Bugün küresel ölçekte tespit edilen yapay zeka destekli, Microsoft Teams tabanlı kimliğe bürünme (impersonation) saldırıları, iş sürekliliği ve veri güvenliği açısından kurumlar için ciddi bir uyarı niteliğinde. Microsoft’un Nisan 2026’da yayımladığı “cross‑tenant helpdesk impersonation” odaklı güvenlik analizi de bu tabloyu net biçimde doğruluyor. Bu analizde, tehdit aktörlerinin kuruluşlar arası yardım masası senaryolarını suistimal ederek hem kimlik bilgilerini hem de kritik verileri sızdırdığı detaylı bir şekilde ortaya konuyor.

Artık saldırganlar yalnızca e‑posta değil, doğrudan Teams üzerinden de son derece ikna edici sosyal mühendislik senaryoları kurguluyor. Microsoft’un paylaştığı vakalarda da görüldüğü gibi bu saldırı modelinde tehdit aktörleri çoğunlukla iki role bürünüyor:

• Kurum içi bir IT / helpdesk çalışanı
• Veya üst düzey bir yönetici (CEO, CFO vb.)

Yapay zeka ile üretilmiş, akıcı ve teknik olarak ikna edici mesajlar sayesinde Teams üzerinden kullanıcılarla hızlıca güven ilişkisi kuruluyor. Ardından hesap erişim bilgileri, çok faktörlü kimlik doğrulama (MFA) kodları veya hassas iş verileri talep edilerek veri sızdırma ve kalıcı iç ağ erişimi hedefleniyor. Microsoft’un saldırı yaşam döngüsünü adım adım anlattığı bu “human‑operated intrusion playbook”, tek bir mesajla başlayan sürecin nasıl yetki yükseltme, yanal hareket ve veri sızdırma aşamalarına evrildiğini net biçimde ortaya koyuyor.

Şirket içinde yayımlanan bilgi güvenliği duyurularında da benzer örnekler görüyoruz: IT destek ekibi ya da C‑level yönetici kimliğine bürünen saldırganlar, “acil”, “güvenlik güncellemesi”, “spam temizliği” gibi kalıplarla çalışanları baskı altına alarak kritik bilgileri elde etmeye çalışıyor.

 

Saldırının Kurumlar Açısından Taşıdığı Riskler

Bu tür Teams tabanlı kimliğe bürünme senaryolarında risk yalnızca tek bir kullanıcının hesabı ile sınırlı kalmıyor. Microsoft’un gerçek vakalardan derlediği bulgular, saldırganların bir kez içeri girdiklerinde:

• Aynı kimliği kullanarak farklı ekip ve kanallara yayılabildiğini,
• Paylaşılan dosyalara, toplantı linklerine ve gizli konuşmalara erişebildiğini,
• Yardım masası veya IT ekibiymiş gibi davranarak ek ayrıcalıklar talep edebildiğini,
• Diğer bulut servislerine uzanan, çok katmanlı bir veri sızdırma operasyonu yürütebildiğini

gösteriyor.

Özetle, sahte bir Teams mesajı ile başlayan süreç; ayrıcalıklı hesap ele geçirme, uzun soluklu veri sızdırma ve fidye yazılımı gibi senaryolara kadar uzanabilen zincirleme bir etkiye dönüşebiliyor. Bu nedenle hem teknik konfigürasyon hem de kullanıcı farkındalığı tarafında hızlı aksiyon almak kritik.

 

Acil Yapılması Gerekenler: Teams ve Defender Katmanında Alınabilecek Önlemler

Aşağıdaki kontroller, hem Microsoft’un önerdiği güvenlik en iyi uygulamalarıyla hem de kurum içi bilgi güvenliği duyurularında vurgulanan beklentilerle uyumlu şekilde, kısa vadede uygulanması gereken temel adımları özetler.

1. Teams Admin Center Üzerinden Erişim Politikalarını Sıkılaştırın

1. External Access (Federation) ayarlarını gözden geçirin
   Tenant’ın gereksinimlerine göre federasyon ayarlarını “Allow only specific domains” moduna çekin. Yalnızca iş birliği yaptığınız, güvenilir dış domain’ler ile iletişime izin verin. Kısa vadeli risk yüksekse, Microsoft’un da önerdiği şekilde, geçici olarak dış erişimi tamamen kapatmayı değerlendirebilirsiniz.
2. Guest Access ihtiyacını yeniden değerlendirin
   Ortamınızda misafir kullanıcılar gerçekten gerekmiyorsa Guest Access’i devre dışı bırakın. Gerekiyorsa da misafir kullanıcı izinlerini en az ayrıcalık prensibine göre daraltın ve düzenli olarak gözden geçirin. Microsoft’un sıklıkla vurguladığı “least privilege” yaklaşımı, Teams misafir erişiminde de kritik öneme sahip.
3. “External user can chat first” ayarını kapatın
   Bilinmeyen tenant’ların kullanıcılarını ilk mesajı atan taraf olmaktan çıkarın. Böylece kurum çalışanlarına ansızın gelen, saldırı amaçlı “IT desteği” ya da “üst yönetim” mesajlarının önüne ek bir bariyer koymuş olursunuz. Microsoft’un vaka analizlerinde de bu ilk temasın, saldırı zincirini başlatan en kritik adımlardan biri olduğu görülüyor.
4. Anonymous kullanıcıların toplantıya katılımını sınırlandırın
   Anonim katılımcıların toplantılara gelişigüzel katılmasını engelleyin, mümkünse tamamen kapatın. Özellikle yönetim, finans ve kritik proje toplantılarında anonimliğe izin vermeyin. Böylece saldırganların sahte kimliklerle toplantılara sızma olasılığını azaltmış olursunuz.

