FBI, Microsoft 365 kullanıcılarını hedef alan yeni ve hızlı yayılan bir siber saldırı yöntemi hakkında kritik bir uyarı yayımladı.
"Kali365" adı verilen bu kimlik avı saldırısı, klasik yöntemlerden farklı olarak kullanıcı parolalarını hedef almak yerine doğrudan hesap erişim token’larını ele geçiriyor.
FBI tarafından yapılan açıklamaya göre Kali365, "Phishing-as-a-Service" (hizmet olarak kimlik avı) modeliyle çalışıyor. Bu yöntem sayesinde saldırganlar, Outlook, Microsoft Teams ve OneDrive hesaplarına parola girmeden erişim sağlayabiliyor.
Sistemin en dikkat çekici yönü ise çok faktörlü kimlik doğrulamayı (MFA) doğrudan kırmaması, ancak kullanıcıları meşru Microsoft giriş akışı üzerinden yetkilendirmeye yönlendirmesi.
GERÇEK MİCROSOFT SAYFASI KULLANILIYOR
Saldırı süreci genellikle kullanıcıya gönderilen bir e-posta ile başlıyor. Bu e-postada yer alan cihaz kodu, kullanıcıyı Microsoft’un gerçek doğrulama sayfasına yönlendiriyor. Ancak kullanıcı bu kodu girdiğinde, aslında saldırganın başlattığı oturuma erişim izni vermiş oluyor.
Bu yöntem, sahte site veya bozuk giriş ekranı gibi klasik kimlik avı işaretlerini ortadan kaldırdığı için tespiti oldukça zorlaştırıyor.
Kullanıcı kodu doğruladığında saldırganlar OAuth erişim ve yenileme tokenlarını ele geçirerek hesaplara tam erişim sağlayabiliyor. Bu durum, parola bilinmese bile e-posta kutuları, Teams yazışmaları ve OneDrive dosyalarının risk altına girmesine neden oluyor.
FBI, Kali365'in özellikle Telegram üzerinden dağıtıldığını ve teknik bilgisi düşük saldırganların bile kolayca kullanabildiğini belirtiyor. Yapay zekâ destekli oltalama mesajları ve hazır şablonlar sayesinde saldırıların daha hızlı ve geniş ölçekte yapılabildiği ifade ediliyor.
Uzmanlara göre Microsoft 365 hesaplarının ele geçirilmesi, yalnızca e-postaları değil; kurumsal belgeleri, ekip içi iletişimi ve bulut tabanlı tüm iş süreçlerini tehlikeye atıyor. Bu nedenle özellikle şirketlerin ekstra önlem alması gerektiği vurgulanıyor.
KORUNMA ÖNERİLERİ
FBI, kullanıcıların özellikle beklenmedik cihaz kodu taleplerine karşı dikkatli olması gerektiğini belirtiyor. Ayrıca:
Bilinmeyen e-postalardaki cihaz kodlarını asla girmeyin
Yetkisiz uygulama ve oturum erişimlerini düzenli kontrol edin
Şüpheli girişleri inceleyin
Gerekirse tüm oturumları ve erişim tokenlarını iptal edin
Uyarıya göre Kali365, modern kimlik avı saldırılarının ne kadar geliştiğini gösteren en yeni ve tehlikeli örneklerden biri olarak değerlendiriliyor.
