Siber Güvenlik

Bu kez oltalama saldırısı düzenlemek isteyenler oltaya geldi

Güvenlik donanım üreticisi WatchGuard Technologies şirketinin çalışanlarından biri geçtiğimiz haftalarda bir oltalama saldırısı girişimiyle karşılaştı. WatchGuard Technologies, saldırı girişimini ise, bu güvenlik stratejisiyle engelledi:

Takip

Hedef odaklı oltalama saldırısı (spear phishing) olarak bilinen taktik, saldırganın hedef bir kişiye göre oltalama saldırısını daha ikna edici kılmak adına uyarlaması olarak tanımlanabilir. Saldırgan hedefi hakkında bilgi toplayarak onu kandırmak için saldırısını ayarlar. Yapılan oltalama finans departmanı müdüründen çalışanına gönderilmiş gibi gözüken bir e-mail ile başlıyor. Mailde patron çalışanından acil bir para transferi yapılmasını talep ediyor.

Maili alan kişinin tamamladığı bilgi güvenliği eğitimi sayesinde finans departmanında çalışan personel e-mail’in şüpheli olduğunu anlıyor ve bilgi işlem departmana haber veriyor. WatchGuard şirketinde tehdit analisti olan Marc Laliberte saldırının tüm detaylarını paylaşıyor.

Direniş

Saldırıyı göz ardı etmek yerine WatchGuard saldırganla iletişim kurmaya devam ederek onun hakkında olabildiğince çok şey öğrenmeye çalışıyor. Gelen kutusuna ulaşan maile cevap veren Laliberte’nin aldığı ikinci mesaj bir telefon numarasına yönlendiriyor.

Email’in kaynak adresi Gmail’den rastgele seçilmiş 7 haneli bir numara olduğunu söyleyen Laliberte, saldırganın mesajda kimden kısıma patronun isim ve soyismini koyarak hedefini kandırmaya çalışmış olduğunu, mail adresini ayarlama ihtiyacı duymadığını belirtti. Gerekli eğitimi almamış bir çalışan patronunun ismini görüp bu mailin gerçek olduğuna inanabilirdi.

Sorgu

Kısa bir araştırma sonucunda saldırgan tarafından verilen numaranın Jacksonville şehrinde bir ev telefonu olduğunu tespit ediliyor.  Saldırganın aslında bu şehirde olmadığından şüphelenen Laliberte bu numara üzerinden kısa mesaj gönderdiğini keşfediyor. Siber saldırganlar kendi bulundukları yeri ele vermemek için genelde bu tip yöntemler kullanabiliyor.

Saldırganın numarasına mesaj atan Laliberte bir gün sonra şirketin ürün teslimatı için acil bir para transferi yapılması gerektiğini belirten bir cevap alıyor. Para transferinin mümkün olduğunu onaylayan Laliberte saldırganı oltaya getiriyor ve yapılacak işlemi detaylandırması için sorular soruyor.

Ödeme

Saldırgan New York’ta olduğunu iddia ettiği bir müşteriye 20 bin dolar havale yapılması gerektiğini söylüyor. Saldırgan havalenin yapılabilmesi için gerekli transfer bilgilerini de veriyor. Saldırgan bu detayları hedefinin güvenini kazanmak için paylaşırken bu bilgilerin yetkililer tarafından takip edileceğini bildiği halde biraz risk alıyor.

Ödemeyi Bekleyiş

Böylelikle Laliberte saldırganın isteyerek verdiği tüm bilgileri toplamış fakat bulunduğu yere dair bilgi alamamıştı. İşlemin ardından saldırgan bu transferin yapıldığına dair bir doğrulama mesajı bekliyordu. Bu şekilde Laliberte IP adresini almak için bir kod yazarak ÜRL linkini kısalttı ve saldırgana sanki transfer onayıymış gibi gönderdi.

Yakalanma

Saldırgan linke tıkladığı anda Laliberte’nin oluşturduğu sanal sunucu sayesinde kaynak İP’si ve tarayıcısını tespit etti. Saldırganın kaynak IP’si Nijerya’da bir adrese kayıtlıydı. Kod sayesinde Laliberte saldırganın iOS 9.3.1 çalıştıran bir iPhone kullandığını saptadı. Saldırgan Nijerya’da olmasına karşın kullandığı banka hesabı Amerika’da yerel adresinin olmasını gerektiriyordu. Bu da Amerika’da bir suç ortağı olabileceğini gösteriyordu. TD Bank ile iletişim kuran Laliberte verilen hesap numarasıyla alakalı soruşturma başlatılması talebinde bulundu.

Eğitimin Önemi

Bu oltalama girişimi siber saldırıların günümüzde ne kadar büyük bir tehdit haline geldiğini gözler önüne seriyor. Oltalama saldırıları için kullanılan savunma yöntemlerinin hiçbiri yüzde yüz koruma sağlamıyor. Teknolojik gelişmeler oltalama mesajlarının çalışanlara ulaşmasını zorlaştırsa da tamamen engellemiyor. IT personelinin sistem kullanıcılarını oltalama saldırılarını tanıma ve raporlama konusunda eğitmeleri gerekmektedir. Bu gibi hedef odaklı oltalama saldırılarının artması karşısında şirketler siber saldırı eğitimlerini olabildiğince güncel tutmalı ve bu gibi dolandırıcılıkları kullanıcıları bilgilendirerek engellemelidirler.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Hiçbir haberi kaçırmayın!

E-Bültenimiz ile gelişmelerden haberdar olun!

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

Başa dön tuşu