Kategori arşivi: Genel

Mutasyonlu Dolandırıcılık: Salgın Kaynaklı Siber Dolandırıcılıktan Kendinizi Nasıl Korursunuz?

Dolandırıcılar, salgın döneminde çevrimiçi ticaretteki ve ödemelerdeki artıştan yararlanmaya başladı ve alışverişlerinde yeni ödeme yöntemleri kullanmaya başlayan işletmeleri ve müşterileri hedef aldı.

Yazanlar: Fernando Merces, Erin Johnson

Günümüzde kullanıcılar bir yıl önceye göre teknolojiyle daha iç içe. Cihazlar ve uygulamalar, salgının başlamasıyla birlikte eğitim, iş ve alışveriş gibi alanların yanı sıra arkadaşlar ve aileyle iletişimde de vazgeçilmez araçlar halini aldı. Aslında hayatın her farklı alanı biraz daha dijitalleşti. 

Ancak, ne yazık ki, suçlular da bu duruma uyum sağladı. Suçlular potansiyel mağdurlarıyla birlikte sokağa çıkma kısıtlamasına tabi olduğundan, gerçek dünyada dolandırıcılık yapma fırsatını yakalayamıyor. Buna karşılık, dolandırıcılar da eylemlerini dijitalleştiriyor, dolandırıcılık siber destekli hal aldı. Dolandırıcıların geçirdiği bu dönüşüm, işletmelerin 2020 yılında dijital dönüşümü hayata geçirmek zorunda kalmasına benziyor. Yakın tarihli bir Trend Micro anketine göre, işletmelerin %88’i geçen yıl buluta geçişi hızlandırdı. Salgın, dijital dönüşüm planlarının öne çekilmesine neden oldu. 

Dolandırıcılar da çevrimiçi ticaret ve ödemelerdeki artıştan yararlanıyor. Ağırlıklı olarak yeni ödeme yöntemlerine geçen işletmeler ve müşteriler hedef alınıyor. Bu raporda da açıklandığı üzere, dünyanın dört bir yanındaki mağdurlar, dijitalleştirilerek günümüze ayak uyduran dolandırıcılık yöntemleriyle milyonlarını kaybetti. 

Salgın Döneminde Siber Dolandırıcılığın Dört Hali

Bu suçların şekil değiştirmesi, sıradan suçluların sağlık krizini kuşatan koşullardan nasıl yararlandığını ve küresel çaptaki sokağa çıkma kısıtlamaları nedeniyle nasıl dijitalleşmeye zorlandıklarını ortaya koyuyor. Tespitlerimize göre bu dolandırıcılıklar, Covid-19 salgını sırasında popüler hale gelen teknolojileri ve faaliyetleri hedef alıyor. 

Söz konusu yöntemler dört sınıfa ayrılabilir: çevrimiçi alışveriş, yemek sipariş uygulamaları, mesajlaşma uygulamaları ve devlet yardım programları.

Bu dört sınıfa giren dolandırıcılık olaylarına salgın döneminde bazı ülkelerde ve kıtalarda tanık olduk. Örneklerin çeşitliliği, suçluların farklı alanlarda hayatlarını sürdüren sıradan kişileri nasıl hedef alabileceğine dair fikirler de veriyor. Bu yazıda, yeni dolandırıcılık türlerinin nasıl gerçekleştirildiğine ilişkin bilgilerin yanı sıra, kullanıcıların mağdur olmamasına yardımcı olacak öneriler de sunacağız. Ayrıca, dünya yeniden açılmaya başladıktan sonra bu yeni suç türlerinin etkisini sürdürüp sürdürmeyeceğine ilişkin tahminlerimizi de okurlarla paylaşacağız.

Çevrimiçi Alışveriş Dolandırıcılığı

Kredi kartı bilgilerinizi ve diğer kişisel bilgilerinizi çalmak için gerçek çevrimiçi satıcıları taklit eden dolandırıcıları bilirsiniz. Ancak suçlular, artık tanınmış markaları kullanarak müşterileri kandırmak yerine, dolandırıcılığı daha kolay hale getirmek için kendi çevrimiçi mağazalarını oluşturarak salgın döneminde çevrimiçi alışverişin yoğunlaşmasından yararlandı. Bu mağazaların mevcut mağazalarla hiçbir ilgisi yok. Bu tür sitelerdeki ürünler, gerçek mağazalardan daha düşük (ancak inanılmaz derecede düşük de olmayan) fiyatlarla sosyal medya reklamlarıyla tanıtılıyor ve genellikle popüler ürünlerde %10-20 oranında indirimler sunuluyor. 

Örneğin Brezilya’daki çevrimiçi bir mağaza konuyla ilgili çok iyi bir örnek. Müşteriler, mağazayla ilgili aşağıdaki hususları görünce aslında dolandırılma ihtimali olduğunu anlayabilmeli:• Brezilya’da halka açık bir şikayet portalında, mağazadan yapılmış alışverişlerde geneli teslim edilmeyen siparişlerle ilgili olmak üzere 100’den fazla kullanıcı şikayeti var. • Ürünler sitede görüntülenmiyor. Ürünlere yalnızca doğrudan bağlantı veriliyor ve bu bağlantılar sosyal medya reklamları üzerinden paylaşılıyor. • “İletişim” formunun altında gösterilen metinde temel bir dilbilgisi hatası var. Portekizce metinde “apostos” şeklinde yazılan kelime aslında “a postos” şeklinde yazılmalı. Metni Google’da arattığınızda, diğer sahte çevrimiçi mağazaların da aynı dilbilgisi hatasını içeren iletişim sayfalarına erişebiliyorsunuz. 

