Saldırının Genel Çerçevesi
Karmaşık e-posta yönlendirme yapılandırmalarında ortaya çıkan bir güvenlik açığı, tehdit aktörlerinin kendi alanlarından geliyormuş gibi görünen sahte kimlik avı e-postaları göndermesine olanak tanıyor. Bu yöntem, özellikle Microsoft 365 kiracıları arasında Mayıs 2025’ten itibaren artan bir şekilde kullanıldı. Tehdit aktörleri, Tycoon 2FA gibi phishing-as-a-service (PhaaS) platformları aracılığıyla çok çeşitli kimlik avı kampanyaları yürütüyor; bu kampanyalar sesli mesajlar, paylaşılan belgeler, insan kaynakları iletişimleri ve şifre sıfırlama taleplerini taklit ediyor.
Saldırı Zinciri ve Teknik Detaylar
Bu saldırı vektörü, posta değiştirici (MX) kayıtlarının Microsoft 365’e doğrudan yönlendirilmemesiyle ortaya çıkıyor. Örneğin, e-postalar önce yerel Exchange sunucusuna veya üçüncü taraf hizmetlere yönlendiriliyor. Bu durum, sahtecilik korumalarının etkin uygulanmaması halinde, saldırganların alan adından geliyormuş gibi görünen kimlik avı mesajları göndermesine zemin hazırlıyor. Tycoon 2FA PhaaS aracı, bu tür kampanyaların büyük çoğunluğunda kullanılıyor ve Ekim 2025’te 13 milyondan fazla kötü amaçlı e-posta engellendi.
PhaaS platformları, teknik bilgi düzeyi sınırlı dolandırıcıların bile özelleştirilebilir kimlik avı şablonları ve altyapısıyla çok faktörlü kimlik doğrulamayı (MFA) AiTM (Adversary-in-the-Middle) saldırılarıyla aşmasına imkan sağlıyor. Bu durum, kimlik bilgisi hırsızlığını kolaylaştırıyor ve iş e-postası ihlali (BEC) gibi takip saldırılarını tetikliyor.
Finansal Dolandırıcılık ve Sahte Mesajlar
Tehdit aktörleri, sahte faturalar ve meşru hizmetleri (örneğin DocuSign) taklit eden e-postalarla organizasyonları hedef alıyor. Bu mesajlar, genellikle CEO, muhasebe veya hizmet bedeli talep eden kişiler arasındaki gerçekçi konuşmaları simüle ediyor. Sahte mesajlarda banka havalesi için düzenlenmiş sahte faturalar, IRS W-9 formları ve banka mektupları gibi ekler bulunuyor. Ayrıca, kimlik avı açılış sayfalarına yönlendiren tıklanabilir bağlantılar ve QR kodları kullanılıyor.
Siber Güvenlik Ekipleri İçin Öneriler
- MX kayıtlarını doğrudan Office 365’e yönlendirin ve karmaşık yönlendirme senaryolarından kaçının.
- DMARC, SPF ve DKIM politikalarını katı şekilde uygulayarak e-posta sahtekarlığını engelleyin.
- Spam filtreleme ve e-posta arşivleme çözümlerini doğru yapılandırarak şüpheli içerikleri tespit edin.
- Doğrudan Gönderme (Direct Send) özelliğini gereksizse devre dışı bırakın.
- EDR ve SIEM sistemleriyle kimlik avı saldırılarını erken tespit için logları ve anormallikleri izleyin.
- Kullanıcı eğitimleri ile kimlik avı farkındalığını artırın ve şüpheli e-postalara karşı dikkatli olunmasını sağlayın.
- Zero Trust prensipleri doğrultusunda e-posta ve kimlik yönetimini sıkılaştırın.
- Olay müdahale planlarını güncelleyerek kimlik avı saldırılarına hızlı yanıt verin.
Kurumsal Ortamlarda Olası Senaryo
Örneğin, bir finans kurumunda karmaşık e-posta yönlendirmesi kullanıldığında, saldırganlar sahte bir muhasebe departmanı e-postasıyla yüksek tutarlı ödeme talepleri gönderebilir. Bu talepler, sahte W-9 formu ve banka mektubu gibi eklerle desteklenerek finansal kayıplara yol açabilir. Kurumun DMARC ve SPF politikaları zayıfsa, bu tür saldırılar kolayca başarılı olabilir ve uzun süre fark edilmeden kalabilir.
Teknik Özet
- Kullanılan araçlar: Tycoon 2FA PhaaS kitleri
- Hedef sektörler: Finans, insan kaynakları, genel kurumsal yapılar
- Zafiyet: Yanlış yapılandırılmış karmaşık e-posta yönlendirmesi (MX kayıtları)
- Saldırı zinciri: Sahte e-posta gönderimi → Kimlik bilgisi hırsızlığı → MFA aşımı (AiTM) → Veri sızıntısı ve BEC
- Önerilen savunma: DMARC/SPF katı politikaları, doğru MX yönlendirmesi, gelişmiş spam filtreleme, kullanıcı eğitimi, EDR ve SIEM entegrasyonu