01 / İncelenen iddia
Dosyanın merkezindeki cümle
Microsoft Defender Research, 14-16 Nisan 2026 arasında 26 ülkede 35 binden fazla kullanıcıyı ve 13 binden fazla kurumu hedef alan çok aşamalı bir phishing kampanyası gözlemledi. Kampanya, çalışanı iç soruşturma veya uyum dosyası baskısıyla sahte akışa çekiyor; son aşamada oturum token'ı ele geçirmeye çalışan AiTM düzenine bağlanıyor.
02 / Kayıt seti
Hangi açık kaynaklar birlikte okundu?
Microsoft Security Blog'un 4 Mayıs 2026 tarihli tehdit istihbaratı analizi
AHA'nın sağlık sektörü etkisine dair 8 Mayıs 2026 tarihli kısa uyarısı
Microsoft'un paylaştığı kampanya zaman çizgisi, sektör dağılımı ve IOC listesi
PDF eki, sahte CAPTCHA, ara sayfa ve son oturum açma adımını gösteren saldırı zinciri
03 / Doğrulama
Kaynakların gösterdiği
- 01
Önce iddia daraltıldı: konu yalnızca şifre çalmak değil, oturum token'ı ele geçirmeye çalışan çok aşamalı bir AiTM phishing akışı.
- 02
Kaynak zinciri Microsoft'un birincil teknik analizinden başlatıldı; kampanya tarihi, hedef sayısı, ülke sayısı ve sektör dağılımı buradan alındı.
- 03
Sosyal mühendislik tarafında aynı tema takip edildi: iç uyum dosyası, davranış kuralları incelemesi, zaman baskısı ve kişiye özel PDF hissi.
- 04
Teknik akış ayrı yazıldı: e-posta, PDF linki, saldırgan kontrollü domain, CAPTCHA kapısı, ara sayfa ve son oturum açma adımı.
- 05
AHA notu, sağlık sektörünün neden öne çıktığını açıklamak için ikinci bağlam kaynağı olarak kullanıldı; bu not teknik IOC yerine sektör etkisine odaklanıyor.
04 / Dosya akışı
Okuma ve sunum sırası
01
Tema
Saldırı neden davranış kuralları ve iç inceleme diliyle başladı?
02
Zincir
E-posta, PDF, CAPTCHA, ara sayfa ve oturum açma adımı nasıl bağlandı?
03
Risk
AiTM akışı neden yalnızca parola çalmaktan daha tehlikeli?
04
Bağlam
Sağlık, finans, profesyonel hizmet ve teknoloji ekipleri neden baskı altında?
05
Ders
Rapor dili: ekran görüntüsünü kanıt sanma, akışı parçalara ayır.
05 / Sınır ve belirsizlik
Bu dosya pasif okuma içindir. Alan adları denenmez, şüpheli linklere girilmez; kaynaklar yalnızca rapor dili ve saldırı zincirini anlamak için kullanılır.

