GÜNCEL
Xbox'ın disk-dijital dönüşümü test aşamasında: hangi oyunlar çalışıyor, hangisi çalışmıyorSuicide Squad'ın 200 milyon dolarlık çöküşü: AAA stüdyoları neden live-service tuzağına düştüMicrosoft 365'te OAuth tokeni saniyede çalan ConsentFix: MFA'yı atlatıp şirket verilerine açılan kapıSony 2028'den sonra PlayStation oyunlarını sadece dijitale satacak: disk çağı biliyor mu?Samsung Galaxy Z Fold 8 Ultra'nın aramid fiber aksesuarları premium stratejisini açığa çıkarıyorBioShocking: AI tarayıcılar kurgusal bağlamla güvenlik engellerini nasıl aşıyorPS6'nin taşınabilir sürümü geliyor — Sony'nin handheld oyun pazarında başarısı garantili değilSteamOS PC'ler Windows maliyetini ortadan kaldırıyor ama Nvidia desteği yok—şimdilik niş pazarda kalacakXbox'ın disk-dijital dönüşümü test aşamasında: hangi oyunlar çalışıyor, hangisi çalışmıyorSuicide Squad'ın 200 milyon dolarlık çöküşü: AAA stüdyoları neden live-service tuzağına düştüMicrosoft 365'te OAuth tokeni saniyede çalan ConsentFix: MFA'yı atlatıp şirket verilerine açılan kapıSony 2028'den sonra PlayStation oyunlarını sadece dijitale satacak: disk çağı biliyor mu?Samsung Galaxy Z Fold 8 Ultra'nın aramid fiber aksesuarları premium stratejisini açığa çıkarıyorBioShocking: AI tarayıcılar kurgusal bağlamla güvenlik engellerini nasıl aşıyorPS6'nin taşınabilir sürümü geliyor — Sony'nin handheld oyun pazarında başarısı garantili değilSteamOS PC'ler Windows maliyetini ortadan kaldırıyor ama Nvidia desteği yok—şimdilik niş pazarda kalacak

Microsoft 365'te OAuth tokeni saniyede çalan ConsentFix: MFA'yı atlatıp şirket verilerine açılan kapı

Mart 2026'den beri satışta olan ConsentFix aracı, kullanıcıları sahte localhost sayfasına yönlendirerek OAuth oturumunu şifre veya iki faktörlü kimlik doğrulama olmadan hırslıyor. ARToken hizmeti bu tokenleri 80+ API uç noktası üzerinden şirket posta kurallarını değiştirme, dosya çalma ve veri sızdırmaya dönüştürüyor; $1.500 başlangıç ücreti ve $500/ay abonelik modeliyle günde 10–15 saldırı başlatıyor.

OAuth Session Token Çalınması MFA'yı Neden Atlatıyor?

Microsoft 365 hesabına girmek için şifre girmene gerek yok. MFA kodu da göndermiyor. Saldırgan, tarayıcında açık olan oturumunu çalıyor ve senin yerine geçiyor. Bu, OAuth session token hırsızlığının temel mantığı: saldırgan şifreden değil, geçerli bir oturum token'ından yararlanıyor.

OAuth protokolü, modern kimlik doğrulama akışlarının omurgası. Kullanıcı bir kez giriş yaptığında, arka planda bir refresh token ve access token üretiliyor. Bu token'lar, uygulamanın her seferinde şifre istemeden oturumu sürdürmesini sağlıyor. Ancak token'ın kendisi çalınırsa, MFA ve şifre savunma hattının dışına çıkılmış oluyor. Çünkü sistem, token'ı taşıyan istemciyi zaten doğrulanmış kabul ediyor.

ConsentFix ve ARToken gibi araçlar, bu tasarım özelliğini profesyonel bir saldırı zincirine dönüştürdü. BleepingComputer'ın kaydettiği üzere, ConsentFix kullanıcılardan localhost callback linkini tarayıcıya sürüklemelerini istiyor ve OAuth session token'ını anında çalıyor. MFA ya da şifre girişi gerekmiyor. Mart 2026 başında, ConsentFix'in çalışan kod örneği ve video öğretici içeriği Rus siber suç forumlarında yayınlandı.

