Hacker’lar Karantinada Koronavirüsü Kullanarak
Siber Alemde Koronavirüs Saldırıları ve Dikkat Edilmesi Gerekenler
KORONAVIRÜS ile beraber iş, eğitim, alışveriş gibi hayatımızın neredeyse tamamını kapsayan alanların online ortama taşınması, siber saldırganların da iştahını kabarttı. Hacker’lar karantina sürecinde koronavirüsü kullanarak, birbirinden enteresan yöntemlerle saldırdılar, saldırmaya da devam ediyorlar. Hastanelere, tıbbi tesislere, müzik dosyalarına, videolu toplantılara, korona takip haritalarına, alışveriş sepetlerine, evden çalışma uygulamalarınıza sızıyor, popüler uygulamaları taklit ediyor, verilerinizi ele geçirip banka hesaplarınıza ulaşıyorlar. Uzmanlar siber alemdeki koronavirüs saldırılarını ve dikkat edilmesi gerekenleri anlattılar…
SAĞLIK HEDEF TAHTASINDA
Koronavirüs ile mücadele eden sağlık sektörü hacker’ların yoğun saldırılarına maruz kalıyor. Uluslararası 40’tan fazla sağlık örgütü, hacker’lardan siber saldırılara son verilmesi çağrısmda bulundu. Ortalama 6.45 milyon dolar zararla en pahalı veri ihlallerinin yaşandığı sağlık sektöründeki siber saldırılara dikkat çeken WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, veri ihlalleri ve fidye yazılımı saldırılarına karşı sağlık sektörünün gelişmiş siber güvenlik çözümlerine sahip olması gerektiğini belirtti. Sağlık kuruluşlarında gerçekleşen bir ihlalin keşfedilmesinin ortalama 124 gün sürdüğüne dikkat çeken Evmez, “Bu süre içerisinde hacker’lar istedikleri gibi verileri sızdırırken, gerçekleştirdikleri fidye yazılımı ve gelişmiş diğer saldırılarla hastanelerin hizmetlerinin işleyişini de aksatabiliyor” dedi.
Bitdefender Antivirüs’ün sunduğu rapora göre, Mart ayından itibaren hastanelere yönelik tespit edilen siber saldırıların yüzde 60 oranında arttı. 2020’nin ilk altı ayında tüm dünyadan 16 milyar kişisel veri kaydı, siber korsanlar tarafından sızdırıldı. Fidye yazılım saldırıları koronavirüs araştırmalarına odaklanan tıbbi tesisleri rahatsız etmeye odaklandı. Yılın ilk çeyreğinde, 2.5 milyondan fazla kişiyi etkileyen 100’den fazla veri ihlali olayı bildirildi. Karanlık webde tıbbi kayıtlar her zamankinden daha fazla arandı ve tıbbi kimlik hırsızlığı vakalarının sayısı arttı.
POPÜLER DJ’LERİ KULLANIYORLAR
Evlerimize kapandığımız süreçte bazı ünlü sanatçılar Facebook Live, YouTube ve Twitch gibi online yayın servislerine yöneldi. Bu durum siber saldırganların iştahını kabarttı. Güvenlik yazılımları firması Kaspersky’nin araştırmacıları, dünyanın en popüler DJ’leri listesinde yer alan isimlerin parçalarında zararlı dosyaların gizlendiğini keşfetti. Çoğu kişi istediği müziği indirip çevrim dışı dinleme yoluna gidiyor. Ancak müziğin kaynağına dikkat etmemek riskleri de beraberinde getiriyor. DJ Mag Top 100 DJ listesini inceleyen Kaspersky’nin araştırmasında David Guetta, Alan Wal-ker, Dj Snake, Calvin Harris ve Martin Garrix’in siber suçlular tarafından en çok kullanılan isimler olduğu ortaya çıktı. Elektronik müzik tutkunlarından yararlanmak isteyen siber suçlular bu isimleri zararlı dosyaları yaymak için kullanıyor. Kaspersky Güvenlik Araştırmacısı An-ton Ivanov, “İnsanlar evde daha çok vakit geçirmeye başladıkça daha fazla içerik tüketir oldular. Yayınlar veya online hizmetler üzerinden müzik dinlemenin bir zararı yok, fakat sevilen şarkıları cihazlara indirirken dikkatli olmak gerek. Tuzağa düşmemek için sanatçının son albümlerinin ve parçalarının adlarını iki kez kontrol edin. Dosya adı şüpheli görünüyorsa veya şarkıyı daha önce hiç duymadıysanız indirmeyin. Şarkı indirmek için güvenilir kaynaklardan yararlanın” dedi.
