstü bilgisayarlar ve masaüstü bilgisayarlardaki kadar sıkı olmadığından, mağdurlar genellikle suistimale daha savunmasız hale gelirler. araştırmacılar ekledi.
QR kodu dolandırıcılığı kampanyaları, tespit edilmekten kaçınmak için Cloudflare Turnstile'dan faydalandı.
Bu kuşatma kampanyalarını daha etkili kılan şey, daha güvenilir görünmek ve dolandırıcılık taktiklerinin tespit edilmesinden kaçınmak için güvenilir web yazılımlarının kullanılmasıdır.
Araştırmacılar, bu dolandırıcıların yüklü URL tarama araçlarından ve web filtreleme hizmetlerinden gizlemek için Cloudflare Turnstile'ı kullandıklarını doğruladı. Bu, dolandırıcıların iyi bir itibar oluşturmalarına yardımcı oldu ve web sitelerini botlardan korumak için tasarlanmış araçlar tarafından bile tespit edilemez hale getirdi.
Siber saldırganlar ayrıca düşman ortada saldırıları kullanan şeffaf dolandırıcılık da kullandılar. Bu dolandırıcılık taktiğiyle çalındı. çoklu faktörlü kimlik doğrulama kodları Benzer görünüme sahip bir sayfa aracılığıyla kurbanın meşru Microsoft hesabına aynı anda giriş yaparak.
Logged-in Microsoft hesaplarını kullanarak taktiği kullanan suçlular, kullanıcıların gerçek bir web sitesine eriştiğini düşünmelerini sağladı, böylece güvenlerini kazandı ve dikkatlerini azalttı.
"Meşru bulut uygulamalarını kullanarak saldırganlar, kurbanlara güvenirlik sağlar ve sunduğu içeriğe güvenmelerine yardımcı olur."
Ayrıca, bir kurban bir Sway sayfasını açtıklarında zaten giriş yaptıkları Microsoft 365 hesabını kullanır, bu da onları meşruiyeti konusunda ikna edebilir. Netskope araştırmacıları belirtti.
‘Bu ilk değil’: Microsoft Sway'in bir tarihçesi var phishing saldırıları ile
Nisan 2020'de, kötü niyetli aktörler, bir zararlı yazılım hizmeti (MaaS) operasyonu içinde bulunan bir phishing kitini kullanarak Office 365 giriş kimlik bilgilerini hedefleyen PerSwaysion adında benzer bir phishing kampanyası gerçekleştirdiler.
Group-IB güvenlik araştırmacıları, kampanyanın küçük ve orta ölçekli finansal hizmet şirketlerinin, hukuk firmalarının ve emlak gruplarının üst düzey yetkililerini ve direktörlerini hedeflemek için Microsoft Sway'i kullandığını keşfetti.
156'tan fazla kimlik doğrulama bilgisi, kurumsal e-postaları ele geçirerek sağlandı. En az 20 dolandırılmış hesap, ABD, Kanada, Almanya, Hong Kong, Singapur, Hollanda ve İngiltere'deki çeşitli firmaların yöneticilerine ait.
Kanıtlar, dolandırıcıların muhtemelen potansiyel kurban pozisyonlarını değerlendirmek için LinkedIn profillerini kullandığını göstermektedir.
Böyle bir taktik, mevcut kurbanın iş arkadaşlarından erken uyarı olasılığını azaltır ve yeni dolandırıcılık döngüsünün başarı oranını artırır. Grup-IB araştırmacıları dedi.
QR kodların görsel tabanlı yapısı, balık avı saldırıları başlatmak için kullanılmaktadır.
Güvenlik önlemlerini ve karşı önlemleri geliştirmek, Microsoft gibi teknoloji şirketlerinin ve software-as-a-service organizasyonlarının temel misyonlarından biri olarak kalmaya devam ediyor. ücretsiz QR kod oluşturucu Translate the following sentence into Turkish, ensuring that the meaning, tone, and style are preserved and provide only the translation: online. "Çevrimiçi."
Daha sıkı siber güvenlik önlemleri geliştirilirken, kötü niyetli kişiler de quishing kampanyalarını ve karşı önlemlerini güçlendiriyor. Kendi aleyhlerine yasal siber güvenlik uygulamalarındaki boşlukları kullanarak daha akıllı hale geliyorlar.
Bu Sway üzerinde gerçekleşen bu phishing saldırılarıyla gösterildiği gibi, zayıflık resim tabanlı tehditlerde, QR kodları gibi bulunmaktadır. Çoğu e-posta tarayıcı yalnızca metin tabanlı içeriği tarayacak şekilde ayarlanmıştı, resimler içindeki URL'leri değil.
"QR kodlarını kullanarak kurbanları aldatmaca sitelerine yönlendirmek, savunucular için bazı zorluklar yaratır."
"URL resmin içine gömülü olduğundan, sadece metin tabanlı içerikleri tarama kapasitesine sahip olan e-posta tarayıcıları atlatılabilir." Netskope karşılık verdi.
Şirketler güvenlik politikalarını gözden geçirmeli ve siber güvenliği artırmalıdır.
Balık avı kampanyalarının ilerlemesi, kuruluşlara web ve bulut trafiği tarama ve filtreleme konusundaki siber güvenlik politikalarını gözden geçirmeleri gerektiğini işaret eder. Daha iyi politikalar, çalışanların zararlı web sitelerine erişme olasılıklarının azalması anlamına gelir.
Aynı zamanda, bireysel kullanıcılara tıklamadan önce URL'leri kontrol etmeleri tavsiye edilir. Daha da iyisi, QR kodu dolandırıcılığına düşmemek için web sitesini doğrudan tarayıcının adres çubuğuna yazın.
Son zamanlarda QR kod tabanlı dolandırıcılık önemli bir sorun haline geldi ve azalacağı pek olası görünmüyor. Son zamanlarda, Cofense'ın araştırması QR kod aktif tehdit raporlarında %331'lik bir artış buldu. Cofense'den Max Gannon dedi.
Bu kampanyadaki Microsoft Sway'in kötüye kullanımı, tehdit unsurlarının hazır ve kolay bir şekilde birçok otomatik güvenlik kontrolünü atlamak için güvenilir bir paylaşım servisini kötüye kullanabileceğini daha da vurgular. Gannon ekledi.