ConsentFix: Localhost Callback ile Saniyeler İçinde Oturum Çalınması

ConsentFix, kullanıcıyı manipüle etmek için "ClickFix" tekniğini genişletiyor. ClickFix saldırılarında kurban, ekranda gösterilen talimatları izleyerek klavye kısayollarına basıyor ve kendi cihazında saldırganın komutunu çalıştırıyor. ConsentFix ise OAuth consent flow'una odaklanıyor: sürükle-bırak hareketi, bir link gibi görünse de aslında bir callback URL'si taşıyor.

Saldırı şöyle işliyor:

1. Phishing lure genellikle Dropbox veya DocSend gibi güvenilir platformlar üzerinden gönderiliyor. Bazen parola korumalı paylaşım kullanılıyor ki güvenlik araçları e-postayı taramamasın. 2. Kurban, belge veya dosyaya ulaşmak için "erişime izin ver" talimatını okuyor ve ekranda gösterilen localhost linki tarayıcı adres çubuğuna sürüklüyor. 3. Localhost callback tetiklendiğinde, token'lar saldırganın kontrol ettiği sunucuya gönderiliyor.

Bu işlem, endpoint'te PowerShell ya da komut satırı çalıştırmayı gerektirmiyor. Tarayıcıda basit bir sürükle-bırak eylemi yeterli. Kullanıcı, Microsoft'tan gelen meşru bir onay ekranı görmüş gibi hissediyor, oysa arka planda oturum devri gerçekleşiyor.

ConsentFix'in altyapısı büyük ölçüde ücretsiz ya da yaygın bulut hizmetlerini kullanıyor. Kod, tutorial videolarla birlikte paylaşıldığı için kopyalanabilirliği yüksek. Bu, saldırı eşiğini düşürdü; ancak detection ve remediation hala mümkün.

ARToken ve EvilTokens: BEC Operasyon Ortamı Olarak Sunulan Araçlar

ARToken, yalnızca bir phishing kiti değil. Cisco Talos'un analizi, ARToken'in 80'den fazla API endpoint'i React tabanlı bir yönetim paneli üzerinden sunduğunu gösteriyor. Bu endpoint'ler arasında device code phishing, Primary Refresh Token (PRT) kalıcılığı, Outlook inbox erişimi, SharePoint veri sızdırma ve inbox rule manipülasyonu yer alıyor.

ARToken, EvilTokens adlı bir başka platformla aynı API sözleşmelerini, clientMode 'broker' semantiğini, PRT yaşam döngüsü endpoint'lerini ve deployment modellerini paylaşıyor. Sekoia ve Microsoft'un 2026 başında belgelediği EvilTokens, Mart 2026'dan bu yana günde 10–15 farklı kampanya başlattı ve yüzlerce kuruluşu hedef aldı. Cisco Talos, ARToken'i "tam bir BEC operasyon ortamı" olarak tanımladı; basit bir phishing aracı değil.

ARToken'in fiyatlandırma modeli: tek seferlik 1.500 dolar, ardından aylık 500 dolar abonelik. Bu, EvilTokens'in bilinen fiyatlandırmasıyla örtüşüyor. Platform, çok kiracılı (multi-tenant) bir PhaaS (phishing-as-a-service) olarak çalışıyor ve şu özellikleri sunuyor:

- Telegram bot bildirimleri - Phishing template editörleri - ARTBrowser adlı bağımsız Windows masaüstü tarayıcısı - Cloudflare API entegrasyonu ile phishing template'lerini Workers'a dağıtma - Device code proxy sunucularını yapılandırma

Phishing kit, yedi katmanlı anti-analysis sistemi kullanıyor: User-Agent regex kontrolü, webdriver tespiti, etkileşim telemetrisi, zamanlama kapıları, hareket deseni doğrulaması ve XOR şifreli payload.