Şekil 1. Mağazanın “Reclame Aqui” web sitesindeki profili

Şekil 2. Mağazanın “Bize Ulaşın” sayfası

Şekil 3. Mağazanın “Bize Ulaşın” sayfasında kullanılan metne ilişkin Google arama sonuçları

Bu dolandırıcılıklara karışan çeteler aslında gayet iyi organize olmuş durumda. Mağdurların şikayetlerine genellikle “Siparişinizle ilgili süreçler devam etmekte olup paketiniz kısa süre içinde adresinize teslim edilecek” şeklinde yanıt veren “müşteri temsilcileri” bile var. Bazen, bu gruplar gerçekten de bazı siparişleri teslim ediyor. Mağaza böylelikle, düşük kaliteli hizmet sunan ancak sahte olarak sınıflandırılmamaya da gayret gösteren bir mağaza olarak değerlendiriliyor ki bu durum dolandırıcıların takibini epey zorlaştırıyor. 

Federal Ticaret Komisyonu (FTC) verilerine göre mağdurlar, ürünleri teslim etmeyen çevrimiçi mağaza satışları nedeniyle2020’de 420 milyon ABD doları zarara uğradı.

Çevrimiçi alışveriş dolandırıcılığından nasıl kaçınacağım?• Sosyal medyadaki bir reklam görüp o reklam üzerinden alışveriş yapmadan önce mağaza adını Google’dan aratın. Kullanıcı şikayetleri veya bariz dilbilgisi hataları gibi dikkat etmenizi gerektirecek hususlar olup olmadığına bakın.• Küçük bir mağaza, köklü mağazalara nazaran büyük indirimler sunabiliyorsa bu durumdan şüphelenin. Teklif kulağa gerçek olamayacak kadar iyi geliyorsa dolandırıcılık olması muhtemeldir.• Mağaza web sitesi bölümünden metnin önemli bir bölümünü seçip internette arayın. Diğer çevrimiçi mağazalarda da aynı içerik varsa, bu bir dolandırıcılık işareti olabilir.

Yemek Siparişi Alanında Yeni Dolandırıcılıklar

Salgın sırasında işinden olan yüz binlerce insan yeni iş kollarında iş bulmaya çalıştı. Her türden teslimat hizmeti son derece popüler hale geldi; insanlar mağazalara gidemezken restoranların ve işletmelerin açık kalmasına yardımcı olmak için bu yöntemler harika imkanlar sundu. Statista’ya göre, akıllı telefonla yemek sipariş uygulaması kullanıcılarının sayısı 2019’da 36,4 milyon kişi iken 2020’de 45,6 milyon kişiye yükselerek %25’in üzerinde bir artış gösterdi. Sonuçta, yepyeni bir yemek siparişi dolandırıcılığı kategorisiyle karşı karşıya olduğumuzu gözlemledik.

Pahalı Yemekler

Yemek uygulamaları için dağıtım elemanı olmak için kaydolan kişi sayısında önemli bir artış oldu; dağıtım şirketlerinin bu yeni çalışanlar için güvenlik incelemesi yapmak gibi zor bir görevi var. Salgın döneminde Brezilya başta olmak üzere Güney Amerika ülkelerinde son derece yaygın hale gelen yeni bir dolandırıcılık türü tespit ettik. 

Dolandırıcılık şöyle işliyor: Yeni kayıt yaptıran eleman ilk siparişini bekler, kabul eder ve almak için restorana gider. Eleman, daha sonra restoran çalışanı taklit ederek kullanıcıyı arar ve dağıtım uygulamasında bir sorun olduğunu, ancak restoranın bunun yerine kendi dağıtım elemanını gönderebileceğini söyler. Dolandırıcı, müşterinin para iadesi alabilmesi için müşteriden yemek dağıtım uygulamasındaki siparişini iptal etmesini ister. Kullanıcı bunu kabul ederse, eleman, aracıyla kullanıcının adresine doğru yola çıkar.

Şekil 4. Dolandırıcıların kullandığı PoS cihazı örneği

Size geldiğinde sürücünün elinde yemek siparişi ile birlikte (uygun şekilde) kırılmış ekranı olan bir Satış Noktası (PoS) cihazı vardır. Bu durum, elemanın PoS cihazına çok daha yüksek bir tutar (siparişin tutarının neredeyse yüz katı kadar) girmesine olanak tanır; mağdur bunu ekrandan okuyamaz. Eleman slip de vermez, ardında müşteri, restoran ve dağıtım uygulama şirketini açısından hiçbir iz bırakmadan en kısa sürede oradan çabucak uzaklaşır. 

Ağustos 2020’de Brezilya’daki bir şehirde bu tür dolandırıcılıklar nedeniyle kurbanların yaklaşık 100.000 ABD Doları zarara uğratıldığı kayıtlara geçti.

Yemek siparişi dolandırıcılığından nasıl kaçınacağım?• Sipariş uygulamaları üzerinden yemek siparişi verdikten sizi telefonla arayan biri olursa, dikkatli olun. Uygulamalarda genellikle hem restoranın hem de elemanın görebildiği ve tüm konuşmaların kaydedildiği bir sohbet özelliği bulunur. Bir restoran veya eleman bu imkanı kullanmak yerine neden sizi arasın ki? Tetikte olun.• Ödeme her zaman uygulama üzerinden yapılmalıdır. Bunun istisnası yoktur. Eleman veya başka biri farklı bir şekilde sizden ödeme yapmanızı isterse, siparişi iptal edip yeni bir sipariş vermek daha iyidir.• Kapıda kredi kartı ile ödeme yaparken:• Ekranda tutarı göremiyorsanız, PoS cihazına asla şifrenizi girmeyin.• Her zaman cihazdan çıkan slipi isteyin.

