Fişinq hücumları həyata keçirən təhdid aktorları, təşkilatların domenlərini təqlid etmək və daxildən göndərilmiş kimi görünən e-poçtlar yaymaq üçün e-poçt marşrutlaşdırma ssenarilərindən və səhv konfiqurasiya olunmuş spoof (saxtalaşdırma) qoruma mexanizmlərindən sui-istifadə edirlər.
Microsoft Threat Intelligence komandası çərşənbə axşamı dərc etdiyi hesabatda bildirib: “Təhdid aktorları bu vektordan Tycoon 2FA kimi müxtəlif phishing-as-a-service (PhaaS) platformaları ilə əlaqəli çoxsaylı fişinq mesajlarını çatdırmaq üçün istifadə ediblər. Bu mesajlara səsli poçt bildirişləri, paylaşılan sənədlər, insan resursları şöbələrindən gələn bildirişlər, şifrənin sıfırlanması və ya müddətinin bitməsi mövzulu məktublar və digər oxşar məzmunlar daxildir ki, nəticədə istifadəçi məlumatlarının (hesab məlumatlarının) ələ keçirilməsinə yönəlir.”
Hücum vektoru tamamilə yeni olmasa da, texnologiya nəhəngi bildirib ki, 2025-ci ilin may ayından etibarən bu taktikanın istifadəsində kəskin artım müşahidə olunur. Bu, müxtəlif sənaye sahələrində və sektorlar üzrə çoxsaylı təşkilatları hədəf alan fürsətçi kampaniyaların bir hissəsidir. Buraya saxtalaşdırılmış e-poçtlardan istifadə etməklə təşkilatlara qarşı maliyyə fırıldaqları aparan kampaniya da daxildir.
Uğurlu hücum təhdid aktorlarına giriş məlumatlarını ələ keçirməyə və onları sonrakı fəaliyyətlərdə — məlumat oğurluğundan tutmuş biznes e-poçt kompromatasiyasına qədər — istifadə etməyə imkan verə bilər.
Problem əsasən o hallarda üzə çıxır ki, icarəçi mürəkkəb e-poçt marşrutlaşdırma ssenarisi qurub və spoof (saxtalaşdırma) qoruma mexanizmləri kifayət qədər sərt şəkildə tətbiq olunmayıb. Mürəkkəb marşrutlaşdırmaya nümunə olaraq, Microsoft 365-ə çatmazdan əvvəl poçt mübadilə qeydinin (MX record) lokal Exchange mühitinə və ya üçüncü tərəf xidmətinə yönləndirilməsi göstərilə bilər.
Bu isə hücumçuların tenantın öz domenindən göndərilmiş kimi görünən saxtalaşdırılmış fişinq mesajları ötürməsi üçün istismar oluna bilən təhlükəsizlik boşluğu yaradır. Bu yanaşmadan istifadə edən fişinq kampaniyalarının böyük əksəriyyətinin Tycoon 2FA PhaaS dəstindən faydalandığı müəyyən edilib. Microsoft bildirib ki, 2025-ci ilin oktyabr ayında bu dəstlə əlaqəli 13 milyondan çox zərərli e-poçtun qarşısını alıb.
PhaaS (Phishing-as-a-Service) alət dəstləri dələduzlara fişinq kampaniyalarını asanlıqla yaratmağa və idarə etməyə imkan verən “plug-and-play” platformalardır və bu, hətta məhdud texniki biliklərə malik şəxslər üçün belə əlçatan olur. Bu platformalar fərdiləşdirilə bilən fişinq şablonları, infrastruktur və digər alətlər təqdim edir, eyni zamanda adversary-in-the-middle (AiTM) fişinqi vasitəsilə çoxfaktorlu autentifikasiyanı (MFA) yan keçərək giriş məlumatlarının ələ keçirilməsini asanlaşdırır.
Windows istehsalçısı bildirib ki, o, həmçinin təşkilatları saxta hesab-fakturaları ödəməyə aldatmağa yönəlmiş e-poçtları da aşkarlayıb və bu, potensial maliyyə itkilərinə səbəb ola bilər. Saxtalaşdırılmış mesajlar eyni zamanda DocuSign kimi legitim xidmətləri təqlid edir və ya maaş və sosial güzəştlərlə bağlı dəyişikliklər barədə İnsan Resursları şöbəsindən göndərilmiş kimi təqdim olunur.
Maliyyə fırıldaqlarını yayan fişinq e-poçtları çox vaxt hədəf alınmış təşkilatın baş icraçı direktoru, xidmət göstərdiyini iddia edən və ödəniş tələb edən şəxs və ya şirkətin mühasibatlıq şöbəsi arasında gedən yazışmaya bənzəyir. Bu e-poçtlara sxemə saxta etibarlılıq görüntüsü vermək məqsədilə adətən üç əlavə fayl da daxil edilir:
- Minlərlə dollar məbləğinin bank hesabına köçürülməsini tələb edən saxta hesab-faktura
- Bank hesabının yaradılmasında istifadə edilən şəxsin adı və sosial sığorta nömrəsinin göstərildiyi IRS W-9 forması
- Guya dələduz hesabın açıldığı onlayn bankın əməkdaşı tərəfindən təqdim edilmiş saxta bank məktubu
Əlavə olaraq bildirilib ki, “Onlar istifadəçini fişinq açılış səhifəsinə yönləndirmək üçün e-poçtun mətnində kliklənə bilən keçidlərdən, əlavələrdə yerləşdirilmiş QR-kodlardan və ya digər üsullardan istifadə edə bilərlər. Son istifadəçi üçün ən nəzərə çarpan fərq isə mesajın daxili e-poçt ünvanından göndərilmiş kimi görünməsidir; çox vaxt ‘Kimə’ (To) və ‘Kimdən’ (From) sahələrində eyni e-poçt ünvanı göstərilir.”
Bu riski azaltmaq üçün təşkilatlara Domain-based Message Authentication, Reporting, and Conformance (DMARC) üçün reject siyasətini və Sender Policy Framework (SPF) üçün hard fail siyasətini sərt şəkildə tətbiq etmək, həmçinin spam filtrasiya xidmətləri və ya arxivləmə alətləri kimi üçüncü tərəf konnektorlarını düzgün konfiqurasiya etmək tövsiyə olunur.
Qeyd etmək lazımdır ki, MX qeydləri birbaşa Office 365-ə yönəldilmiş tenantlar bu hücum vektoruna qarşı həssas deyillər. Bundan əlavə, zərurət olmadıqda Direct Send funksiyasının söndürülməsi də tövsiyə edilir ki, bu da təşkilatın domenlərini təqlid edən (spoof edilmiş) e-poçtların rədd edilməsinə imkan versin.