KORONA HARİTALARI TEHLİKELİ
Güvenlik yazılımları firması ESET, koronavirüs günlerinde siber suçluların Türkiye’yi hedef alan bir aldatmacasını ortaya çıkardı. Saldırganlar ‘Koronavirüs Taşıyıcı Haritaları‘ ile cep telefonu kullanıcılarına mobil bankacılık Truva atı yükletmeye ve online bankacılık veya kredi kartı bilgilerine ulaşmaya çalıştı. ESET Kıdemli Güvenlik Araştırmacısı Lukas Stefanko’nun tespitine göre, bu bankacılık Truva atı, Android sistemli telefonlar için hazırlanan Covid-19 izleme haritalarında gizleniyor. Cerberus olarak adlandırılan bu kötü amaçlı yazılım ‘Koronavirüs Taşıyıcı Haritası’, ‘coronaharitasi‘, ‘coronaharitasicanli‘ gibi sıcak gündeme hitap eden ama aslında sahte olan site ve uygulamalarda yer alıyor.
Peki nasıl çalışıyor? İnternette gezinirken kullanıcının karşısına koronavirüs taşıyıcı haritaları ile ilgili uygulamalara yönelik linkler veya reklam bağlantıları geliyor. Bu bağlantılarda Goog-le Play’e yönlendirildiği belirtilse de aslında başka bir site üzerinden sahte bir uygulama indirtilmeye çalışılıyor, indirdikten sonra uygulama, çalışabilmek için kullanıcıdan çeşitli yetkiler talep ediyor. Bu yetkilerin içinde ekran görüntüsünün iletilmesi izni de var. Kullanıcı, bir bankacılık uygulamasına girdiğinde veya kredi kartı ile işlem yapmaya kalkıştığında Cerberus zararlısı, siber hırsıza finansal bir hareket olduğuna dair uyarı iletiyor. Bu nedenle siber suçlu, finansal işlem yapan kişiyle kişi ile aynı anda harekete geçiyor, ekran görüntüsü alabildiği için de, telefona gelen doğrulama SMS mesajım görüp, hızlıca harekete geçebiliyor.
Stefanko, bu tür oltalama çabalarının ağma düşmemek için şu önerilerde bulunuyor: “Merak ettiğiniz konularla ilgili karşınıza çıkan her linke tıklamayın. Koronavirüs konulu oltalama çabalarının çok arttığı şu dönemde, cazip teklif ve yönlendirmelerle ilgili ekstra temkinli olun. Yalnızca bankanızın resmi sitesiyle bağlantılı mobil bankacılık uygulamalarına güvenin.”
VERİLER DARK WEB DE
Uzaktan çalışma veya eğitim nedeniyle görüntülü konferans sistemlerinin kullanımında yüzde 200 artış yaşandı. Video konferans uygulaması Zoom, evden çalışmak zorunda kalan milyonların hayatına bir anda giriverdi. Bu popülerlik elbette saldırganların da dikkatini çekti. ABD’de New York Eğitim Departmanı, İngiltere Savunma Bakanlığı, Tayvan ve Singapur’un Eğitim Bakanlıkları gibi pek çok kuruluş, pandeminin ilk günlerinde bu platformun kullanımını kısıtladı veya yasakladı. İlk önce uygulamanın iOS sürümünün, kullanıcıların Facebook hesabı olmasa bile Facebook’a istatistikler gönderdiği ortaya çıkmıştı. Ardından, 500 binin üzerinde Zoom kullanıcısının bilgileri siber saldırganlar tarafından Dark Web üzerinden satışa çıkarıldı.
Siber güvenlik firması Kaspersky, karantina günlerinde Zoom, Webex ve Slack gibi popüler video görüşme uygulamalarına benzer isimlere sahip yaklaşık 1300 dosyada 200 farklı tehdit belirlendi. Bunların içinde en çok öne çıkanlar DealPly ve DownloadSponsor adlı iki reklam yazılımı ailesi oldu. Her ikisi de reklam gösteren veya reklam modülleri indiren yazılımlardan oluşuyor. Bu tip yazılımlar genellikle resmi olmayan yerlerden indirilen uygulamalarla cihazlara bulaşıyor. Reklam yazılımları zararlı yazılım türleri arasında gösterilmese de gizlilik açısından risk taşıyabiliyor. Kaspersky uzmanları, uygulama kısa yolları şeklinde gizlenen tehditlere de rastladı. Suçluların siber tehditleri yaymak için adını en çok kullandığı sosyal toplantı uygulaması ise Skype. Kaspersky uzmanları, bu uygulamanın adını kullanan 120 bin şüpheli dosya buldu. Diğer uygulama isimlerinin aksine bu isim, yalnızca reklam yazılımları yaymak için değil Truva atları başta olmak üzere çeşitli zararlı yazılımları yaymak için de kullanılıyor.