Yemek Sektörünü Etkileyen Diğer Dolandırıcılık Türleri 

Salgın sırasında yemek sektörünü etkileyerek öne çıkan bir başka dolandırıcılık türü ise çalınan ödeme bilgilerinin kullanılmasıdır. Dolandırıcı siparişleri (yiyecek veya mal) çevrimiçi alıp müşteriden ödemeyi kabul eder; ancak sipariş için daha önceden çaldığı hesap bilgilerini kullanır. Bu tür dolandırıcılık şöyle işler:

Şekil 5. Dolandırıcı, müşteriye teslim ettiği malların parasını ödemek için çalıntı kredi kartına ait bilgileri kullanır

Bu tür dolandırıcılığa ABD ve Kanada‘da rastlandığı haberini aldık. Bu durumda mağdur olan restoran veya müşteri değil, bizzat kredi kartının sahibidir. Sift, özellikle Telegramüzerinden bu olayla ilgili epey kapsamlı bir rapor hazırladı. 

Kredi analizi şirketi Fair Isaac Corporation’a (FICO) göre, sipariş hizmetlerindeki dolandırıcılığa söz konusu meblağ 2020 Ocak’ı ve 2020 Temmuz’u arasında %49 artış gösterdi

Mesajlaşma Uygulamalarını Hedef Alan Tehditler

Pek çok insan zaten salgından önce de sanal ortamda arkadaşları ve ailesiyle iletişim halindeydi, ancak kriz sırasında ve sonrasında çevrimiçi iletişim bir zorunluluk halini aldı. Bu bağlantı türünden yararlanan dolandırıcılık türü ortaya 2016 yılında çıkmıştı ama geçen yıl çok daha sık kullanılmaya başlandı. 

Bu tür dolandırıcılıkta ilk şart, güvenliği ihlal edilmiş bir WhatsApp hesabıdır. Suçlular, mağdurun kimliğine bürünmek için çalınan iletişim bilgilerini kullanıp telefon operatörünü mağdurun numarasını yeni bir SIM’deetkinleştirmeye ikna ederek (bazen SIM değiştirme olarak adlandırılır) bunu başarabilir. Veya bir telefon operatörü çalışanını mağdurun numarasını farklı bir telefonda etkinleştirmeye ikna edebilir.

Bu ilk adımdan sonra, suçlular yeni telefonda WhatsApp’ıetkinleştirir ve mağdurun telefonundaki kişilerden yardım istemeye başlar. Çoğunlukla gerçek olmayan bir acil durum ileri sürerler ve arkadaşınızın banka hesabına para göndermenizi isterler. Dolandırıcılık sırasında mağdurun telefonu sinyal almaz.

Şekil 6. Suçlu (beyaz) ile mağdurun arkadaşı (yeşil) arasında geçen Portekizce görüşme. Suçlu 2.500 Brezilya Reali (yaklaşık 450 ABD Doları) istiyor. Mağdurun arkadaşı da bu parayı ödüyor.

Salgın sırasında duruma uyum sağlayan suçlular, insanların mallarını satışa çıkardığı (eBay’e benzer) çevrimiçi satış sitelerindeki tekliflerin artmasından yararlanarak aşağıdaki planı uygulamaya başladı:

Şekil 7. Dolandırıcılar telefon numaraları içeren reklamlar bulur ve mağdurdan SMS ile gönderilen kodu “doğrulamasını” ister. Mağdur kodu gönderdiğinde “reklam doğrulandı” der.

SMS yoluyla gönderilen kod aslında WhatsApp arka ucundan gelmektedir; suçlular bunu, mağdurun WhatsApp hesabını farklı bir telefonda (farklı bir numaraya sahip bir SIM kart kullanarak) deneyip aktive etmek için kullanır. Kullanıcı, kodu gönderdiğinde, suçlular mağdurun WhatsApp hesabına erişip telefonunda kayıtlı kişileri dolandırmaya başlayabilir. 

Pek çok alım ve satım işlemi çevrimiçi ortamda gerçekleştirildiğinden, 2016 model dolandırıcılığın bu güncellenmiş türü, salgın koşullarına son derece uygundur. Brezilya’daki haberlere bakıldığında, 2020 yılında ülkede bu tür dolandırıcılıklar nedeniyle 5 milyonu aşkın kişi mağdur olmuştur.

Mesajlaşma uygulamalarını hedef alan dolandırıcılıklardan nasıl kaçınabilirim?• Telefon numaranızı internette herkesin görebileceği yerlerde yayınlamayın (reklamlar, sosyal profiller vb.).• Tüm mesajlaşma uygulamalarınız için iki aşamalı kimlik doğrulamayı etkinleştirin.• Sizden para isteyen bir arkadaşınız sizinle iletişim kurduğunda, yazdıklarını doğrulamak için kendisini doğrudan telefon numarasıyla (çağrı) aramayı deneyin.

Sana Para Gönderdim!

Salgın, mal alıp satan kişileri de büyük ölçüde etkiledi. Evde satacak eşyası olan kişiler, küresel çaplı sokağa çıkma kısıtlamaları ve karantinalar nedeniyle çevrimiçi kanallara yönelmek zorunda kaldı. Salgının ekonomik etkisi, harcanabilir geliri olan alıcı sayısının daha az olmasına yol açtı.  