ARToken Kampanyaları: Vendor İmzasıyla Fatura Sahteciliği

ARToken kampanyaları, yalnızca token çalmakla kalmıyor; çalınan hesapları Business Email Compromise (BEC) operasyonları için tamamen hazır hale getiriyor. Talos, 20 Nisan 2026 tarihli iki phishing e-postasını kurtardı. Bu e-postalar, Wisconsin eyaletindeki bir müteahhitin muhasebe iletişim görevlisini taklit ediyordu ve vendor fatura sahteciliği yapıyordu. Kullanılan domain, meşru SharePoint sayfasına benzeyen bir URL'di: mononapfpcom.sharepoint.com.

Phishing lure'ları, gerçek vendor ilişkilerini kullanarak e-posta filtrelerini atlatıyor. Saldırgan, meşru domain başlıklarını ve reply-to manipülasyonunu bir arada kullanıyor. Hedefe gönderilen e-posta, kurbanın gerçek bir tedarikçisinden geliyormuş gibi görünüyor. Kullanıcı, zaten alışkın olduğu bir işlem akışında düğmeye tıklıyor.

Token çalındıktan sonra ARToken paneli, şu yetenekleri sağlıyor:

- Outlook inbox okuma ve gönderme: Saldırgan, kurbanın e-posta hesabını tamamen kontrol edebiliyor. - Inbox rule oluşturma: Tespit kanıtlarını gizlemek için kurallar eklenebiliyor (örneğin, belirli konulara sahip e-postaları otomatik silme). - Çapraz hesap keyword izleme: Birden fazla hesap üzerinde anahtar kelime taraması yapılabiliyor. - Token import: Harici kaynaklardan token alınabiliyor. - Operatörler arası paylaşımlı erişim linkleri: Birden fazla saldırgan aynı hesaba erişebiliyor.

Cloudflare API entegrasyonu, saldırganların phishing sayfalarını Workers üzerine deploy etmesini ve device code proxy sunucularını yapılandırmasını sağlıyor.

Türkiye'deki Microsoft 365 Kullanıcıları İçin Risk ve Detection Çerçevesi

Türkiye'deki şirketler, özellikle KOBİ segmentinde, Microsoft 365'i finans, satın alma, insan kaynakları ve müşteri iletişimi için kullanıyor. ARToken ve ConsentFix gibi araçların hedef seçiminde coğrafi kısıtlama yok; herhangi bir Microsoft 365 kullanıcısı risk altında.

Türk şirketleri için özellikle kritik noktalar:

- Vendor ilişkileri: Tedarikçi e-postaları, özellikle fatura ve ödeme süreçlerinde yüksek güven görüyor. ARToken'in vendor impersonation taktikleri bu güveni istismar ediyor. - Parola korumalı dosya paylaşımı: Dropbox ve DocSend gibi platformlar, Türkiye'de yaygın kullanılıyor. Güvenlik araçları bu paylaşımları taramakta zorlanıyor. - Endpoint monitoring eksikliği: Birçok KOBİ, EDR (Endpoint Detection and Response) çözümü kullanmıyor. PowerShell aktivitesi ve anormal oturum açmaları tespit edecek araçlar yok.

Detection stratejisi şu bileşenleri içermeli:

1. Identity monitoring: Olağandışı coğrafyalardan gelen oturum açmaları tespit et. Örneğin, aynı hesap 5 dakika içinde hem İstanbul'dan hem de Frankfurt'tan bağlanıyorsa, bu bir alarm sinyali. 2. Endpoint telemetri: PowerShell ve komut satırı aktivitelerini logla ve analiz et. 3. Consent flow audit: OAuth consent ekranlarında hangi uygulamalara izin verildiğini düzenli olarak gözden geçir. Microsoft 365 admin portalı, tüm consent verilerini gösterebiliyor. 4. Inbox rule anomaly detection: Ani inbox rule değişikliklerini tespit et. Özellikle "delete" ya da "forward" kuralları şüpheli.

