Microsoft, çalışanların maaşlarını doğrudan saldırganların kontrolündeki hesaplara yönlendiren yeni bir dolandırıcılık hakkında uyarıda bulundu. Bu saldırı yöntemi, öncelikle Workday veya diğer bulut tabanlı İK hizmetlerindeki profilleri ele geçirerek işliyor.
Microsoft'un "Bordro Korsanları" olarak adlandırdığı bu kampanya, kurbanlara kimlik bilgileriyle bulut hesabına giriş yapmalarını sağlayan kimlik bilgilerini ele geçirmek için kimlik avı e-postaları göndererek İK portallarına erişim sağlıyor. Saldırganlar, kurbanlarla giriş yaptıklarını düşündükleri, ancak aslında saldırganlar tarafından işletilen sahte bir site arasında durarak "ortadaki adam" taktikleri kullanarak çok faktörlü kimlik doğrulama (MFA) kodlarını kurtarabiliyor.
Her MFA Aynı Değildir
Saldırganlar daha sonra ele geçirdikleri kimlik bilgilerini ve MFA kodunu gerçek siteye giriyor. Son yıllarda giderek yaygınlaşan bu taktik, FIDO uyumlu MFA biçimlerinin benimsenmesinin önemini vurguluyor çünkü bu yöntemler bu tür saldırılara karşı bağışık.
Çalışanların hesaplarına girdikten sonra, saldırganlar Workday içindeki bordro yapılandırmalarında değişiklik yapıyor. Bu değişiklikler, doğrudan mevduat ödemelerinin çalışan tarafından seçilen hesaplar yerine saldırganların kontrolündeki bir hesaba akmasını sağlıyor. Bu tür hesap detaylarının değiştirildiğinde Workday'in otomatik olarak gönderdiği mesajları engellemek için saldırganlar, mesajların gelen kutusunda görünmesini engelleyen e-posta kuralları oluşturuyor.
Microsoft'un yaptığı açıklamada, "Tehdit aktörleri, kimlik bilgilerini toplamak için birden fazla üniversitedeki hesapları hedefleyerek gerçekçi kimlik avı e-postaları kullandı. Mart 2025'ten bu yana, üç üniversitede başarıyla ele geçirilen 11 hesap gözlemledik ve bu hesaplar 25 üniversitedeki yaklaşık 6.000 e-posta hesabına kimlik avı e-postaları göndermek için kullanıldı." denildi.
Kimlik avı tuzakları, aldatıcı e-postaların temaları çeşitlilik gösteriyor. Bir örnekte, e-posta çalışanların kampüsteki yakın zamanda keşfedilen bulaşıcı bir hastalığa maruz kalmış olabileceğini iddia ediyordu. Ardından, bireyin maruz kalanlar arasında olup olmadığını açıklayan bir sayfaya bağlantı sunuyordu. İkinci bir tema ise çalışan haklarında son zamanlarda bir değişiklik olduğu ve alıcının daha fazla bilgi edinmesi için bir bağlantı içerdiği yönündeydi. Bu bağlantılar, çalışanların iş hesapları için bir giriş sayfası gibi görünen, saldırgan tarafından kontrol edilen bir sayfaya yönlendiriyordu.
Bazı durumlarda, saldırganlar kontrol ettikleri bir telefon numarasını yedek hesap kurtarma yöntemi olarak eklemeyi başardılar. Bu adım, saldırganların ihlal edilen hesaba kalıcı erişim sağlamasına olanak tanıyor.
Microsoft'un uyarısı, tek seferlik kodlar, e-postalar, kısa mesajlar ve anlık bildirimlere dayanan MFA biçimlerinin mümkün olduğunca kaçınılması gerektiğini iyi bir şekilde hatırlatıyor. Çok daha güvenli alternatifler arasında şifre anahtarları (passkeys), fiziksel güvenlik anahtarları ve diğer FIDO uyumlu kimlik doğrulama biçimleri bulunuyor. Bugüne kadar FIDO MFA'nın bu tür dolandırıcılıklara yenik düştüğüne dair bilinen herhangi bir örnek bulunmuyor. Elbette, son kullanıcı veya bulut tabanlı sistemler zaten tehlikeye atılmışsa veya çevrimiçi hizmetler FIDO olmayan yedeklemelere izin veriyorsa, tüm önlemler anlamsız hale gelebilir.
Ayrıca, Workday veya diğer hizmetlerden gelen güvenlik ile ilgili e-postaları engelleyebilecek herhangi bir kural olup olmadığını kontrol etmek için e-posta filtreleme kurallarını periyodik olarak kontrol etmek iyi bir fikirdir.