UZAKTAN ÇALIŞMANIN RİSKLERİ
Uluslararası danışmanlık ve denetim şirketi EY (Ernst & Young) Türkiye, Covid-19 salgını ile ilgili şirketlerin siber riskler, operasyonel güvenlik ve Sürdürülebilirliği sağlamalarına destek olmak amacıyla hazırladığı bir çalışma yayınlandı. Çalışmaya göre, şirketlerin uzaktan çalışma modeline geçmesi, yeni siber risklerin oluşmasına neden oldu ve bu risklere ilişkin önlemler geliştirilmesine yönelik ihtiyaç artış gösterdi. Güvenlik yerine erişilebilirliği tercih eden yaklaşımların şirketler için siber tehditler yarattığını belirten EY Türkiye Şirket Ortağı ve Siber Güvenlik Hizmetleri Lideri Ümit Yalçın Şen, karşılaşılabilecek sorunlarla ilgili şunları aktardı:
“Özellikle yönetilmeyen yazılım ve varlıklar, bu zorlu dönemde şirketler için ciddi risk oluşturuyor. Bu tür yazılım ve varlıklar, onaylı uzaktan çalışma yazılımlarından memnun olmayan veya kullanma güçlüğü çeken kullanıcıların kendi uygulamalarını yüklemelerine veya gölge BT kurmalarına neden olabilir. Sahte haber güncellemeleri, ihtiyati yönlendirme, virüs haritaları, tahlil sonuçları veya çalışan bilgi notları araç olarak kullanılabilir. Şirketlerin çalışanlarına önemli yönlendirmeler yapmalı. Uzaktan çalışmak için kullanılan ofis ekipmanlarının diğer hane halkı tarafından kullanımına izin verilmemesi, kişisel bir cihaz üzerinden iş yapmak gerektiğinde antivirüs gibi güvenlik önlemlerinin alınması, kurum politika ve prosedürlerine uyulması, şüpheli e-postaların açılmaması, şüpheli web site linklerine tıklanmaması gibi…”
Dr. İhsan ÇİÇEK / Procenne Co-CTO’su
“Yerli uygulamalar geliştirmeliyiz”
Yerli Donanımsal Güvenlik Modülü (HSM-Hardware Security Modüle] üreticisiyiz. B dönemde dyital güvenlik çözümleri şirketler açısından gittikçe önem kazanıyor.
Olası siber tehditlere karşı önlem alarak verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini koruyabilmek çok önemli. Yerli teknoloji geliştirmek için nasıl çalışıyorsak, ülkemizin siber uzaydaki sonsuz sınırlarını korumak amacıyla da gerekli tedbirleri almak zorundayız. Dünya bilgi ekonomisine doğru evrilirken ve veri petrolün yerini alırken, djjital varlıklarımızın yani her türlü bilginin yerelde, yerli teknolojilere dayalı korunması ve saklanması 21. yüzyılın siber Türkiye’si için hayati bir önem arz ediyor. Bu konuda eğitim ve yetişmiş insan gücü en önemli sermayeyi oluşturuyor.
Gürsel TURSUN / Komtera Teknoloji Kanal Satış Direktörü
“Üç temel kimlik avı yöntemi kullanılıyor”
Saldırganların kullandığı üç temel kimlik avı yöntemi var. Sunucu dosyalarınızı veya alan adlarınızı tehlikeye atan ‘DNS tabanlı teknik’, müşterileriniziz kişisel bilgilerini veya ödeme ayrıntılarını girmesi için yanlış bir web sayfasına yönlendirir. Çalışanlarınızdan ve müşterilerinizden kişisel bilgileri alabilmek için kullanılan ‘içerik temelli teknik’, genellikle farklı web sitelerinde aynı şifreyi kullanan kişileri hedefler. İçeriklerin içine çekilerek veriler elde edilir. ‘Ortadaki adam tekniği’ ise, suçluların kendilerini şirketinizin web sitesi ile müşterinizin arasına ya da çalışan ile müşterinizin arasına yerleştirmesini içerir. Bu, müşterinizin kişisel ve kredi kartı bilgileri gibi girdiği tüm bilgileri toplamasına olanak tanırken, müşterinizden size gelecek ödemeler, veriler gibi diğer tüm işlemlerin kendilerine geçmesini sağlar.
Ofise dönüş nasıl olmalı?
Bitdefender Antivirüs’ün Türkiye Genel Müdürü Barbaros Akkoyunlu, ofis düzenine geri dönen firmaların tüm cihazlara virüs bulaşmış gibi yaklaşması gerektiğini belirterek, bir dizi güvenlik önlemi sıraladı:
“Uzaktan çalışmanın yol açabileceği dijital karmaşayı temizlemek, çalışanlar ofise dönmeye başladığında önemli bir öncelik olacaktır. İşle alakalı olmayan yazılımlar, video konferans yazılımları, oyunlar ve indirilen diğer dosyalar risk yaratabilir. Bu nedenle bilgisayarlardaki riskleri azaltmak ve depolama alanı açmak için tüm cihazlar genel bir virüs taramasından geçmeli ve gereksiz yazılım ve dosyalardan temizlenmeli. Tüm parolaları sıfırlayın. Çalışanlarınız büyük olasılıkla evdeyken yeni hizmetlerde veya cihazlarda sürekli aynı parolaları kullanmış ve erişim kimlik bilgileriyle İlgili güvenli olmayan alışkanlıkları tekrarlamışlardır. Kritik sistemlere, uygulamalara ve verilere erişim İçin tüm parolaları ve kimlik bilgilerini sıfırladığınızdan ve çok faktörlü kimlik doğrulamanın aktif olduğundan emin otun. Kişisel cihazların ofisteki kurumsal ağa bağlanmasını sınırlandırın. EDR çözümünüzün güncel olduğundan ve çalıştığından emin olun ”
URUN DİRİER