Gizlenen Kimlik Avı Dalgaları Geleneksel E-posta Kalkanlarını Kırıyor

Siber güvenlik dünyası, geleneksel savunma mekanizmalarını aşan yeni bir tehditle karşı karşıya. Özellikle 2026 yılının Temmuz ayında Amerika Birleşik Devletleri ve Avrupa genelindeki işletmeleri hedef alan son EvilTokens kampanyası, e-posta güvenliğindeki kritik bir kör noktayı gözler önüne seriyor. Bu yeni nesil gizlenen kimlik avı tekniği, kötü niyetli sayfayı kurbanın tarayıcısında şifresi çözülüp görünür hale gelene kadar gizli tutuyor. Bu durum, kurumlar için ciddi bir risk oluşturuyor; zira klasik URL kontrol sistemleri saldırıyı fark edemezken, Microsoft 365 erişimi ve hassas kurumsal veriler tehlikeye giriyor.
Tarayıcıda Canlanan Tehdit: Teknik Detaylar
EvilTokens saldırıları, kimlik avı bağlantısının ilk incelemeler sırasında tamamen zararsız görünmesini sağlayarak dikkat çekiyor. Ancak bu bağlantı, tarayıcıda açıldığında bambaşka bir hikaye anlatıyor ve genellikle Microsoft 365 hesaplarının ele geçirilmesiyle sonuçlanıyor. Saldırganlar, kurbanları meşru bir Microsoft oturum açma akışını tamamlamaya ikna etmek için Microsoft Cihaz Kodu Kimlik Avı yöntemini kullanıyor. Bu taktik sayesinde doğrudan parola çalmaya gerek kalmadan hesaplara yetkisiz erişim sağlanabiliyor.
Microsoft Cihaz Kodu Kimlik Avı, kullanıcıdan doğrudan kullanıcı adı ve parola istemek yerine, Microsoft’un meşru cihaz oturum açma akışını taklit eder. Kullanıcıya, verilen bir kod ile ayrı bir cihazda (genellikle bir akıllı telefon veya farklı bir tarayıcı penceresi) oturum açması istenir. Bu kod, saldırganın kontrolündeki kötü niyetli bir web sitesine girildiğinde, saldırganın kurbanın kimlik bilgilerini ele geçirmesine olanak tanır. Özellikle çok faktörlü kimlik doğrulamanın (MFA) atlatılmasına imkan tanıyan bu yöntem, kurumsal güvenliği derinden sarsmaktadır, çünkü kullanıcılar genellikle bu akışın meşru olduğuna inanır ve şüphelenmezler.
Saldırının gerçek yüzü, sayfa tarayıcıda açılana kadar gizli kalıyor. Kötü niyetli HTML içeriği, AES-GCM şifrelemesiyle korunuyor ve yalnızca tarayıcı tarafından şifresi çözülüp Belge Nesne Modeli (DOM) içinde işlendiğinde görünür hale geliyor. AES-GCM (Authenticated Encryption with Associated Data – Galois/Counter Mode), modern şifreleme standartlarından biridir ve hem veri gizliliğini hem de bütünlüğünü sağlar. Saldırganlar, bu güçlü şifrelemeyi kullanarak kötü amaçlı yüklerini, e-posta güvenlik ağ geçitlerinin veya statik analiz araçlarının tespiti için neredeyse imkansız hale getirir. Tarayıcıda bir JavaScript kodu, bu şifrelenmiş içeriği alır, anahtarı kullanarak şifreyi çözer ve ardından HTML DOM’una enjekte eder. Bu süreç, saldırının dinamik bir şekilde ortaya çıkmasına neden olur ve güvenlik çözümlerinin çoğu için bir ‘kör nokta’ oluşturur.
