Uzmanlar, siber suçluların Microsoft Dynamics 365 Müşteri Sesi kullanıcılarını yeni ve sinsi bir kimlik avı kampanyasıyla oturum açma kimlik bilgilerini vermeleri için kandırmaya çalıştıkları konusunda uyardı:
Avanan’dan gelen bir rapor, tehdit aktörlerinin Dynamics 365 Customer Voice aracılığıyla müşterinin sesli mesaj bıraktığını belirten bir bildirim e-postası göndereceğini ortaya koydu. Araştırmacılar, e-postanın kendisinin müşteriden gelen önemli bir sesli mesaja çok benzemesi ve bağlantının meşru olması nedeniyle, üzerine tıklamanın “doğal adım” olduğunu söyledi.
Dynamics 365 Customer Voice, işletmelerin müşterilerle anket yapmak, müşteri geri bildirimlerini izlemek ve düzenlemek ve geri bildirim verilerini eyleme dönüştürülebilir içgörülere dönüştürmek için kullandığı Microsoft’un müşteri ilişkileri yönetimi (CRM) aracıdır. Dahası, işletmeler müşterileriyle telefon aracılığıyla etkileşim kurmak için bunu kullanabilirler. Bu etkileşimler aracılığıyla oluşturulan veriler depolanır, bu da dolandırıcıların yararlanmaya çalıştığı şeydir.
Microsoft’u kimse engellemiyor
Ancak “Sesli Postayı Oynat” düğmesi, kurbanları, Microsoft’un oturum açma sayfasına neredeyse aynı görünen bir kimlik avı giriş sayfasına yönlendirir. Kullanıcılar oturum açmaya çalışırlarsa, kimlik bilgileri (yeni sekmede açılır) dolandırıcıların eline geçecektir.
Araştırmacılar, “Bilgisayar korsanları, son kullanıcılara ulaşmak için sürekli olarak Statik Otoyol dediğimiz şeyi kullanıyor” diye açıklıyor. “Kısacası, güvenlik tarayıcılarını geçmek için meşru sitelerden yararlanan bir teknik. Mantık şudur: Güvenlik hizmetleri Microsoft’u doğrudan engelleyemez – herhangi bir işi halletmek imkansız olurdu. Bunun yerine, güvenilir kaynaklardan gelen bu bağlantılar otomatik olarak güvenilir olma eğilimindedir. Bu, bilgisayar korsanlarının kendilerini yerleştirmeleri için bir yol yarattı.”
Araştırmacılar, Facebook, PayPal, QuckBooks ve diğerlerinin bu amaç için kötüye kullanıldığını gördüklerini söyleyerek, kötü niyetli mesajları dağıtmak için meşru hizmetleri kötüye kullanma yönteminin son zamanlarda çok fazla ilgi gördüğünü ekledi.
“Güvenlik servislerinin neyin gerçek olduğunu ve meşru bağlantının arkasında neyin yuvalandığını ortaya çıkarması inanılmaz derecede zor. Ayrıca, birçok hizmet bilinen iyi bir bağlantı görür ve varsayılan olarak onu taramaz. Neden iyi bir şey tarayalım? Bilgisayar korsanlarının umduğu şey bu” diyorlar.
Gerçek kimlik avı bağlantısının son adımdan önce görünmemesi nedeniyle saldırı nispeten karmaşıktır. “Kullanıcılara bir e-posta gövdesinde olmasalar bile tüm URL’lere bakmalarını hatırlatmak önemli olacaktır” diye uyarıyorlar.