CSINT Dosyalarına dön
Belgeli dosyaTI / Threat Intelligence

Code of conduct tuzağı: Phishing nasıl oturum token'ı çalmaya dönüştü?

Microsoft'un Mayıs 2026'da yayımladığı analiz, klasik parola avının artık tek adımlı bir sahte giriş sayfası olmadığını gösteriyor. Bu dosyada, davranış kuralları temalı e-posta, PDF eki, CAPTCHA geçişi ve AiTM akışının nasıl aynı sosyal mühendislik zincirine bağlandığını okuyoruz.

6 dk okumaPhishing / Microsoft 365 / AiTM
phishingAiTMtoken hırsızlığıMicrosoft 365tehdit istihbaratı

01 / İncelenen iddia

Dosyanın merkezindeki cümle

Microsoft Defender Research, 14-16 Nisan 2026 arasında 26 ülkede 35 binden fazla kullanıcıyı ve 13 binden fazla kurumu hedef alan çok aşamalı bir phishing kampanyası gözlemledi. Kampanya, çalışanı iç soruşturma veya uyum dosyası baskısıyla sahte akışa çekiyor; son aşamada oturum token'ı ele geçirmeye çalışan AiTM düzenine bağlanıyor.

02 / Kayıt seti

Hangi açık kaynaklar birlikte okundu?

  • Microsoft Security Blog'un 4 Mayıs 2026 tarihli tehdit istihbaratı analizi

  • AHA'nın sağlık sektörü etkisine dair 8 Mayıs 2026 tarihli kısa uyarısı

  • Microsoft'un paylaştığı kampanya zaman çizgisi, sektör dağılımı ve IOC listesi

  • PDF eki, sahte CAPTCHA, ara sayfa ve son oturum açma adımını gösteren saldırı zinciri

03 / Doğrulama

Kaynakların gösterdiği

  1. 01

    Önce iddia daraltıldı: konu yalnızca şifre çalmak değil, oturum token'ı ele geçirmeye çalışan çok aşamalı bir AiTM phishing akışı.

  2. 02

    Kaynak zinciri Microsoft'un birincil teknik analizinden başlatıldı; kampanya tarihi, hedef sayısı, ülke sayısı ve sektör dağılımı buradan alındı.

  3. 03

    Sosyal mühendislik tarafında aynı tema takip edildi: iç uyum dosyası, davranış kuralları incelemesi, zaman baskısı ve kişiye özel PDF hissi.

  4. 04

    Teknik akış ayrı yazıldı: e-posta, PDF linki, saldırgan kontrollü domain, CAPTCHA kapısı, ara sayfa ve son oturum açma adımı.

  5. 05

    AHA notu, sağlık sektörünün neden öne çıktığını açıklamak için ikinci bağlam kaynağı olarak kullanıldı; bu not teknik IOC yerine sektör etkisine odaklanıyor.

04 / Dosya akışı

Okuma ve sunum sırası

01

Tema

Saldırı neden davranış kuralları ve iç inceleme diliyle başladı?

02

Zincir

E-posta, PDF, CAPTCHA, ara sayfa ve oturum açma adımı nasıl bağlandı?

03

Risk

AiTM akışı neden yalnızca parola çalmaktan daha tehlikeli?

04

Bağlam

Sağlık, finans, profesyonel hizmet ve teknoloji ekipleri neden baskı altında?

05

Ders

Rapor dili: ekran görüntüsünü kanıt sanma, akışı parçalara ayır.

05 / Sınır ve belirsizlik

Bu dosya pasif okuma içindir. Alan adları denenmez, şüpheli linklere girilmez; kaynaklar yalnızca rapor dili ve saldırı zincirini anlamak için kullanılır.