Bu durum, 2020 Ekim’inde eşi benzeri olmayan bir özelliğe sahip Telegram botunun keşfedildiği Rusya’da suçlulara yeni bir fırsat penceresi araladı. Yasal satış bilgilerine dayanarak, Rusya’nın önde gelen bankacılık ve finansal hizmetler şirketi olan Sberbank Online’a yapılan para havalesinin ekran görüntüsü alınır. 

Şekil 8. Dolandırıcılar, malları çalmak amacıyla sahte para yatırma dekontuna ait ekran görüntüsü oluşturur

Sahte dekontta, satıcının kişisel bilgileri bulunur (normal satış öncesi yapılan görüşmeyle bu bilgiler zaten elde edilmiş olur), böylece eylem tamamen meşru görünebilir. “Alıcı” (suçlu) ödeme belgesi olarak ekran görüntüsünü paylaşır ve satılan malları sepetine ekler.

Satıcı tarafından bu işlem, ödeme yapılmadığını anlayana kadar tamamen normal görünmektedir. Bilinçli bir satıcı, ekran görüntüsünü referans alarak eksik ödeme hakkında Sberbank ile iletişime geçebilir, ancak bankada para havalesiyle ilgili hiçbir kayıt bulunmaz. O ana kadar “alıcı”, Telegram hesabını çoktan silmiş olur.

Telegram’ın kullanıldığı bu senaryoya sadece Rusya’da rastlanılmış olsa da, başka yerlerde de benzer planlar işe yarayabilir. Telegram botu kopyalanarak ya da Facebook Marketplace için aynı butonun benzeri oluşturularak hayata geçirilebilecek bu plan, dünyanın dört bir yanındaki masum insanları etkilemek için tekrarlanabilir.

Bu özel dolandırıcılık türünden korunmak için, fiziksel ödeme talep etmenizi veya mallar teslim alınmadan veya alıcıya teslim edilmeden önce ödemenin hesabınıza geçmiş olmasına dikkat etmenizi öneriyoruz.

Devlet Yardımını Hedef Alan Tehditler

Almanya’da, salgının zirve yaptığı ilk dönemde vatandaşların düşen gelirlerini kapatmaya yardımcı olmak amacıyla işletmelere sınırsız büyüklükte krediler sunuldu. Elbette bu durum, yerel dolandırıcıların ilgisini çekti; sonuçta 25.000’den fazla dolandırıcılık vakası tespit edildi. Özellikle bir adam, 3 milyon ABD Dolarını aşan dolandırıcılık iddiasıyla yargılandı. Kredi talepleri, sahte şirket bilgilerinin kullanıldığı elektronik formlar aracılığıyla yapıldı. Dolandırıcılıkların önüne geçmek için kredi taleplerinin vergi danışmanlarınca yapılması şart koşuldu. Bu sorunun bir nebze önüne geçse de bu sefer suçlular mevcut şirketler için kredi taleplerinde bulunmaya başladı.

Bu tür bir suistimalde ne yazık ki Almanya yalnız değil. 2020 yılında işsizlik yardımı dolandırıcılığı da önemli ölçüde artış gösterdi. Sahte işsizlik yardımı talebinde bulunan dolandırıcılar tarafından 36 milyar ABD dolarından fazla para çalındı. Yeni yayımlanan bir raporda, suçluların Amerikalıları taklit edip işsizlik yardımından faydalanmak için çalınan kişisel kimlik bilgilerini (PII) nasıl kullandığı açıklanıyor. Bu vakalarda, çalınan kişisel bilgiler siber suç forumlarından bulunur ve formları dijital olarak gönderirken kullanılır. Bu işlem her dolandırıcı tarafından yapılabilir; ancak bu olayda suçlular Nijerya’daydı. 

Her ne kadar devlet hibelerine yönelik dolandırıcılık yeni olmasa da, bu iki özel yöntem büyük ölçüde salgının etkisiyle ortaya çıktı. Suçlular, devletlerin sunduğu hibeleri hedefe koydukları alıcılardan çalabilmek için salgını kendi lehlerine kullandı.

Siber Dolandırıcılığın Yeni Türleri Covid-19 Sonrası Devam Eder mi?

Yukarıda özetlenen dolandırıcılıklara baktığımızda, suç örgütlerinin çalışma şekillerini çok hızlı şekilde geliştirip uyarlayabileceklerini görüyoruz. Bu bize, halkın ve işletmelerin buna benzer belirsizliklere karşı hazırlıklı olmaları ve kendilerini dijital tehditlerden korumayı öğrenmeleri gerektiğini gösteriyor. 

Suç alanındaki bu dijital dönüşüm akla bir soruyu da getiriyor: Dünya Covid-19’dan kurtulduktan sonra da suçlular bu tür dolandırıcılıklara devam edecek mi? Biz devam edeceklerini tahmin ediyoruz. Dijital dolandırıcılık yöntemleri, tıpkı birçoğumuz gibi suçluların evden çalışmasına olanak tanır. Gittikçe daha fazla kişi bu risklerin farkına varıncaya kadar bu saldırıların devam etme olasılığı yüksektir; yani, fiziksel suçlara geri dönüş daha fazla olsa bile suçluların bu yeni yöntemleri terk etmesine gerek olmadığı söylenebilir. 

