Toplantı Talebi Phishing

İş hayatımızın vazgeçilmez bir parçası olan Microsoft Teams, Outlook veya Zoom davetleri, son zamanlarda siber saldırganların en sevdiği kamuflaj haline geldi. Geleneksel oltalama (phishing) e-postalarına karşı hepimiz az çok bir refleks kazandık: Şüpheli ekleri açmıyor, garip adreslerden gelen linklere tıklamıyoruz. Peki ya doğrudan e-posta istemcinizin (Outlook vb.) kendi orijinal paneline yerleşen, üzerinde “Kabul Et” (Accept) veya “Reddet” (Decline) butonları olan resmi görünümlü bir toplantı talebi gelirse?

İşte siber güvenlik dünyasında giderek yükselen, sıradan kullanıcıları hedef alan “Takvim ve Toplantı Daveti Oltalama Saldırıları” hakkında bilmeniz gerekenler.

Toplantı Daveti ile Gelen Saldırı Nedir?

Bu saldırı türünde siber saldırganlar, size düz bir e-posta göndermek yerine, e-posta protokollerinin açıklarını kullanarak doğrudan e-posta kutunuzun üzerinde orijinal Kabul Et / Reddet butonlarının çıkmasını sağlayan özel “Takvim Daveti” formatında (MIME/iCalendar) mesajlar gönderirler.

Siz maili açtığınızda karşınızda standart bir yazı değil, Outlook’un kendi güvenli arayüzü tarafından üretilmiş gibi duran, hatta takviminize otomatik olarak işlenmiş bir etkinlik görürsünüz.

Bu Saldırılar Neden Bu Kadar Tehlikeli?

Calendar Phishing olarak bilinen sahte toplantı davetlerinin siber saldırganlara sağladığı ve bizim için risk oluşturan 3 büyük faktör vardır:

  • Sistem Güvenini İstismar Etmesi: E-posta istemciniz (örneğin Outlook), gelen mesajı bir “Takvim Talebi” olarak algıladığı için kendi arayüz butonlarını (Kabul Et/Reddet) mailin tepesine yerleştirir. Kullanıcı bu butonları görünce, uygulamanın bu maili “güvenli” olarak doğruladığını düşünür. Oysa uygulama sadece formatı okumaktadır.

  • Merak ve Refleks Yönetimi: “Acil Dönemsel Planlama”, “İK Güncellemesi” veya “Performans Değerlendirmesi” gibi başlıklarla gelen davetler, çalışanlarda hızlıca ajandayı yönetme veya içeriği öğrenme merakı uyandırır.

  • Geleneksel Filtreleri Aşabilmesi: Birçok e-posta güvenlik duvarı (Gateway), ham takvim verisi (iCalendar) içeren mailleri kurumsal iş akışlarını bölmemek adına daha esnek tarayabilir. Bu da saldırının doğrudan gelen kutunuza düşme ihtimalini artırır.

“Kabul Et” veya “Reddet” Butonlarına Basınca Ne Olur?

Saldırganlar bu kurguyu iki farklı tuzakla hazırlar:

  1. Gövde İçi Tuzaklar: Mailin üstündeki yerel butonlara bastığınızda toplantı takviminize eklenir. Ancak saldırgan asıl tuzağı mail gövdesine gizlemiştir: “Toplantı öncesi incelenmesi gereken dökümanlar için tıklayın” veya “Toplantı katılım linki” yazan bağlantıya tıkladığınızda, kurumsal giriş sayfanızı (Microsoft 365, Google vb.) taklit eden sahte bir kimlik avı sayfasına yönlendirilirsiniz. Şifrenizi girdiğiniz an hesap ele geçirilir.

  2. “Reddet” Tuzağı: Birçok kullanıcı sahte olduğunu anladığı maili yok etmek için “Reddet” (Decline) butonuna basar. Ancak bazı senaryolarda bu butona basmak, saldırganın sunucusuna “Bu e-posta adresi aktif ve gerçek bir insan tarafından kullanılıyor” sinyalini (MIME Reply) gönderir. Bu da sizi gelecekte daha büyük saldırıların hedefi yapar.

Nelere Dikkat Edilmelidir? (Kendinizi Koruma Rehberi)

Gelen kutunuzdaki bir toplantı davetinin sahte olup olmadığını anlamak için şu 4 altın kuralı unutmayın:

  • Göndericinin Gerçek Adresini Kontrol Edin: Görünür isme (Örn: Sistem Yönetimi) değil, yanındaki gerçek e-posta adresine bakın. Şirket dışı veya garip bir alan adından (@xyz-destek.com gibi) mı geliyor? Şirket dışından gelen maillerdeki [EXTERNAL / HARİCİ] etiketini mutlaka önemseyin.

  • Tanımadığınız Kişilerden Gelen Davetleri Sorgulayın: Hiç ortak projeniz olmayan, organizasyon şemasında yer almayan veya tanımadığınız harici bir isimden gelen “Durum Değerlendirmesi” davetlerine şüpheyle yaklaşın.

  • Gövdedeki Linkleri İnceleyin: Toplantı detaylarını görmek veya döküman indirmek için e-posta içerisindeki bağlantılara tıklamanız isteniyorsa, tıklamadan önce farenizi linkin üzerine getirerek (Hover) sol altta beliren gerçek web adresini kontrol edin. Kurumsal adresinizle uyuşmuyorsa asla tıklamayın.

  • Refleksle Hareket Etmeyin: Şüphelendiğiniz bir takvim davetini sonlandırmak için “Reddet” butonuna basmak yerine, e-postayı doğrudan şirketinizin “Siber Güvenlik / Bilgi Güvenliği” ekibine raporlayın veya silin.

Unutmayın: Siber saldırganlar sadece sistem açıklarını değil, bizim iş yoğunluğumuzu ve reflekslerimizi hacklemeye çalışırlar. Dijital dünyada şüpheci kalmak, en güçlü savunma hattımızdır.