Siber güvenlik dünyasında yeni bir tehdit dalgası yükseliyor: EvilTokens. Bu gelişmiş kimlik avı kiti, geleneksel yöntemlerin aksine kurbanların parolalarını çalmaya veya sahte giriş sayfaları oluşturmaya ihtiyaç duymuyor. ESET’in analizine göre, saldırganlar doğrudan Microsoft 365 hesaplarını hedef alıyor ve cihaz kodu kimlik avı tekniğiyle iki faktörlü kimlik doğrulamayı (2FA) dahi aşabiliyor. 2026’nın Mart ayında 340’tan fazla kuruluşu hedef alan bir kampanyada kullanılan bu kit, siber suçlular tarafından hızla benimseniyor.
Saldırı Mekanizması: Gerçek Sayfada Sahte Yetkilendirme
EvilTokens saldırıları, dikkatlice planlanmış bir kronoloji izliyor. İlk aşamada, hedef hesabın aktif olup olmadığını doğrulamak için bir “keşif” süreci yürütülüyor. Microsoft, bu keşif aşamasının gerçek saldırıdan 10 ila 15 gün önce gerçekleştiğini tespit etti. Ardından kurbana, genellikle fatura, paylaşılan belge veya SharePoint erişim isteği gibi görünen bir e-posta gönderiliyor. Mesajda “Görüntülemek için doğrulayın” veya “İmza gereklidir” gibi masum ifadeler yer alıyor. Kurban bağlantıya tıkladığında, Microsoft’un resmi microsoft.com/devicelogin sayfasına yönlendiriliyor ve burada bir kod girmesi isteniyor. Ancak kod, saldırganın oturumuna ait olduğu için kurban farkında olmadan kendi cihazını değil, saldırganın cihazını yetkilendiriyor. Kodun geçerlilik süresi sadece 15 dakika olduğundan, zamanlama kritik önem taşıyor.
Microsoft, geçerli bir oturum açma bilgisi algıladığında saldırganın oturumuna erişim ve yenileme jetonları gönderiyor. Bu jetonlar sayesinde siber suçlular, kurumsal e-postalara, dosyalara, Teams’e, SharePoint’e, OneDrive’a ve diğer Microsoft 365 kaynaklarına tam erişim sağlıyor. Özellikle finans, İK, lojistik ve satış hesapları saldırganların birincil hedefleri arasında yer alıyor. Ele geçirilen hesaplar üzerinden veri sızdırma veya kurumsal e-posta dolandırıcılığı (BEC) saldırıları düzenleniyor.
Korunma Yolları: Farkındalık ve Teknik Önlemler
ESET uzmanları, EvilTokens’a karşı alınabilecek önlemleri sıralıyor. İlk olarak, beklenmedik cihaz kodu taleplerinin her zaman şüpheyle karşılanması gerektiği vurgulanıyor. Hiçbir belge, fatura veya platform, açık bir neden olmaksızın kullanıcıdan cihaz kodu istememelidir. Ani bir talep alındığında, derhal işverenin BT veya güvenlik ekibine bildirilmesi öneriliyor. Ayrıca, oturum açma isteğini onaylamadan önce bağlamın kontrol edilmesi kritik: Hangi uygulama erişim istiyor? Hangi hesap söz konusu? Bu işlemi siz mi başlattınız? Gerçek bir Microsoft sayfası, otomatik olarak güvenli anlamına gelmiyor.
Kuruluşlar için teknik önlemler de mevcut. Koşullu Erişim ilkeleri kullanılarak cihaz kodu akışının gereksiz yere kullanılması engellenmeli ve bu akış belirli kullanıcılar, cihazlar, konumlar veya işletim sistemleriyle sınırlandırılmalıdır. Ayrıca, olağan dışı cihaz kodu kimlik doğrulamaları, tanıdık olmayan altyapılar, riskli oturum açma işlemleri, şüpheli belirteç kullanımı ve yeni gelen kutusu kuralları gibi anormallikler sürekli izlenmelidir. Bu işaretlerden herhangi biri, bir saldırının habercisi olabilir.
Güvenlik farkındalığı eğitimleri de güncellenmelidir. Çalışanlar, modern kimlik avı saldırılarının her zaman sahte bir sayfaya parola girilmesini gerektirmediğini; bazen saldırganın, gerçek bir sayfada gerçek bir kod girmelerini isteyebileceğini ancak bu kodun yanlış cihaz için olduğunu anlamalıdır. Beklenmedik bir cihaz kodu talebi alan çalışanlar, derhal BT ekiplerini bilgilendirmelidir. Bu ekipler, oturum açma günlüklerini inceleyerek, oturumları iptal ederek, yenileme belirteçlerini geçersiz kılarak, kötü amaçlı gelen kutusu kurallarını kaldırarak ve güvenliği ihlal edilmiş hesabı geçici olarak devre dışı bırakarak müdahale edebilir.
EvilTokens, siber güvenlik dünyasında parolasız tehditlerin yükselişini gözler önüne seriyor. Geleneksel kimlik avı yöntemlerinin aksine, bu saldırılar meşru kimlik doğrulama akışlarını manipüle ederek 2FA gibi güvenlik katmanlarını aşıyor. Uzmanlar, bu tür saldırılara karşı en etkili savunmanın sürekli farkındalık ve proaktif teknik kontroller olduğunu belirtiyor. Kuruluşların, çalışanlarını düzenli olarak eğitmesi ve cihaz kodu akışını sıkı politikalarla yönetmesi gerekiyor.
Kaynak: Beyaz Haber Ajansı