Günümüz dünyasında, neredeyse tüm suç türlerinde bir siber ayak bulunabilir, bu da biz tüketicilerin tetikte olması gerektiği anlamına gelir. Koşulları göz önüne alın ve durumu iyi kavrayın. Bu mesaj yanlış olabilir mi? Bu site sahte olabilir mi? Konuştuğum kişi yalan söylüyor olabilir mi? Tüm bunları nasıl doğrulayabilirim? Bunlar, herhangi bir kişisel verinizi veya ödeme bilginizi paylaşmadan önce sorulması gereken sorulardır.

Vladimir Kropotov ve Martin Roesler’ın katkılarıyla

Etiketler

Uç noktalar

|

Siber Suçlar

|

Araştırma

|

Mobil

|

Makaleler, Haberler, Raporlar

|

Siber Tehditler

Yazarlar• Fernando Merces
Kıdemli Tehdit Araştırmacısı

Erin Johnson
Tehdit Araştırmacısı

İletişime Geçin

İlgili Makaleler• DarkSide Fidye Yazılımı ve ABD Boru Hattı Saldırısı Hakkında Bildiklerimiz• Japon Kullanıcıları Hedef Alan Dolandırıcılık ve Kimlik Avı Üzerine Trend Micro ve JC3 Çalışması• Çok Katmanlı Siber Güvenlik Tehditlerini Önleme

Arşivler

Evden Çalışırken Fidye Yazılımları Önleme

Birçok çalışan evinde üstünkörü çalışma alanları oluşturuyor. Bu tür çalışma ortamları, çalışanları güvenli olmayan alanlardaki açıklıklardan faydalanmaya çalışan fidye yazılımlara karşı daha savunmasız bırakabiliyor.

Fidye yazılımlar, ofislerin tamamını ve hatta akıllı fabrikaları durma noktasına getirebilecek gelişmiş türleriyle yıllardır kuruluşları ve çalışanları hedef alıyor. Bunlar, genellikle bilgisayarlara kötü amaçlı e-postalar ile bulaşıp önemli dosyaları şifreleyen tehlikeli ve kötü amaçlı yazılımlardır. Uzaktan çalışmanın bir standart haline geldiği günümüz ortamında ise bu tür yazılımlar son derece ciddi bir tehdittir. Çalışma düzeninde yaşanan ani değişiklik, çok sayıda çalışanın güvenli olmayan ev ağlarını ve ortak alanları kullanarak üstünkörü ofisler kurmasına neden oldu. Evden çalışanlar, birden fazla e-postayı açmak gibi gündelik işlemlerden faydalanmaya çalışan bu kurnaz saldırılara karşı çok daha savunmasız.

Bu saldırılarda kötü amaçlı yazılımlar aynı ağdaki diğer bilgisayarlara bulaşıp bir cihazdan diğerine geçerek tüm bilgisayarları kullanılamaz hale getirebiliyor. Bu da başarılı fidye yazılım saldırılarının büyük zararlara yol açabileceği anlamına geliyor. Evden çalışan tek bir kişinin bilgisayarının ele geçirilmesi, tüm kurumsal ağı etkileyen bir saldırının başlangıç noktası olarak kullanılabiliyor. Kurumsal ağın ele geçirilmesinin ardından, fidye yazılım saldırganları genellikle tüm dosyalarının şifresini çözmek ve kullanıcının ya da kuruluşun operasyonlarını normal bir şekilde devam ettirebilmesine izin vermek için yüklü miktarda ödeme talep ediyor.

Aşağıdaki makale, evden çalışan kişilere fidye yazılım saldırılarının nasıl işlediği hakkında genel bir bakış sunmakta ve evlerde oluşturulan ofis ortamlarındaki zayıf noktalara yönelik eyleme dönüştürülebilir bilgiler sağlamaktadır. Ayrıca, bu makalede, çalışanların bu tehditlere karşı nasıl birlikte korunabileceklerine ilişkin önlemlerden oluşan bir liste de sunuyoruz.

Fidye Yazılım Saldırıları Nasıl İşliyor?

Fidye yazılım saldırganları genellikle büyük hedeflerin peşindedir. VPN ağı üzerinden bağlanacağınız kurumsal ağlara veya iş ya da dosya paylaşımı amacıyla kullandığınız bulutta barındırılan ortamlara erişmek isterler. Amaçları ise kuruluşunuzun tüm ağını ele geçirerek verilerinizi önce çalmak sonrasında da şifrelemektir.

pastedGraphic.png

Şekil 1. Tipik bir fidye yazılım bulaşma zinciri örneği

Oltalama e-postaları, fidye yazılım saldırganlarının en yaygın olarak kullandığı yöntemdir. Bu kötü amaçlı aktörler, tehditle karşılaşabileceğinden şüphe duymayan kullanıcıları hedef alır ve bu kişilerin kötü amaçlı yazılımlar içeren web sitesi bağlantılarına tıklamalarını ya da fidye yazılımın bulaşma sürecini başlatan tehlikeli dosyaları indirmelerini sağlama konusunda uzmandır. Aşağıda, fidye yazılımlarının savunmasız ev kurulumlarına girmesinin yollarından bazıları verilmiştir:

