Mart ayında Microsoft, Midnight Blizzard (veya APT29) olarak bilinen Rus hükümeti bilgisayar korsanlarının, Microsoft müşterilerine ait veriler de dahil olmak üzere çeşitli türde bilgileri çalmak amacıyla sistemlerine girdiğini doğruladı.
Aylar geçmesine rağmen Microsoft hâlâ etkilenen müşterilerini bilgilendirme sürecinde ve uzmanların Microsoft’u spam gibi görünen e-postalar göndermesi ve hatta kimlik avı girişimleri nedeniyle eleştirmesiyle süreç pek iyi gitmiyor gibi görünüyor.
Eski bir Microsoft çalışanı ve şu anda şirketi yakından takip eden bir siber güvenlik araştırmacısı olan Kevin Beaumont, şirketleri bu Microsoft e-postalarına dikkat etmeleri konusunda uyarıyor.
“Microsoft, Rusya tarafından müşteri verilerini etkileyen bir ihlal yaşadı ve Microsoft 365 müşteri verilerinin ihlali sürecini takip etmedi. Bildirimler portalda değil, bunun yerine kiracı yöneticilerine e-posta gönderdiler.” Beaumont, LinkedIn hesabına yazdı. “E-postalar spam’e düşebilir ve kiracı yönetici hesaplarının, e-posta içermeyen, güvenli, çığır açıcı hesaplar olması gerekir. Ayrıca hesap yöneticileri aracılığıyla kuruluşlara bilgi vermediler. Haziran ayına kadar olan tüm e-postaları kontrol etmek istiyorsunuz. Oldukça yaygın.”
Microsoft’un bildirim e-postasının ana sorunlarından biri, Microsoft ile görünürde hiçbir bağlantısı olmayan bir etki alanına “güvenli bağlantı” içermesidir. Bunun yerine e-posta şu adrese bir bağlantı içerir: “purviewcustomer.powerappsportals.com.”
Bir kişi X’e “Temel olarak, kritik uyarı bir kimlik avı saldırısına benziyor” diye yazdı.
Bu bağlantı, kötü amaçlı bağlantıların tespit edilmesine yardımcı olabilecek bir site olan urlscan.io’ya yüzlerce kez gönderildi. Bu, resmi meşru Microsoft e-postasını gören ve bunun kötü amaçlı olduğunu düşünen birçok kuruluşun bulunduğunu gösteriyor.
Bu Microsoft olayı hakkında daha fazla bilginiz var mı? Çalışmayan bir cihazdan Lorenzo Franceschi-Bicchierai ile +1 917 257 1382 numaralı telefondan Signal üzerinden veya Telegram, Keybase ve Wire @lorenzofb aracılığıyla veya e-posta yoluyla güvenli bir şekilde iletişime geçebilirsiniz. TechCrunch’a SecureDrop aracılığıyla da ulaşabilirsiniz.
Urlscan.io bildirimleri ayrıca Rus hükümetinin Microsoft’a yönelik saldırısından en az yüz şirketin etkilendiğini öne sürüyor. ABD siber güvenlik kurumu CISA daha önce Rus bilgisayar korsanlarının birçok federal kurumun e-postalarını da çaldığını söylemişti.
Beaumont’un uyarıları dışında Microsoft müşterilerinin kafasının meşru bir şekilde karıştığı yönünde bazı kanıtlar mevcut. Bir Microsoft destek portalında bir müşteri, kuruluşunun aldığı e-postayı, bunun gerçek bir Microsoft e-postası olup olmadığı konusunda netlik sağlamak amacıyla paylaştı.
“Bu e-postada benim için bazı tehlike işaretleri var; TenantID talebi ve esas olarak yönetici veya üst düzey e-posta adresleri, powerapps sayfasının barebone olması ve bazı hızlı Google aramalarında bu e-postanın başlığıyla ilgili hiçbir şey bulunamaması veya bu e-postanın [sic] içerik,” diye yazdı kişi. “Bunun yasal bir Microsoft e-posta isteği olduğunu doğrulayan var mı?”
Beaumont’un LinkedIn gönderisine yorum yapan bir siber güvenlik danışmanı, müşterilerinin “birkaçının” e-postayı aldığını ve “Hepsinin bunun kimlik avı olduğundan endişelendiğini” söyledi.
“İlk bakışta bu, e-postanın meşru olduğunu onaylamak için forumlarda soru sormaya veya Microsoft hesap yöneticilerine ulaşmaya başlayan alıcılar için güven uyandırmadı. Böyle bir sağlayıcının önemli bir sorunu potansiyel olarak etkilenen kişilere iletmesi tuhaf bir yoldu. Müşteriler,” diye yazdı danışman.
Microsoft sözcüleri, TechCrunch’ın kaç kuruluşun bilgilendirildiğini veya şirketin etkilenen müşterilere bildirim şeklini değiştirmeyi planlayıp planlamadığını sorduğunda yanıt vermedi.
Kaynak: https://techcrunch.com/2024/07/10/microsoft-emails-that-warned-customers-of-russian-hacks-criticized-for-looking-like-spam-and-phishing/
Web sitemizde ziyaretçilerimize daha iyi hizmet sağlayabilmek adına bazı çerezler kullanıyoruz. Web sitemizi kullanmaya devam ederseniz çerezleri kabul etmiş sayılırsınız.
Gizlilik Politikası