Dolandırıcılar spam bağlantıları göndermek için Microsoft’un dahili hesabını kötüye kullanıyor

 (techcrunch.com)
1 puan yazan GN⁺ 3 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Aylar boyunca dolandırıcıların, Microsoft’un dahili e-posta adreslerini kullanarak resmi hesap bildirimleri gibi görünen spam e-postalar gönderdiği bir olay yaşanıyor
  • Sorunlu gönderici adresi msonlineservicesteam@microsoftonline.com; bu adres normalde iki aşamalı kimlik doğrulama kodları gibi önemli hesap bildirimleri için kullanılan resmi bir kanal
  • Dolandırıcılar, yeni Microsoft hesapları oluşturarak sistemdeki bir açıktan yararlanıyor, ancak somut atlatma yöntemi henüz bilinmiyor
  • Anti-spam alanında çalışan kâr amacı gütmeyen The Spamhaus Project, aylar öncesinden aynı kötüye kullanım örneklerini gözlemledi ve Microsoft’u bilgilendirdi
  • Microsoft, phishing bildirimleriyle ilgili soruşturma ve aksiyonlar yürüttüğünü, tespit ve engelleme mekanizmalarını güçlendirdiğini ve kullanım şartlarını ihlal eden hesapları sildiğini söylüyor

Olayın özeti

  • Dolandırıcılar, aylar boyunca Microsoft’un resmi hesap bildirimi göndermede kullanılan dahili e-posta adresi üzerinden spam içerikli e-postalar göndermeye imkân veren bir açıktan yararlandı
  • Dolandırıcılar yeni müşteri gibi davranarak yeni Microsoft hesapları oluşturuyor, ardından bu erişimi kullanarak Microsoft adına e-posta gönderebiliyor
  • Alıcıların e-postaları orijinal bildirim sanma riski bulunuyor
  • Microsoft şu ana kadar sorunu tamamen kontrol altına alabilmiş değil

Gönderilen spam e-postaların özellikleri

  • Geçen hafta bir TechCrunch muhabiri, birden fazla e-posta hesabında benzer yapıda çok sayıda spam e-posta aldı
    • Hepsi msonlineservicesteam@microsoftonline.com adresinden gönderildi
    • Bu adres, Microsoft’un iki aşamalı kimlik doğrulama kodları ve çevrimiçi hesaplarla ilgili önemli bildirimleri göndermek için kullandığı resmi hesap
  • E-posta konu satırları ve içerik yapısı
    • Bazı e-postalar, şüpheli işlem uyarısı gibi görünen resmi e-posta konu formatlarını taklit etti
    • Diğer e-postalar, gövdesinde yer alan web adresinde "özel bir mesaj sizi bekliyor" iddiasında bulundu
    • E-postalar oldukça özensiz hazırlanmıştı (crudely made)

Spamhaus Project’in gözlemleri

  • Anti-spam alanında çalışan kâr amacı gütmeyen The Spamhaus Project, salı günü sosyal medya paylaşımıyla aynı kötüye kullanım örneğini doğruladığını açıkladı
    • Microsoft’un hesap bildirim e-posta adresinin spam gönderimi için kötüye kullanılmasının "aylardır" sürdüğünü gözlemlediğini belirtti
  • Spamhaus: "Otomatik bildirim sistemleri bu düzeyde özelleştirmeye izin vermemeli"
  • Kurum, sorunu zaten Microsoft’a bildirmiş durumda

Microsoft’un yanıtı

  • TechCrunch hafta başında Microsoft’a ulaştığında şirket yalnızca talebi aldığını doğruladı ve son teslim saatine kadar yanıt vermedi
  • Haber yayımlandıktan sonra, dış PR ajansı üzerinden Emelia Katon Microsoft’un resmi açıklamasını iletti
    • "Phishing bildirimleriyle ilgili aktif şekilde soruşturma yürütüyor ve aksiyon alıyoruz; müşterileri korumak için çalışıyoruz"
    • Tespit ve engelleme mekanizmaları güçlendiriliyor
    • Kullanım şartlarını ihlal eden hesaplar kaldırılıyor

Benzer kötüye kullanım vakaları

İlgili okumalar

1 yorum

 
GN⁺ 3 시간 전
Hacker News görüşleri

  • Birinin microsoftonline.com alan adının gerçekten meşru olduğundan nasıl emin olabileceğini merak ediyorum. Microsoft'un alan adı yönetimi o kadar dağınık ki, şirket içinde bile sahip oldukları tüm alan varlıklarının eksiksiz bir listesine sahip olmamaları beni şaşırtmaz
    Şirketlerin spam'i ayırt etmek için alan adını doğrulamak gerektiğinde ısrar ederken, resmi olarak e-posta gönderdikleri tüm alan adlarının listesini yayımlayamamaları ironik

