Vatandaşların kişisel verilerini oltalama saldırılarıyla ele geçirip dolandırıcılara satan 20 siber suçlu yakalandı.
Diyarbakır Siber Suçlarla Mücadele Şube Müdürlüğü ekiplerinin düzenlediği “kalkan operasyonu” kapsamında deep web üzerinde yürütülen sanal devriyede hackerlar yakalandı.
İl Emniyet Müdürlüğü Siber Suçlarla Mücadele Şube Müdürlüğü ekipleri, son zamanlarda şirketlerin, sistemlerinde veri ihlallerinin olduğunu bildirmesi üzerine çalışma başlattı.
Ekipler, “Deep Web” ortamında yürüttükleri sanal devriye faaliyetleri sonucu 20 hacker tespit etti.
Diyarbakır merkezli 11 ilde gerçekleştirilen eş zamanlı operasyonda 20 şüpheli yakalandı. Söz konusu adreslerde yapılan aramalarda çok sayıda cep telefonu ve bilgisayar ele geçirildi. Diğer illerde yakalanan şüpheliler ise uçakla Diyarbakır’a getirildi.
ÇALDIKLARI BİLGİLERİ DEEP WEB ÜZERİNDEN SATMIŞLAR
Emniyet kaynakları, şüphelilerin özellikle geniş yetkilere sahip üst düzey kamu görevlilerini hedef aldıklarını, gönderdikleri sahte maillere tıklayan kişilerin şifrelerini ele geçirdiklerini, bu şifreler sayesinde vatandaşların kimlik, adres, kredi kartı bilgilerini ele geçirip, bu bilgileri dolandırıcılara sattıklarını belirtti.
Şüphelilerin kurdukları illegal platforma herkesin üye olamadığı, üye olmak için “içeriden birileri”nin referans olması gerektiği ve içeride kalabilmek için işledikleri suçları birbirlerine anlattıkları ve ele geçirdikleri bilgileri paylaşmaları gerektiği belirlendi.
Bu platform üzerinden şüphelilerin, siber polislere yakalanmamak için neler yapılması gerektiğini de birbirlerine anlattıkları tespit edildi.
Örgütün elebaşı olduğu belirtilen şüphelinin başka bir suçtan halen tutuklu bulunduğu, yakalananlar arasında örgütün diğer yöneticilerinin yer aldığı, örgüt yöneticilerinin birbirlerini sadece sanal isimleriyle tanıdığı, gerçek hayatta tanışmadıkları da öğrenildi.
Türkiye’deki bankalara kayıtlı yaklaşık 100 bin kredi kartına ait bilgilerin sızdırıldığı iddia edildi.
Siber tehdit istihbaratı firması SOCRadar’ın Telegram grubundan paylaştığı bilgilere göre, hackerlar Türkiye’den 100 bin kredi kartının bilgisini ele geçirdiğini öne sürerek verileri dark web üzerinden satışa çıkardı.
Tehdit aktörü söz konusu verileri bir ödeme sistemi sitesinden sızdırdığını ve satışa çıkardığı kredi kartlarının en az yüzde 10 oranında geçerliliği olduğu iddia etti.
Saldırganın sızdırdığını öne sürdüğü bilgiler arasında ad,soyad, geçerlilik tarihi, kredi kartı numarası, ülke, adres ve e-posta gibi bilgiler yer alıyor. Hacker bilgilerin tümü için 4 bin dolara kadar ücret talep ediyor.
Türkiye Komünist Partisi’ne yönelik yetkisiz erişim elde ettiğini iddia eden bir hacker çaldığı verileri satışa çıkardı. Hackerın paylaşımında partinin ABD’li firma Twilio’daki hesap ve parolaları ise dikkati çekti.
Siber Tehdit İstihbaratı Firması SOCRadar’ın paylaştığı Dark Web ekran görüntülerine göre, TKP’yi hedef alan hackerlar partinin bilgisayar sistemlerine sızarak yerel ağa yönelik yetkisiz erişim yöntemi bulduklarını iddia etti.
Söz konusu verileri satışa çıkaran tehdit aktörleri forumdaki mesajda İngilizce “Teröristleri sevmiyorum” başlığını kullanması dikkati çekti. İlgilenenlere partiyle ilgili bazı verileri satabileceklerini aktaran tehdit aktörünün paylaştığı örnek veri setinde sosyal kampanyaları yönetmek için kullanılan ABD merkezli platform Twilio’daki hesaplar ve parolaları yer alıyor.
