Microsoft Teams Üzerinden Yeni Sosyal Mühendislik Saldırıları: Harici Tenant’lar Kurumları Nasıl Hedefliyor?

Microsoft, kurumsal kullanıcıları hedef alan yeni bir sosyal mühendislik kampanyasına karşı kuruluşları uyardı. Bu saldırı yönteminde tehdit aktörleri, geleneksel e-posta tabanlı oltalama teknikleri yerine Microsoft Teams’in harici iletişim özelliklerini kullanarak çalışanlarla doğrudan iletişim kuruyor.

Saldırganlar farklı bir Microsoft 365 tenant’ı üzerinden kurum çalışanlarına ulaşarak kendilerini BT destek ekibi, helpdesk personeli veya sistem yöneticisi gibi tanıtıyor. Amaçları ise kullanıcıları uzaktan destek oturumu başlatmaya ikna ederek kurumsal sistemlere erişim elde etmek.

Microsoft Teams Üzerinden Gerçekleşen Saldırı Nasıl İşliyor?

Saldırının ilk aşaması güven oluşturmaya dayanıyor. Kullanıcılar, Microsoft Teams üzerinde kendileriyle iletişime geçen kişiyi kurumun teknik destek ekibinden biri olarak algılayabiliyor. Güven oluşturulduktan sonra saldırganlar Quick Assist, AnyDesk, TeamViewer veya benzeri uzaktan erişim araçlarının kullanılmasını talep ediyor.

Kullanıcı gerekli erişimi sağladığında saldırganlar yalnızca ilgili cihaz üzerinde işlem yapmakla kalmıyor, aynı zamanda kurum ağı içerisinde yatay hareket etmeye çalışıyor. Microsoft’un analizlerine göre tehdit aktörleri, WinRM gibi yönetim protokollerini, ticari uzaktan yönetim araçlarını ve veri transfer yazılımlarını kullanarak kritik sistemlere erişim sağlamayı hedefliyor.

Bazı olaylarda hassas verilerin dış depolama platformlarına aktarılmak üzere hazırlandığı ve kurumsal kaynaklardan veri sızdırma girişimlerinde bulunulduğu da gözlemlendi.

Risk Microsoft Teams Açığından mı Kaynaklanıyor?

Bu saldırı yöntemi Microsoft Teams üzerinde bulunan teknik bir güvenlik açığından kaynaklanmıyor. Asıl risk, Teams’in harici iş birliği ve iletişim özelliklerinin sosyal mühendislik amacıyla kötüye kullanılmasından doğuyor.

Başka bir ifadeyle saldırganlar teknik zafiyetlerden çok insan faktörünü hedef alıyor. Kullanıcıların güven duygusunu istismar ederek erişim elde etmeye çalışıyorlar.

Bu nedenle Microsoft 365 güvenliği yalnızca teknik kontrollerle değil, kullanıcı farkındalığı ve erişim yönetimi politikalarıyla birlikte ele alınmalıdır.

Kurumların Gözden Geçirmesi Gereken Microsoft Teams Güvenlik Ayarları

1. Teams External Access Yapılandırmasını Sınırlandırın

Varsayılan olarak tüm dış domain’lerle iletişime izin vermek yerine yalnızca güvenilir iş ortakları ve tedarikçilerin bulunduğu domain’lere izin verilmelidir.

Önerilen uygulamalar:

  • Allow only specific external domains yaklaşımını kullanın.
  • Güvenilir domain’leri allow list’e ekleyin.
  • Bilinmeyen tenant’lardan gelen iletişimleri engelleyin.
  • Gerekli değilse external federation özelliğini kapatın.

2. Yönetilmeyen Harici Teams Hesaplarını Kısıtlayın

Organizasyon tarafından yönetilmeyen Teams hesaplarının kurum çalışanlarına doğrudan iletişim başlatmasını engellemek önemli bir güvenlik katmanı oluşturur.

Bu ayar sayesinde saldırganların rastgele tenant’lar üzerinden çalışanlara ulaşması zorlaştırılabilir.

3. Guest Access Politikalarını Düzenli Olarak İnceleyin

Guest Access özelliği kullanılmıyorsa devre dışı bırakılmalıdır. Kullanılıyorsa erişim kapsamı minimum seviyede tutulmalı ve eski misafir hesapları düzenli olarak temizlenmelidir.

4. Anonymous Meeting Join Ayarlarını Kontrol Edin

Anonim toplantı katılımı bazı senaryolarda güvenlik riski oluşturabilir.

Önerilen uygulamalar:

  • Anonymous Join özelliğini yalnızca gerekli kullanıcılar için etkinleştirin.
  • Hassas toplantılarda lobby kullanımını zorunlu hale getirin.
  • Kimlik doğrulaması yapılmamış kullanıcıların erişimini sınırlandırın.

5. Microsoft Defender for Office 365 Safe Links Özelliğini Teams İçin Aktif Edin

Teams üzerinden gönderilen zararlı bağlantılar da e-posta bağlantıları kadar risklidir. Safe Links özelliği, kullanıcı bağlantıya tıklamadan önce URL analizleri yaparak tehditleri engellemeye yardımcı olur.

Kuruluşların Teams için Time-of-Click URL Protection özelliğinin etkin olduğundan emin olması gerekir.

6. ZAP for Teams Korumasını Etkinleştirin

Zero-hour Auto Purge (ZAP), ilk aşamada zararsız görünen ancak daha sonra zararlı olduğu tespit edilen içeriklerin otomatik olarak kaldırılmasını sağlar.

Bu özellik, Teams mesajları üzerinden yayılan gelişmiş tehditlerin etkisini azaltmak için önemli bir savunma mekanizmasıdır.

7. Conditional Access ve MFA Politikalarını Güçlendirin

Kimlik tabanlı saldırılara karşı aşağıdaki kontroller önerilir:

  • Tüm harici kullanıcılar için MFA zorunlu hale getirilmeli.
  • Riskli oturumlar ek doğrulamaya tabi tutulmalı.
  • Uyumsuz cihazlardan erişim sınırlandırılmalı.
  • Kritik uygulamalara erişimde cihaz uyumluluğu şartı aranmalı.

8. Kullanıcı Farkındalığını Artırın

Sosyal mühendislik saldırılarında en önemli savunma katmanlarından biri kullanıcı farkındalığıdır.

Çalışanlara şu konularda düzenli eğitim verilmelidir:

  • Teams üzerinden gelen her mesajın güvenilir olmadığı,
  • BT destek personeli olduğunu iddia eden kişilerin doğrulanması gerektiği,
  • Uzaktan erişim araçlarının yalnızca resmi destek süreçlerinde kullanılacağı,
  • Bilinmeyen bağlantılara tıklanmaması gerektiği,
  • Şüpheli Teams mesajlarının güvenlik ekiplerine raporlanmasının önemi.

Sonuç

Microsoft Teams, modern iş dünyasının vazgeçilmez iş birliği platformlarından biri haline gelmiş olsa da, harici iletişim özellikleri kontrolsüz bırakıldığında sosyal mühendislik saldırıları için etkili bir kanal oluşturabilir.

Bu nedenle kurumların Teams External Access, Guest Access, Anonymous Join, Safe Links, ZAP for Teams ve Conditional Access yapılandırmalarını düzenli olarak gözden geçirmesi büyük önem taşımaktadır.

Günümüzde güvenlik yalnızca e-posta korumasından ibaret değildir. Microsoft Teams, kimlik güvenliği, uç nokta koruması ve kullanıcı farkındalığını kapsayan bütünleşik bir güvenlik yaklaşımı benimsenmelidir.

Published On: 06/01/2026