FBI, Microsoft 365 kullanıcılarını hedef alan ve özellikle Teams, Outlook ve OneDrive platformlarında hızla yayılan bir siber dolandırıcılık kampanyası hakkında acil bir güvenlik uyarısı yayınladı. Kali365 adı verilen bu saldırı platformu, OAuth (Açık Yetkilendirme) cihaz kodlarını hedef alarak, çok faktörlü kimlik doğrulama (MFA) katmanını etkisiz hale getiriyor. FBI, kamuoyunu bu tehdide karşı dikkatli olmaya çağırırken, saldırganların gerçek zamanlı olarak hesaplara sızabildiğini ve hassas verilere erişebildiğini belirtti.
Kali365 Platformunun Çalışma Yöntemi
Kali365, adından da anlaşılacağı üzere, siber suçluların kullanımına sunulmuş bir saldırı platformudur. Bu platform, Microsoft 365 hizmetlerindeki OAuth kimlik doğrulama sürecini manipüle ederek çalışıyor. OAuth, üçüncü taraf uygulamaların kullanıcı adına belirli kaynaklara erişmesine olanak tanır ve genellikle cihaz kodları adı verilen geçici kodlar kullanılır. Saldırganlar, bu kodları çeşitli sosyal mühendislik taktikleriyle ele geçiriyor. Örneğin, bir kullanıcıyı sahte bir Microsoft oturum açma sayfasına yönlendirerek veya kimlik avı e-postaları göndererek, kullanıcının bilgisi dışında bir cihaz kodu üretilmesini sağlıyorlar. Bu kod, saldırganın cihazına yetki verdiğinde, saldırgan kurbanın hesabına tam erişim elde ediyor ve çok faktörlü kimlik doğrulama atlatılmış oluyor.
Saldırganlar bu yöntemle kurumsal e-posta hesaplarını ele geçirip, şirket içi yazışmaları okuyabiliyor, OneDrive'da saklanan dosyalara ulaşabiliyor ve Teams toplantılarına sızabiliyor. FBI, bu yöntemin özellikle kurumsal kullanıcıları hedef aldığını ve saldırganların genellikle fidye yazılımı, veri hırsızlığı veya kurumsal kimlik avı gibi daha büyük çaplı saldırılara zemin hazırladığını belirtiyor.
Küresel Etki ve Alınması Gereken Önlemler
Bu tür bir saldırı, küresel çapta milyonlarca Microsoft 365 kullanıcısını tehdit ediyor. Özellikle hibrit çalışma modellerinin yaygınlaşmasıyla birlikte, kurumsal güvenlik açıkları daha da kritik hale geldi. FBI ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu saldırılara karşı kullanıcıların aşağıdaki önlemleri almasını tavsiye ediyor: OAuth uygulama izinlerini düzenli olarak gözden geçirin, yalnızca güvenilir uygulamalara izin verin; çok faktörlü kimlik doğrulamayı mümkün olduğunca güçlü bir şekilde yapılandırın (cihaz kodlarına dayanmayan yöntemler tercih edilmeli); şüpheli bağlantılara veya istenmeyen oturum açma istemlerine karşı dikkatli olun; bir güvenlik olayı durumunda hemen BT departmanına haber verin. Microsoft da konuyla ilgili bir açıklama yaparak, kullanıcılarını bu tür saldırılara karşı bilinçlendirmek için rehberler yayınladı ve platform güvenliğini artırmak için adımlar attığını duyurdu.
Türkiye Açısından Değerlendirme
Türkiye'de de yaygın olarak kullanılan Microsoft 365 hizmetleri, kamu kurumları, özel sektör ve bireysel kullanıcılar tarafından yoğun bir şekilde tercih edilmektedir. Kali365 benzeri bir saldırı, Türk şirketlerinin veri güvenliğini tehlikeye atabilir ve kurumsal istihbarat sızıntılarına yol açabilir. Türkiye'nin artan siber tehditlerle mücadele kapasitesi göz önüne alındığında, bu tür uyarıların dikkate alınması ve ulusal siber güvenlik stratejilerinin güncellenmesi önem arz ediyor. Özellikle kilit altyapı sektörlerinde faaliyet gösteren kurumların, OAuth tabanlı kimlik doğrulamayı yeniden değerlendirmesi ve alternatif güvenlik protokolleri uygulaması gerekiyor.