    • Sanırım Microsoft'un office.com gibi okunması ve hatırlanması kolay alan adlarından, m365.cloud.microsoft gibi tuhaf ve gösteriş amaçlı bir alan adına taşınmasından söz ediliyor
    • Biraz farklı bir konu ama Hindistan'da sigorta yenileme dönemlerinde günde en az 12 banka dolandırıcılığı telefonu alıyordum. Bankaların resmi telefon numaralarını yayımlamasını ve çalışanların yalnızca resmi numaraları kullanmasını zorunlu kılmasını isterdim; yakın zamanda düzenleyici kurum bunu gerçekten yaptı ve artık bankalar müşteri iletişiminde yalnızca 1600 numaraları kullanmak zorunda
      Ondan sonra banka dolandırıcılığı çağrıları sıfıra indi
    • Bluesky daha da kötü; bazı e-postalar moderation@blueskyweb.xyz adresinden geliyor
      Özellikle de kimlik gibi şeyleri o adrese göndermenizi istedikleri için, bunun dolandırıcılık olmadığını anlatan bir gönderi paylaşmak zorunda kaldılar: https://bsky.app/profile/safety.bsky.app/post/3ljp6zi7tp227
    • Üstelik e-postadaki bağlantıları tıklama takip alan adları üzerinden sarmalıyorlar ve bu alan adı bazen şirketle hiç ilgisi olmayan Mailgun gibi bir hizmet oluyor
      Bu yüzden tıklamak üzere olduğunuz bağlantıyı kendiniz kontrol etseniz bile, meşru bir e-posta sanki dolandırıcılık alan adına gidiyormuş gibi görünüyor
    • Aklıma ilk gelenleri sorguladım; internalmicrosoft.com ve microsoftinternal.com hâlâ kayıt edilebiliyordu. Bu kadar büyük bir kötüye kullanım alanı varken resmi alan adı paketini çok daha sıkı tutmak istersiniz diye düşünüyorum

  • Yarı alakalı bir not olarak, Microsoft güvenliği gerçekten berbat
    Geçen hafta boyunca Microsoft Authenticator sürekli farklı yerlerden giriş denemeleri olduğunu bildirdi, ama giriş geçmişi sayfası tamamen boştu. Kendi girişlerim bile görünmüyordu
    Bunun parola sızıntısı olduğunu düşünebilirsiniz ama değil. Uygulamayı açık tuttuğunuz varsayılan giriş akışı e-posta + Authenticator ve parola gerekmiyor. Daha da saçması, bu seçeneği uygulamadan değiştiremiyor olmanız
    Microsoft, o hesabın hâlâ var olmasının tek nedeninin Minecraft'ı satın almış olmaları olduğunu fark edip hayatımı zorlaştırmayı bırakmalı

    • Microsoft'ta biri hesabınızla çok fazla başarısız giriş denemesi yaparsa hesabın kilitlenip doğru parola girseniz bile parola sıfırlama istenmesi gibi harika bir özellik de var
      Parolayı değiştirdikten sonra bile telefondan e-postaya giriş yapamadım, ben de vazgeçtim. Zaten o e-postayı yalnızca birkaç şey için kullanıyorum
    • Bunun yalnızca önceki oturum çerezi tarayıcıda duruyorsa ya da IP değişmemişse geçerli olduğunu sanıyordum
      Düzeltme: Bunu yeni bir IP ve Firefox gizli pencereyle bizzat denedim, doğruymuş. E-postayı girip uygulama bildirimini seçebiliyorsunuz
    • Ben de aynı şeyi yaşadım. Authenticator "giriş yapıldı" diyerek onay istiyor, ama güvenlik sayfasından kontrol ettiğimde hiçbir kayıt görünmüyor
      İlk başta korkup bulabildiğim tüm güvenlik ayarlarını kurcaladım, ama sanki hiç olmamış gibi görünüyordu
      İkinciden sonra sadece görmezden geldim ama yine de rahatsız edici. Varsayılan Authenticator akışında yanlışlıkla doğru sayıya basma ihtimali de var
    • Birkaç aydır bende de aynı durum oluyordu; e-posta adresini değiştirince bildirimler kesildi
      Aslında yalnızca daha öncekiyle aynı posta kutusuna giden bir takma adı değiştirmiş oldum
    • Aynı şirket SMS iki faktörlü kimlik doğrulamayı kaldırıp insanları kendi berbat Authenticator uygulamasını kullanmaya zorluyor

  • Şirket alan adımız m ile başlıyor. Son zamanlarda birkaç kişi rn ile başlayan alan adlarından gelen phishing e-postalarına kandı, çünkü Outlook yazı tipinde ikisi neredeyse aynı görünüyor

  • Bir zamanlar Booking üzerinden otel rezervasyonu yapmıştım ve Booking site alan adından gelen e-postalar ile DM'ler üzerinden, otelden gelmiş gibi görünen bir phishing girişimi aldım
    O sırada incelediğimde bunun otel hesabının ele geçirilmesinden çok, Booking tarafındaki bir mesajlaşma/e-posta uç noktasının benzer şekilde kötüye kullanılması gibi görünüyordu
    Aynı türden olup olmadığını bilmiyorum ama ilginç; özellikle de bunun Microsoft'a zaten bildirilmiş olmasına rağmen hiçbir şey yapılmamış olması dikkat çekici