  • Fidye yazılımın görev yükünün tamamını gönderebilmek için e-posta hesaplarını, uzak masaüstü araçlarını (Microsoft Remote Desktop veya RDP), bulut tabanlı depolama alanlarını/ağları ve benzer ortamları hedef almak. Saldırganlar bunu oltalama e-postaları yoluyla yapabilir veya belirli araçları tarayıp sonrasında parolayı tahmin etmeye çalışabilirler (bu yöntem kaba kuvvet olarak bilinir). EvilQuest adlı yeni bir Mac fidye yazılımı, siz yazarken parolaları yakalayarak fidye yazılım saldırganlarının verileri çalmasına ve kurumsal portalda oturum açtığınızda bunları kötü amaçlı yazılımı bulaştırmak için kullanmasına olanak tanıyan bir tuş kaydediciye sahiptir.
  • Kötü amaçlı yazılımlar için VPN ağınızı veya uzak masaüstü yazılımınızı hedeflemek. Bunu yapmanın en popüler yollarından biri de yine oltalama yöntemi. Bunun yanı sıra, saldırganlar kötü amaçlı yazılımları torrent sitelerinde veya uygulama mağazalarına yüklenen uygulamalardaki popüler yazılımlara da gizleyebiliyor.
  • Açıklıkları, varsayılan parolaları veya kolay tahmin edilebilir şifreleri kullanarak akıllı ev cihazlarını ve yönlendiricileri hedeflemek. Tehdit aktörleri bu cihazları hedefleyerek çalışanların ev ağlarını kurumsal ağlara ulaşmak için kullanmaktadır.

Fidye Yazılımlardan Nasıl Korunabilirsiniz?

Uzaktan çalışan kişiler, yeni fidye yazılımların neden olacağı peş peşe riskleri azaltmaya yardımcı olmak için nispeten basit adımlar atabilirler. 

Kişisel bilgilerinizi göndermekten kaçının

Bazı kötü amaçlı saldırganlar herkese açık bilgileri ele geçirip bunları daha hassas olan kişisel bilgilere erişmek ya da cihazınıza kötü amaçlı yazılımlar gönderip dağıtmak için kullanabilir. Bu bilgiler genellikle sosyal medya sitelerinden ve herkese açık profillerden alınır. İnternette hangi bilgileri paylaştığınız konusunda dikkatli olun. Yalnızca gerçekten gerekli durumlarda özel bilgilerinizi sağladığınızdan emin olun.

Parola hijyeninizi güçlendirin 

Evden çalışanlar, e-posta ve diğer hesaplarının parolaları için en iyi uygulamaları benimsemelidir: Parolalarınız en az sekiz karakter ve sembolden oluşmalı; tekrarlar, art arda sıralamalar veya desenler içermemeli ve birbirinden farklı olmalıdır. Bazı çevrimiçi kurumsal araçlar ve portallar saldırganların kaba kuvvet uygulayabileceği varsayılan değerlere sahip olabilir. Bu yüzden parolalarınızı düzenli olarak değiştirmek ve çok faktörlü kimlik doğrulaması kullanmak en iyisidir. Ayrıca, birden fazla parolayı ve oturum açma kimliğini tek bir güvenli konumda saklamak için parola yöneticisi kullanmak oldukça iyi bir yöntemdir.

Windows kullanıcıları Dosya Uzantılarını Göster seçeneğini etkinleştirmelidir

Dosya Uzantılarını Göster, kullanıcılara açılmakta olan dosyanın hangi türde olduğunu gösteren yerleşik bir Windows işlevidir. Bazı durumlarda kötü amaçlı saldırganlar “photo.avi.exe.” örneğindeki gibi iki adet uzantı şeklinde görünen dosya isimleri kullanır. Kullanıcılar, ne açtıklarını kontrol etmek ve şüpheli görünen dosyalardan kaçınmak için bu Windows özelliğini kullanmalıdır.

Yalnızca güvenilir e-posta eklerini açın 

Fidye yazılımlar genellikle kötü amaçlı eklentiler içeren istenmeyen e-postalar ile bulaşır ve birçok saldırgan, kullanıcıların dikkatini çekecek en etkili konu başlıkları konusunda uzmandır. Ayrıca, saldırganlar kötü amaçlı görev yüklerini çoğu zaman yaygın dosya türlerinde gönderir. Jpeg dosyaları, Word belgeleri Excel sayfaları ve ofislerin sürekli kullandığı diğer eklentilerde bu tür yazılımlar bulunabilir. Kullanıcılar başta kuruluşlarında çalışmayan kişiler olmak üzere bilinmeyen gönderenlerden gelen e-posta eklerine karşı dikkatli olmalıdır. Bazı fidye yazılım aktörleri ise gönderdikleri spam postalarda alışılmadık dosya türleri kullanır ve kullanıcıların bunlara bakmadan hemen tıklayacaklarına güvenir. Bu postalara karşı dikkatli olun ve şüpheli dosya uzantılarını (.EXE, .VBS veya .SCR gibi) açmayın. Hatta dilerseniz siz de bazı kullanıcıların yaptığı gibi web posta sunucularını bu ekleri engelleyecek şekilde yapılandırabilirsiniz. 

Bilgisayarınızda şüpheli davranışlar gerçekleşiyorsa internet bağlantısını devre dışı bırakın

Fidye yazılımların şifreleme işlemini tamamlaması için genellikle bir komuta ve kontrol (C&C) sunucusuna bağlanması gerekir. İnternet erişimi olmadığında, fidye yazılım bulaştığı cihazda kullanılamaz hale gelecektir. Kullanıcı saldırının ilk aşamalarında fidye yazılımı tespit etmeyi başarırsa internet erişimini devre dışı bırakarak olası zararları azaltabilir. 