ARToken'in yedi katmanlı anti-analysis sistemini tamamen bypass etmek zordur; endpoint ve identity monitoring hala detection imkanı sunuyor. Bu, kurumun bu araçları aktif olarak kullandığı anlamına geliyor.

OAuth Session Token nedir ve Neden Şifreden Daha Değerli?

OAuth session token, bir kullanıcının uygulamaya giriş yaptıktan sonra arka planda oluşturulan kimlik belgesi. Bu token'lar iki türde gelir:

- Access token: Kısa ömürlü (genellikle 60–90 dakika), uygulamanın API'ye erişmesini sağlar. - Refresh token: Uzun ömürlü (haftalar ya da aylar), access token yenilemek için kullanılır.

Microsoft 365'te, bir kullanıcı bir kez MFA ile doğrulandığında, cihaz bir Primary Refresh Token (PRT) alıyor. PRT, cihazın o kullanıcı için sürekli kimlik doğrulaması yapmasını sağlıyor. Saldırgan PRT'yi çalarsa, MFA'yı tekrar geçmek zorunda kalmadan oturum açabiliyor.

Şifre çalmak, saldırganı MFA engeline takar. Token çalmak, bu engeli atlatıyor. ARToken ve ConsentFix gibi araçlar, credential phishing değil token phishing üzerine kurulu.

Consent History, Inbox Rule ve Sign-in Log Audit Kontrol Listesi

Microsoft 365 hesabını OAuth token hırsızlığından korumak için hemen yapılması gerekenler:

Bireysel kullanıcı checklist:

- Consent history'ni gözden geçir: Azure portal → Enterprise applications → User consent settings altında hangi uygulamalara izin verdiğini kontrol et. Tanımadığın uygulamaları kaldır. - Inbox rule audit yap: Outlook ayarlarında "Rules" sekmesini aç ve beklenmedik kuralları sil. Özellikle "delete" ya da "forward" içeren kurallar. - Conditional Access kullan: Azure AD Conditional Access, belirli coğrafi bölgelerden ya da tanınmayan cihazlardan gelen oturum açma denemelerini engelleyebilir. - Session lifetime'ı kısalt: Refresh token'ların geçerlilik süresini kısalt. Microsoft, varsayılan olarak 90 günlük refresh token veriyor; bunu 1–7 güne düşürebilirsin. - Phishing-resistant MFA kullan: FIDO2 hardware key ya da Windows Hello for Business gibi doğrulama yöntemleri PRT çalınması sonrasında yeterli olmasa da, ilk zafiyeti kapatır.

BT yöneticisi checklist:

- Microsoft Defender for Office 365'te "Safe Links" ve "Safe Attachments" özelliklerini aktif et. - Endpoint'lerde PowerShell execution policy'sini "AllSigned" ya da "RemoteSigned" olarak yapılandır. - Microsoft Sentinel ya da benzeri SIEM çözümünde "impossible travel" kuralları oluştur. - Azure AD sign-in log'larını düzenli olarak incele; özellikle "device code flow" başarılı oturum açmalarını kontrol et.

Şu an bir BEC kampanyasının hedefindeysen ya da şirketinde Microsoft 365 admin'iysen, inbox rule audit'i önceliklendir. ARToken'in en büyük silahlarından biri, çalınan hesaptan gönderilen e-postaların tespit edilmesini engellemek için otomatik kurallar eklemesi. Bu kurallar, kurbanın hiçbir zaman şüphelenmemesini sağlıyor. Eğer inbox rule'larında ani değişiklikler görürsen, hesabın riske girmiş olabileceğini kabul et ve hemen Azure AD sign-in log'larını kontrol et. İlk 24–48 saatte action alınırsa, BEC fonu transferi ve veri sızdırma kısmen önlenebilir.