2. Defender / Policy Katmanında URL ve İçerik Korumasını Güçlendirin

1. Microsoft Defender for Office 365 Safe Links özelliğini aktif edin
   Safe Links, kullanıcı bir bağlantıya tıkladığı anda URL’yi gerçek zamanlı olarak tarar ve gerektiğinde engeller. Microsoft’un kendi dökümantasyonunda ve güvenlik blogunda da altı çizildiği gibi Safe Links, yalnızca e‑posta için değil, Teams içindeki bağlantılar için de kapsam genişlemesine sahip. Böylece saldırganların Teams sohbetleri üzerinden paylaştığı sahte oturum açma sayfaları, zararlı indirme linkleri ve kimlik avı siteleri büyük oranda filtrelenebilir.
2. Politikaları risk temelli yeniden yapılandırın
   Özellikle yönetici hesapları, finans ekipleri ve domain admin / global admin yetkisine sahip kullanıcılar için daha sıkı politikalar tanımlayın. Bu hesaplara gelen ve giden Teams mesajlarındaki linkleri daha agresif kurallarla denetlemek, Microsoft’un “yüksek değerli hedef” olarak tanımladığı hesaplarda kimliğe bürünme girişimlerini zorlaştıracaktır.

 

Kullanıcı Farkındalığı: Teknik Önlemler Tek Başına Yeterli Değil

Microsoft’un yayımladığı saldırı senaryolarında ortak nokta, teknik açıklar kadar sosyal mühendislik hamlelerinin de belirleyici olması. Yani teknik konfigürasyonlar saldırı yüzeyini önemli ölçüde küçültse de, yapay zeka destekli sosyal mühendislik saldırılarında insan faktörü hala en kritik halka olmaya devam ediyor.

Bu nedenle:

• Çalışanları özellikle Teams üzerinden gelen, “acil”, “gizli” veya “sadece seninle paylaşılacak” gibi vurgular içeren mesajlara karşı şüpheci olmaları için eğitmek,
• IT, helpdesk veya üst yönetim adına gelen olağan dışı talepler için ikinci bir doğrulama kanalı (telefonla arama, kurumsal e‑posta, resmi ticket sistemi) kullanmayı teşvik etmek,
• Kurum içi bilgi güvenliği duyurularında paylaşılan örnek olayları, gerçek hayata yakın tatbikat senaryolarına dönüştürmek,
• Microsoft’un güvenlik topluluğu için yayımladığı rehberleri ve uyarıları düzenli takip ederek, kurum içi farkındalık içeriklerine entegre etmek

kurumun genel siber dayanıklılığını artırmak açısından kritik.

 

Sonuç: Teams Üzerinden Gelen Her Mesaj Güvenli Değil

Yapay zeka destekli, Teams tabanlı kimliğe bürünme saldırıları; iş birliği platformlarını sadece üretkenlik aracı olmaktan çıkarıp, aynı zamanda saldırı yüzeyinin önemli bir parçasına dönüştürüyor. Microsoft’un Security Blog’da paylaştığı analizler ve sahadaki vakalar, saldırganların artık kurumsal yardım masası, IT desteği veya üst yönetim rolleri üzerinden son derece ikna edici senaryolar üretebildiğini net biçimde gösteriyor.

Bu nedenle:

• Teams ve Microsoft 365 konfigürasyonlarınızı gözden geçirip yukarıdaki acil aksiyonları hızla uygulamanız,
• Microsoft Defender for Office 365 ve Safe Links gibi güvenlik katmanlarını aktif ve doğru yapılandırılmış şekilde kullanmanız,
• Ve en önemlisi, kurum içi bilgi güvenliği duyuruları ile çalışanlarınızı bu yeni nesil sosyal mühendislik taktiklerine karşı sürekli eğitmeniz,

kurumunuzu hem kimlik hırsızlığına hem de veri sızdırma girişimlerine karşı daha dayanıklı hale getirecektir.

 

 

Kaynakça

• Microsoft Defender Security Research Team & Microsoft Defender Experts (Nisan 2026). Cross‑tenant helpdesk impersonation to data exfiltration: A human‑operated intrusion playbook. Microsoft Security Blog.