contact us

Bilgisayar korsanları MS office 365 uygulamalarına saldırıyor

11/16/2021

Birkaç yıl önce, yalnızca birkaç teknoloji konusunda bilgili kuruluşun farkında olduğu bulut teknolojisi, IT ortamında duyulmamıştı. Günümüzde işletmeler giderek dijital hale geldiğinden, bulut platformu kuruluşlar arasında kullanımın %80'inden fazlasına ulaştı.

Sınıfının en iyi üretkenlik uygulamalarından biri olan Microsoft 365, işlerini verimli bir şekilde yürütmek için tek bir platformda bir dizi hizmet getiriyor. Bu office365 artık Microsoft 365 olarak biliniyor ve şu anda en yaygın kullanılan bulut tabanlı abonelik hizmeti.

Bulut platformu, maliyet tasarrufu, işbirliğine dayalı girişimler ve operasyonel ölçeklenebilirlik sağlar. Office 365 kullanırken zorluklar daha fazladır. Office 365'in her ay 155 milyondan fazla aktif ticari kullanıcısı ile, siber suçlular için birincil hedef haline gelmiştir.

Office 365'in yeni versiyonu sadece büyük kurumlarda değil, yapay zeka özellikleri ve üretkenlik araçları sayesinde küçük işletmeler ve tüketiciler tarafından da yaygın olarak kullanılıyor.

SharePoint, OneDrive, Exchange, Teams, Word < Excel ve PowerPoint gibi çeşitli hizmetleri kapsayan Office 365'in büyümesi etkileyici oldu. Bu uygulama aracılığıyla bulutta depolanan çok miktarda veri, karmaşık bilgisayar korsanları için cazip bir hedef haline geldi.

Bilgisayar korsanları, Office 365'te depolanan çok büyük miktarda verinin farkındadır. Bu nedenle, ofis 365 uygulamalarını hedef alıyorlar. Kuruluşlar, tek bir oturum açma platformuyla diğer uygulamalara erişmek için bir ağ geçidi olarak Office 365'i de kullanır. Bilgisayar korsanları, bulut tabanlı olduğu için doğal olarak verilere büyük ilgi duyuyor ve verilere dünyanın herhangi bir yerinden bilgisayar korsanları tarafından uzaktan erişilebiliyor.

Bilgisayar korsanları, çalışanları bir kuruluşun ağını tehlikeye atmak için hedefler. Kişileri hedeflemek kolaydır. Çalışanların e-posta adreslerinin bir listesini hızlı bir şekilde alabilirsiniz. Saldırganlar sisteme girmek için kaba kuvvet veya hedefli kimlik avı kullanır ve hatta zayıf şifreleri kırar. Diğer saldırılar, kimlik bilgisi hırsızlığı gibi karmaşıktır. Bu, VPN'de oturum açmalarına, ağda gizlice hareket etmelerine ve Office 365 için erişim ayrıcalıklarını artırma fırsatlarını beklemelerine olanak tanır.

Bilgisayar korsanları tarafından Office 365'i tehlikeye atmak için kampanyalar

Bilgisayar korsanları, e-posta hesaplarını hedeflemek için kimlik avı e-postalarını kullanır. Bu sahte e-postalar, iddiaya göre bankalardan, cazip teklifler sunan hizmet sağlayıcılardan veya hatta kazançlı işler teklif edenlerden olabilir. Bu taktik, şüpheli olmayan alıcıları hesap kimlik bilgilerini teslim etmeleri için kandırmak için kullanılır. Kullanıcılar kurumsal çalışanlarsa, bilgisayar korsanlarının Office 365 hesaplarına girmesi daha kolay hale gelir.

Bilgisayar korsanları korku faktörlerinden yararlanır. Kimlik avı için yeni bir teknik, patronla bir toplantı hakkında bilgi veren posta gibiydi. Çalışan bağlantıya tıkladığı anda, oturum açma anında hesap kimlik bilgilerini çalan sahte bir Microsoft Outlook oturum açma sayfasına yönlendirildi. Bir diğer kampanya ise özgünlük izlenimi yaratan canlı sohbet özelliğidir.

Bir tane daha var. Gönderenin 'tekrar göndermesini' etkileyen bir Office 365 e-posta hesabından teslim edilemeyen bildirimler. Bağlantı tıklandığında, kullanıcıyı Office 365 e-posta oturum açma ekranına benzeyen bir kimlik avı sitesine götürür.