Kullanabileceğiniz tüm araçlardan ve güvenlik özelliklerinden yararlanın

Birçok cihaz ve yazılım halihazırda entegre edilmiş olan ve sürekli güncellenen güvenlik özelliklerine sahiptir. Ev tipi yönlendiricinizin ürün yazılımını, bilgisayarlarınızın işletim sistemlerini ve yazılımını, mobil cihazlarınızı ve tarayıcıları en son sürüme güncelleyin. Buna, şirketinizdeki tüm sanal araçlar ve VPN’ler de dahildir. Ayrıca, tüm cihazların güncel ağları ve güvenilir satıcılardan alınan uç nokta güvenliği çözümlerini çalıştırması gerekir. (Bu çözümler izinsiz giriş önleme, web tehdidi koruması, istenmeyen postaları önleme, kimlik avı koruması ve tabii ki fidye yazılımı önleme özelliklerini içermelidir.) Trend Micro Maximum Security yazılımı PC’ler, mobil cihazlar ve Mac’ten oluşan uç cihazlar için kapsamlı koruma sağlar. Bu koruma sayesinde fidye yazılım gibi tehditleri önleyebilir ve kötü amaçlı oltalama e-postalarını engelleyebilirsiniz.

Fidye Yazılımların Yol Açtığı Riskler

Uzaktan çalışan ve fidye yazılımların kurbanı olan şansız kişiler, eğer yedekleri yoksa büyük ihtimalle verilerinin çoğunu kaybedecek ve kötü amaçlı yazılım şirketlerindeki BT ekibi tarafından kaldırılmadıkça bilgisayarlarını kullanamayacaklardır. Yaşanabilecek en kötü senaryo ise kötü amaçlı yazılımın bu kullanıcıların bilgisayarlarını saldırının başlangıç noktası olarak kullanıp şirket ağına sızması olacaktır. Son zamanlarda fidye yazılım saldırganları yalnızca kurbanlarının dosyalara erişimini engellemekle kalmıyor. Fidyeyi ödememeleri durumunda da kurbanlarını verileri ifşa etmekle tehdit ederek “çifte şantaj tekniğini” kullanıyorlar.

Bir fidye yazılımın başarılı olması halinde kurtarma maliyetleri oldukça yüksektir. Değerli verilerin kaybedilmesine ek olarak, makinelere erişim sağlanamadığı için durmak zorunda kalan işlemler, şirketin kar hanesini büyük ölçüde etkiler. Saldırıdan zarar görmeleri halinde cihazların yeniden yüklenmesi veya değiştirilmesi gerekebileceğinden bahsetmemize gerek bile yok. Bununla ilgili yaşanan en kötü örneklerden biri, nakliye devi Maersk’in karıştığı olaydır. Şirket, saldırı sonrasında işlerinin kesintiye uğraması ve kurtarma masrafları nedeniyle 300 milyon ABD doları ödemek zorunda kaldı.

Fidye yazılımların beraberinde getirdiği riskler hem uzaktan çalışanlar hem de kuruluşlar için oldukça ciddidir. Bununla birlikte, tehdidi yönetmenin ve azaltmanın en iyi yolu, interneti kullanırken şüpheli davranışları tespit etmek için daima tetikte olmak ve yukarıda özetlenen en iyi uygulamaları takip etmektir. Her geçen gün daha fazla kuruluşun ve çalışanın uzaktan çalışma alanlarını benimsediği günümüzde, yeni normalimiz çalışma ortamını güvenli hale getirmek olmalıdır.

Siber Suç ve Dijital Tehditler, Fidye Yazılımlar, Kurumsal yazılarında yayınlanmıştır.

Microsoft Exchange Saldırısından Etkilendim, Ne Yapmalıyım?

Kısa süre önce gerçekleşen Microsoft Exchange Server saldırısı gibi büyük boyutlu siber casusluk saldırılarına nadiren tanık oluyoruz. Microsoft’a göre saldırının arkasında, Çin’in desteklediği ve dört güvenlik açığını kötüye kullanan bir saldırgan grubu var.

Yazar: Trend Micro

8 Mart 2021

Okuma süresi: 2 dakika

Sadece ABD’de 30 bin kurumun saldırıdan etkilendiği düşünülüyor. Bilgisayar korsanlarının kurbanların sistemlerini uzaktan kontrol ettiği düşünüldüğünde ise dünya çapındaki rakamlar daha çarpıcı olabilir. Shodan platformu üzerinden gerçekleştirdiğimiz son kontrollerde, bu güvenlik açıklarını gidermeyen 63 bin civarında korunmasız sunucu olduğunu tespit ettik.

Kurumların önceliği Microsoft’un sağladığı yamaları kullanarak sunucuların açıklarını kapatmak olmalıdır. Ancak yamaların hemen uygulanamayacağı durumlarda korunmasız sunucuların İnternet bağlantısı vakit kaybedilmeden kesilmelidir. Bu sırada Exchange sunucusuyla çalışan herkesin olası güvenlik ihlallerini tespit etmek için sistemlerini kontrolden geçirmesi gerekiyor.

Hem Microsoft’un hem de diğer otoritelerin konuyla ilgili önerilerine tamamen katıldığımızı belirtelim. Ayrıca XDR müşterileri, Trend Micro Vision One’daki hazır sorgu kalıplarını kullanarak sistemlerinin güvenliğinin ihlal edilip edilmediğini kontrol edebilir. Bu sorgu kalıplarına Knowledge Base bölümünde yayınladığımız yazıdan erişebilirsiniz. Aynı yazıda müşterilerimizin tüm güvenlik çözümlerinde uygulayabileceği ek tespit sistemleri ve koruma önlemlerinden de bahsettik.

Peki ne olmuştu?

