🕵️Kimlik doğrulama sonrası oturum hırsızlığı (AiTM)
Bir şifre çalmak yerine, bu teknik, mağdurun iki faktörlü doğrulama kodunu onaylamasının hemen ardından oturumu ele geçirir — saldırgan, mağdur ile gerçek hizmet arasında görünmez bir aracı olarak konumlanır. Sonuç: iki faktörlü doğrulama gerçekten yapılmıştır, ama hiçbir işe yaramamıştır. Sadece Ekim 2025'te, Microsoft, dünya genelinde Microsoft 365 hesaplarına karşı kullanılan tek bir kite ("Tycoon 2FA") bağlı 13 milyondan fazla kötü amaçlı e-postayı engelledi.
Microsoft Defender for Office 365, Ekim 2025☎️Geri arama phishing'i (TOAD)
Bağlantısı ya da eki olmayan bir e-posta: sadece şüpheli bir fatura ya da onaylanması gereken bir abonelik için geri aranması istenen bir numara. Taranacak bir URL ya da analiz edilecek bir dosya olmadığından, klasik otomatik filtreler hiçbir şey tespit etmez — dolandırıcılık tamamen telefonda gerçekleşir, sahte bir danışman mağduru uzaktan erişim kurmaya ya da kimlik bilgilerini vermeye yönlendirir. Araştırma firması Trustwave, Temmuz-Eylül 2024 arasında bu tür kampanyalarda %140 artış ölçtü; Microsoft, Norton, PayPal ve DocuSign en çok taklit edilen markalar arasındaydı.
Trustwave, 2024-2025Ortak nokta: otomasyonu aşmak, dikkati değil
Bu iki teknik, klasik anlamda teknik bir açığı istismar etmiyor — otomatik tespit araçlarının analiz edebileceği unsuru (bir bağlantı, bir ek) kaldırarak bu araçların yapısal bir sınırını istismar ediyor. Geriye kalan, meşru görünmek için inşa edilmiş bir insan etkileşimidir: orijinaliyle aynı olan bir giriş sayfası, ya da telefonda güven veren bir ses. Bu tam olarak çok kanallı bir korumanın taramaktan ziyade tanımayı öğrenmesi gereken şablon türüdür.
Sık sorulan sorular
İki faktörlü kimlik doğrulama phishing'e karşı hala koruyor mu?
Basit şifre hırsızlığına karşı hala kullanışlı, ama "adversary-in-the-middle" saldırısına karşı değil: saldırgan, mağdur kodunu doğruladıktan hemen sonra oturumu ele geçirir, yani iki faktörlü doğrulama gerçekleşmiştir — ama boşuna.
Geri arama phishing'i (TOAD) nedir?
Bağlantı ya da eki olmayan, sadece inandırıcı bir sebeple (fatura, abonelik) geri aranması istenen bir telefon numarası içeren bir e-postadır. Telefonda, sahte bir danışman mağduru bir yazılım kurmaya veya kimlik bilgilerini vermeye yönlendirir.
Bu teknikler otomatik filtrelerden neden kaçıyor?
Çünkü genellikle taranacak şüpheli bir bağlantı ya da kötü amaçlı bir ek içermezler — dolandırıcılık, telefonda ya da gerçeğini mükemmel şekilde taklit eden bir sayfada, insan etkileşimi üzerinden gerçekleşir.