Kötü amaçlı yazılım sızma tekniği

Office 365 kullanıcılarını hedeflemenin başka bir yöntemi, bir kullanıcı e-postasındaki bir belgeyi yalnızca önizlerken sisteme kötü amaçlı yazılım enjekte etmektir. Office 365'in bir dezavantajı, Office Önizleme işleminin bir önizleme oluşturmadan önce belgelerin kaynağının güvenilirliğini kontrol etmemesi ve bilgisayar korsanlarının bundan yararlanmasıdır.

Bir siber güvenlik araştırma firması olan FireEye Mandiant'ın baş danışmanına göre, önemli sayıda kimlik bilgisi saldırısı ulus devlet saldırganları tarafından gerçekleştiriliyor. Bu saldırganlar, sponsorlarının görmek istediği hassas bilgilere erişmek için bulut tabanlı hizmetlerden yararlanmalarıyla ünlüdür. Office 365 ortamına sızarlar ve oradan algılanmayan her şeye erişmek için güvenlik araçlarını kullanırlar. Her posta kutusu, SharePoint belgeleri, her Ekip Sohbeti ve daha fazlası aranır ve bunlara erişilir. Ve bu yeterli değilse, saldırganlar daha da ileri giderek, onların daha fazla şirkete ve departmana erişmelerini sağlayan kimlik bilgilerini çalarak kazançlı bilgiler elde ederler.

Bu, Office 365'in saldırganların hedeflediği güvenlik açıklarına sahip olduğu anlamına gelmez. Gerçek şu ki, Office 365 Kurumsal ve Devlet Kuruluşlarının BT altyapısının o kadar temel bir parçası haline geldi ki, ihlal edilmesi gereken başlıca ve çekici hedef haline geldi.

Öte yandan, şirketler, kullanıcılar ve hatta küçük işletmeler, rastgele gerçekleşen siber suçların farkındadır ve bu nedenle kendilerini kötü niyetli saldırılardan korumak için adımlar atarlar. Ancak, bilgisayar korsanlarının stratejilerini değiştirmesi ve hedefleri değiştirmesi, güvenlik savunmasındaki iyileştirmelerin hala devam eden bir çalışma olduğu anlamına geliyor.

Güvenliği artırmak için birkaç basit adım

Artık İncil olarak ele alınması gereken ilk adım, hiçbir parolanın kolay olmadığından emin olmaktır. Kolay tahmin edilen şifreler en zayıf savunma hattıdır. Kuruluşların BT departmanları, kolayca tehlikeye atılmayan bir şifre yönetim sistemi kurmalıdır.

İkinci adım, kuruluş genelinde çok faktörlü kimlik doğrulamasını sağlamaktır. Kimlik bilgisi hırsızlığının bir parçası olarak bir parola çalınırsa, şüpheli oturum açmaları izlemek ve ikinci savunma katmanını etkinleştirmek için dahili bir izleme sistemi vardır.

Yukarıdaki ikisi, bir kuruluştaki her kullanıcının ve her uygulamanın uygulaması gereken temel ancak en büyük şeylerdir. Bu iki uygulama, ağ etkinliklerinin genellikle üçüncü taraf siber güvenlik firmalarının yardımıyla sürekli izlenmesiyle birlikte herhangi bir önemli hasarı önleyebilir.

Office 365'in iyi bir güvenliği olmasına rağmen, yine de gelişmiş kalıcı tehditlere (APT) karşı korunmanız gerekir. Bu saldırıların doğası, uzun bir süreyi kapsar ve genellikle tespit edilmez; bu, şüpheli oturum açmaları anlamak için tüm zamanların güçlü bir şekilde izlenmesi gerektiği anlamına gelir.

APT'leri izlemenin ve anlamanın yollarından biri, geceleri yüksek oturum açma işlemleridir. Birden çok sunucuda veya maksimum erişim ayrıcalıklarına sahip yüksek profilli bireysel sistemlerde yüksek hacimli olağandışı oturum açma işlemleri çoğunlukla geceleri gerçekleşir. Bunun nedeni, saldırganların dünyanın diğer tarafında yaşamasıdır.

Office 365 güvenliğini iyileştirmenin yolları

Sınır tanımayan bir bulut ortamında verileri ve uygulamaları korumak zordur. Bireyler ve küçük işletmeler, parolaları ve iki faktörlü kimlik doğrulama seçeneklerini kullanarak ve kullanıcıların ve çalışanların düzenli eğitimlerini kullanarak sistemlerini koruyabilirler. Öte yandan, büyük kuruluşlar, bulut güvenliği konusunda uzmanlaşmış ve bilgisayar korsanları tarafından kullanılan en son tekniklerin farkında olan siber güvenlik firmalarının hizmetlerini giderek daha fazla alıyor.