Bu, statik URL kontrolleri ve ağ düzeyindeki güvenlik önlemlerinin, çalışanın gerçekte ne gördüğünü algılayamadan ilk yanıtı yakalayabileceği anlamına geliyor. Geleneksel güvenlik araçları, bir bağlantıyı veya eki tararken genellikle statik analiz yöntemleri kullanır; yani içeriği çalıştırmadan incelerler. Ancak EvilTokens gibi saldırılarda, kötü niyetli içerik ancak tarayıcıda tam olarak işlendiğinde, yani dinamik bir ortamda ortaya çıkar. Bu durum, güvenlik çözümleri ile gerçek tehdit arasında bir görünürlük boşluğu yaratır. Böylece, saldırının görünürlük boşluğu, güvenlik ekipleri için ciddi sorunlara yol açıyor.
Görünürlük boşluğunun yol açtığı başlıca riskler arasında Microsoft 365 hesaplarının daha uzun süre risk altında kalması, olay müdahale ve kontrol kararlarının gecikmesi bulunuyor. Ayrıca, kurumsal e-postalara, dosyalara ve bulut hizmetlerine yetkisiz erişim sağlanması, kıdemli analistlere iletilen uyarıların belirsizliğinin artması da bu durumun sonuçları arasında. Güvenlik ekiplerinin üzerindeki soruşturma yükü ve operasyonel maliyetler yükselirken, ilgili altyapıyı engellemek için gerekli kanıtlar da eksik kalabiliyor. Bu da tam kapsamlı bir savunma geliştirmeyi zorlaştırıyor.
Hedefte Kimler Var? Sektörlere Yönelik Kapsamlı Risk
Yapılan analizler, EvilTokens faaliyetlerinin Amerika Birleşik Devletleri ve Avrupa’da yoğunlaştığını gösteriyor. Teknoloji, üretim, eğitim, bankacılık, danışmanlık, finansal hizmetler ve yönetilen güvenlik sağlayıcıları (MSSP’ler) gibi kritik sektörler bu saldırıların ana hedefleri arasında yer alıyor. Bu durum, söz konusu sektörler için gizlenen kimlik avının ne denli tehlikeli olduğunu açıkça ortaya koyuyor. Özellikle, bu sektörlerin hassas verilerle sıkça işlem yapması, riski daha da artırıyor.
Bu sektörlerin hedef alınmasının ardında yatan temel nedenler arasında, yüksek değerli fikri mülkiyet, büyük miktarda kişisel tanımlayıcı bilgi (PII), finansal veriler ve kritik altyapı sistemlerine erişim potansiyeli bulunmaktadır. Örneğin, teknoloji sektörü araştırma ve geliştirme (Ar-Ge) verileri ve patent bilgilerini barındırırken, bankacılık ve finansal hizmetler sektörü doğrudan müşteri hesapları ve işlem verileriyle ilgilenir. Eğitim kurumları ise öğrencilerin ve personelin hassas kişisel bilgilerini tutar. MSSP’ler ise birden fazla kuruluşa hizmet verdikleri için, bir MSSP’nin ele geçirilmesi, saldırganlara geniş bir müşteri yelpazesine erişim kapısı aralayabilir ve bu da tedarik zinciri saldırıları için ciddi bir risk oluşturur.
15.000 kuruluştan toplanan veriler, 2026 yılında kimlik avı riskine maruz kalma oranlarının belirli sektörlerde kaygı verici seviyelere ulaştığını gösteriyor. Danışmanlık sektöründe bu oran %75,6’ya, finansal hizmetlerde %72,8’e, üretimde %71,9’a, teknolojide %67,9’a, bankacılıkta %66,7’ye ve MSSP’lerde %66,1’e ulaştı. Bu yüksek oranlar, tek bir Microsoft 365 hesabının ele geçirilmesinin dahi hassas verilerin açığa çıkmasına, iş e-postası uzlaşmaları ve dolandırıcılık vakalarına yol açabileceği ve pahalı olay müdahale süreçlerini tetikleyebileceği gerçeğini vurguluyor.