    • Benim gördüğüm tüm PayPal örnekleri otel e-postasının ya da Booking hesabının ele geçirildiği durumlar
      Misafir olarak otel sistemlerinden kötü amaçlı yazılım ya da uzaktan erişim araçlarını kaldırmalarına "yardım ettiğim" ondan fazla vaka oldu

  • Şirketlerin milyon tane farklı alan adı üretmek yerine internal.microsoft.com gibi alt alan adları kullanmasının bariz çözüm olduğunu düşünüyorum, ama buradaki hiç kimsenin bunu bile gündeme getirmemesi ne kadar gerçeklikten kopuk olunduğunu gösterdiği için üzücü

    • Hatta ellerinde .microsoft bile varken neden bunu yapmadıklarını anlamıyorum
    • Kesinlikle doğru
      Bir keresinde Almanya'daki bir devlet kurumu şirketimizden veri dışa aktarımı talep eden bir mektup gönderdi ve findrive-ni.de adresine yüklememizi istedi
      Aslında meşruydu ama Niedersachsen eyalet alan adının bir alt alan adı değildi ve resmi sitelerde de hiçbir referansı yoktu

  • Her gün Google sunucularından gelen 20 ila 30 spam e-postası alıyorum. Eğlencesine bunları ayrı bir SPAM klasörüne ayırıyorum
    Kiminle iletişime geçmem gerektiğini, Google'ın bunu durdurmasını nasıl sağlayabileceğimi ya da hizmet kötüye kullanımını nereye bildireceğimi bulamıyorum. Hizmetin tamamı fiilen dev bir "defol git, seninle iletişim kurmak istemiyorum" duvarı gibi
    Ben de bir yazı yayımlayıp buradaki HN'ye düşmesini mi sağlamalıyım diye düşünüyorum. Belki ancak o zaman Google'dan biri bakma motivasyonu bulur

    • Ben de bir kez o tavşan deliğine düştüm. Bulabildiğim tüm kötüye kullanım bildirim kanallarını denedim
      network-abuse@ beni Google Cloud kötüye kullanım bildirim formuna yönlendirdi ve orada, "raporda belirtilen IP Google Cloud üzerinde barındırılmadığı için işlem yapamayız" dendi
      Gmail kötüye kullanım bildirimine ise hiç yanıt gelmedi. Sonunda Rspamd içinde Firebase ile ilgili DKIM tanımlayıcılarını engelledim
    • Şurayı deneyebilirsiniz: https://support.google.com/mail/contact/abuse?hl=en
      Geçen hafta phishing e-postası gönderen bir hesabı bildirdim ama bunun esasen bir kara delik olduğu, hiçbir şey beklememem gerektiği söylendi

  • Meta'da da Business Manager özelliklerinden birinde benzer bir açık vardı ya da hâlâ var. Saldırgan, ilk gövde metnini tamamen kontrol edebildiği için e-posta oldukça inandırıcı görünüyor
    Bunu bildirmeye çalıştım ama tamamen zaman kaybıydı. Bug bounty spam'i o kadar fazla ki, güvenlik başvuru süreci ara sıra gelen gerçek sorunları da eliyor gibi görünüyor

    • Bu tür e-postaları o kadar uzun süredir alıyorum ki, yaygın bir sorun değil de yalnızca ben mi hedef alınıyorum diye düşünmeye başladım. Çünkü Meta'nın hiçbir şey yapmadığı izlenimi veriyordu
      E-postalar gerçekten noreply@business.facebook.com adresinden geliyor ve aşağıdaki gibi bir metin içeriyor. Meta şablonunun hangi kısmı, kullanıcı girdisinin yaratıcı biçimde kötüye kullanılmış hangi kısmı, çöz çözebilirsen
      Your Meta's Page may be at risk due to unusual activity...
      Your Page is under restriction review Contact Meta Support: metafanpageviolate@gmail.com ...

  • Benzer bir şey PayPal'da da mı oluyor? PayPal alan adından gelmiş gibi görünen ama bariz şekilde dolandırıcılık olan e-postalar alıyorum

    • Gördüğüm PayPal vakaları genelde yüksek tutarlı para talebi gönderip, gerekçe için serbest metin alanına "bunun dolandırıcılık olduğunu düşünüyorsanız [aslında dolandırıcılık numarası olan] şu numarayı arayın" gibi sahte bir not yazma şeklindeydi

  • Yakın zamanda Google MX sunucularından gelen tonla spam aldıktan sonra X-Google-Group-Id başlığı olan tüm e-postaları engelleyince durdu
    Bunun nasıl mümkün olduğunu bilmiyorum ama içerik %100 spamcinin kontrolündeydi ve ortada hiçbir Google şablonu yoktu

  • Geçmişte @akamai.com adresinden gelen bir Coinbase dolandırıcılık e-postası almıştım
    Sanırım Akamai'nin satın aldığı şirketlerden birinin SPF yapılandırması bozuktu