Saldırıların izi şimdilik, Microsoft Exchange Server’daki dört farklı sıfır gün güvenlik açığının kötüye kullanılmaya başladığı 6 Ocak 2021 tarihine kadar sürülebildi. Saldırıyı gerçekleştiren yeni bilgisayar korsanlarına Microsoft sonradan “Hafnium” adını verdi. Saldırganlar, gerçek adreslerini gizlemek için ABD’de bulunan sanal özel sunucuyu (VPS) kullandı. Microsoft, her zamanki rutin yama tarihlerinin dışına çıkarak bir acil durum yaması yayınladı. Yamanın açıklama bölümünde Microsoft konuyla ilgili bazı konulara değindi:

“Saldırganlar, incelediğimiz saldırılarda güvenlik açıklarından yararlanarak e-posta hesaplarına erişime izin veren kurum içi Exchange sunucularına sızdı. Güvenlik açıkları, sızılan sistemlere uzun vadeli erişimi kolaylaştıran başka kötü amaçlı yazılımların kurulmasına neden oldu.”

Bu açıkların her biri art arda kullanılsaydı saldırganlar kendilerini yetkili Exchange sunucusu gibi tanıtabilir, Sistem kimliği altında kod çalıştırabilir ve sunucudaki yollara istedikleri dosyaları yazabilirlerdi. Hafnium grubunun, dört güvenlik açığını kötüye kullandıktan sonra saldırıyı bir adım ileriye taşıyarak kurbanlarının bilgilerini çalmaya devam etmek ve başka kötü amaçlı saldırılarda bulunabilmek için sistemlere web kabukları yerleştirdiği söyleniyor. Bu saldırılar kapsamında, kurumları zarara uğratabilecek fidye yazılımlar da sistemlere yüklenebilirdi.

Hem Beyaz Saray hem de ABD Siber Güvenlik ve Altyapı Güvenliği Kurumu (CISA) saldırıların geniş kapsamlı olabilecek sonuçlarından ötürü oldukça kaygılı. CISA, devlet kurumlarındaki Exchange sunucularının vakit kaybedilmeden güncellenmesi veya İnternet bağlantılarının kesilmesine dair bir talimat yayınladı.

Saldırılar, 2021 Ocak’ında yayınladığımız Chopper ASPX web kabuğu araştırmasıyla da bağlantılı olabilir. Trend Micro Research’ün, saldırıların birbiriyle nasıl ilişkili olduklarına ve gelecekte başka saldırılar olup olmayacağına dair analizleri devam ediyor.

Saldırıdan etkilendim mi?

Microsoft’un yaptığı ilk değerlendirmede, Hafnium’un bulaşıcı hastalık araştırmaları, hukuk, yüksek öğrenim, savunma, siyasetle ilgili düşünce kuruluşları ve STK’lar gibi sektörlerdeki kuruluşları hedef aldığı iddia edildi. Ancak, geniş kapsamlı en son saldırı dalgasında başka saldırganların da furyaya katılmış olabileceğine dair görüşler öne sürülüyor. CISA’nın eski şefi Chris Krebs, kaynağı ne olursa olsun bu saldırıların, genellikle güvenliğe az kaynak ayırabilen KOBİ’leri, eğitim sektöründeki kurumları ve eyaletlerle yerel yönetimleri daha şiddetli etkilenmiş olabileceğini düşünüyor.

Kurumunuzdaki Exchange Server sistemlerinin saldırıdan etkilenip etkilenmediğini aşağıdaki talimatları takip ederek kontrol edebilirsiniz:

  • Sunuculara sızılıp sızılmadığını kontrol etmek için Microsoft detection tool yazılımı aracılığıyla Exchange Server sistemlerinin kayıt günlüklerini tarayın.
  • Bu saldırıyla ilgili sızmayı somut olarak işaret eden göstergeleri (IoC) tespit etmek için Trend Micro Vision One aracılığıyla tarama yapın.

Bu adımlardan sonra ne yapmalıyım?

Taramanız sistemin güvenliğinin ihlal edilmediğini gösterdiyse ancak yamaları henüz yüklememişseniz, Microsoft’un sitesine giderek yamaları yükleyin.

Microsoft’un aracını kullanarak yaptığınız taramada sisteminizin güvenliğinin ihlal edilmiş olabileceğine dair kanıtlara rastlanmışsa bu güvenlik ihlalini bildirmeniz gerekmektedir.

Ancak izleyeceğiniz prosedürler kurum içi kaynaklara ve içinde bulunduğunuz şartlara göre değişir. KOBİ’ler ve büyük şirketler için tavsiyelerimiz aşağıdadır:

  1. Kurum içinde bir güvenlik ekibiniz yoksa, güvenlikle ilgili destek aldığınız hizmet sağlayıcısına veya Yönetimli hizmet Sağlayıcınıza başvurun.
  2. Kurum içinde güvenlik açıklarına müdahale edebilecek bir ekibiniz varsa atmanız gereken adımlara bu ekip karar verecek.
  3. Sızmayı somut olarak işaret eden göstergelerin sisteminizde olduğundan emin olmak için kapsamlı bir tarama yapılana kadar sistemlerinizi başka cihazlara kopyalamayın.
  4. Güvenlik ihlaliyle ilgili bildirim gereklilikleriyle hakkında bilgi almak için hukuk biriminizle görüşün.

Trend Micro’nun bu saldırıya özel tespitleri ve ek güvenlik önlemleri hakkında daha fazla bilgi edinmek için Knowledge Base bölümünde yayınladığımız