Ele geçirilen bir hesabın yaratabileceği etkiler, basit bir veri hırsızlığının ötesine geçer. Saldırganlar, ele geçirdikleri hesap üzerinden iç ağlarda yanal hareket edebilir, daha fazla kimlik bilgisi toplayabilir, kritik sistemlere erişim sağlayabilir ve hatta fidye yazılımı veya veri sızıntısı gibi daha yıkıcı saldırıları tetikleyebilir. Özellikle finansal hizmetler ve danışmanlık gibi sektörlerde, müşteri güveninin sarsılması, itibar kaybı ve düzenleyici kurumlar tarafından uygulanacak ağır para cezaları gibi uzun vadeli sonuçlar kaçınılmaz hale gelebilir. Bu durum, sadece anlık maddi kayıplarla sınırlı kalmayıp, kurumun piyasa değerini ve uzun vadeli sürdürülebilirliğini de olumsuz etkileyebilir.
Saldırı ne kadar uzun süre gizli kalırsa, ele geçirilen tek bir hesabın daha geniş çaplı bir kurumsal olaya dönüşme olasılığı o kadar artıyor. Bu durum, özellikle yüksek riskli sektörlerde, saldırıların erken tespiti ve hızlı müdahale kapasitesinin kritik önem taşıdığını ortaya koyuyor. Kurumlar, bu tür gizli tehditlere karşı daha proaktif ve dinamik savunma stratejileri geliştirmek zorunda kalıyor.
Görünmez Tehlikelerle Mücadelede Yeni Yaklaşımlar
Gizlenen kimlik avı saldırılarını etkili bir şekilde ifşa etmenin en pratik yolu, şüpheli bağlantıları tarayıcı içi veri denetimini destekleyen gelişmiş bir sanal ortamda açmaktan geçiyor. Bu tür etkileşimli analiz platformları, analistlerin AES-GCM şifrelemesinin ötesine geçerek, tarayıcının kötü niyetli içeriği DOM’da işlediği anı doğrudan gözlemlemesine olanak tanıyor. Bu sayede, statik analizlerde gözden kaçan detaylar, dinamik incelemelerle net bir şekilde ortaya çıkıyor ve saldırının tüm aşamaları belgelenebiliyor.
Geleneksel sanal ortamlar genellikle bir URL’yi ziyaret eder ve basit bir ekran görüntüsü alırken, gelişmiş sanal ortamlar tam teşekküllü bir web tarayıcısını (örneğin Chromium tabanlı bir tarayıcıyı) izole bir ortamda çalıştırır. Bu, JavaScript kodlarının tam olarak yürütülmesini, dinamik içerik yüklenmesini ve DOM manipülasyonlarının gerçek zamanlı olarak izlenmesini sağlar. Bu ortamlar, sadece nihai sayfayı değil, aynı zamanda sayfanın yüklenme sürecindeki tüm ağ isteklerini, JavaScript yürütmelerini, DOM değişikliklerini ve kullanıcı etkileşimlerini (fare hareketleri, klavye girişleri gibi) detaylı bir şekilde kaydeder. Böylece, şifrelenmiş içeriğin ne zaman ve nasıl deşifre edildiği, hangi API çağrılarının yapıldığı ve hassas verilerin hangi formlara girilmesinin istendiği gibi kritik bilgiler açığa çıkarılabilir.
Bu tür sanal ortamlar, güvenlik ekiplerine sadece saldırının nasıl işlediğini görmekle kalmayıp, aynı zamanda daha hızlı yanıt verme ve olayı kontrol altına alma yeteneği de sağlıyor. Elde edilen detaylı kanıtlar, ilgili altyapının engellenmesi ve gelecekteki saldırılara karşı savunma
Sık Sorulan Sorular
İlgili Makaleler
- ›Sahte 7-Zip Yükleyicileri, Cihazları Konut Proxy Ağına Katıyor
- ›Kimlik Doğrulama Adımı: Siber Saldırıların Yeni Cephesi
- ›Tenda Router Yazılımlarında Gizli Yönetici Arka Kapısı Riski
- ›Dijital Güvenlikte Yeni Dönem: 2026’nın En İyi Yapay Zeka ve Kimlik Korumalı Antivirüs Programları
- ›Lüks Perakendeciye Siber Saldırı: Windows Cihaz Kimliği Hacker'ı Ele Verdi