Twilio’ya yönelik geçtiğimiz ay büyük bir oltalama saldırısı düzenlenmiş ve şirketten hizmet alan yüzlerce firma saldırı kaynaklı veri ihlalinden etklenmişti.
Siber suç platformları kapandıkça yenisi açılıyor. Kapanan RaidsForums’dan sonra Breached siber suç dünyasında ön plana çıkmaya başladı.
500 binden fazla kullanıcı topluluğuna sahip olan dünyanın en büyük siber suç platformlarından biri olarak bilinen RaidForums, geçtiğimiz aylarda yapılan operasyonla çökertilmişti. Bu denli büyük bir platformun yerinin dolması ise uzun sürmedi. Breached adlı siber suç platformu, kurulalı birkaç ay geçmesine rağmen RaidForums’un halefi olarak büyümeye devam ediyor.
RAIDFORUMS’UN YERİNE GEÇTİ
Dünya çapında bilinen ve 2015 yılından beri faal durumda olan siber suç platformu RaidForums’un operatörlerine bu yılın ocak ayında yapılan operasyon sonucu site çökertilmişti. Yapılan operasyonda veri tabanlarına, çalıntı kimlik bilgilerine ve daha nice veriye el konulmuştu.
Tüm bunlara karşılık 2022’nin Mart ayında ise yeni bir siber suç platformu adını duyurmuş, RaidForums’un alternatifi olarak piyasaya çıkmıştı. BreachForums veya Breached olarak ortaya çıkan yeni platform, “pompompurin” adlı tehdit aktörü tarafından RaidForums’un tasarımıyla neredeyse aynı olan tasarımla piyasaya sürülmüştü.
Mart ayından itibaren geçen altı ayda 82 binden fazla kullanıcıya sahiplik yapan Breached, birçok siber suç faaliyetinin gözde platformlarından biri hâline geldi. Bu popülaritesiyle birlikte Breached, RaidForums’un yeni halefi olarak görülmeye başlandı.
SİBER SUÇ DÜNYASINDAKİ BOŞLUĞU ÇOK HIZLI DOLDURDU
Platformun oluşturucusu “pompompurin”, motivasyonunun RaidForums veri tabanlarını içeren bir platform oluşturmak olduğunu belirterek kullanıcıları yeni platforma çekecek olan büyük bir sızıntı veri tabanı oluşturtmaya başladı.
Daha önce RaidForums’da bulunan sızıntı veri tabanlarını platformda dolaştırmaya başlayarak kullanıcıları çekmeye çalışan “pompompurin”, kullanıcıları da aktif olarak katılmaya teşvik etti. Aktif olarak katılan kullanıcılara “kredi” sistemini tanıtan “pompompurin”, kullanıcıların veri tabanlarına ulaşma olasılıklarını artırarak kullanıcı kitlesini geliştirmeyi başardı.
Piyasaya çıktıktan iki hafta sonra 100’den fazla sızıntı veri tabanına sahip olan platform, bunları kullanıcılara açtı. Söz konusu sızıntı veri tabanlarından biri 2020 yılında RaidForums’ta paylaşılan Wattpad sızıntısıydı. 17 Mart 2022’de bir tehdit aktörü Wattpad veri tabanını yeniden paylaştı ve 270 milyon kullanıcının kişisel bilgilerini yeniden yayımladı.
Eski RaidForums sızıntılarından hariç olarak platformda yeni sızıntılar da eklenmeye başladı. Rusya-Ukrayna savaşının siber suç ortamını etkilediği bilinirken bunun yansıması olarak platforma da her iki ülkeyle alakalı sızıntılar eklendi. Örneğin 6 Mayıs 2022’de bir tehdit aktörü, ad, e-posta adresi, fiziki adres ve telefon numaraları dahil olmak üzere 31 milyon kimlik bilgisini ifşa eden bir Rus tıp laboratuvarının veri tabanını paylaştı.
Mart’tan Ağustos 2022’ye kadar, yüzde 39’u platformda paylaşımda bulunan 82.000’den fazla üye Breached’e kaydoldu. Yeni platformda ayda yaklaşık 34.000 gönderi oluşturuldu. Buna karşılık 2021 boyunca RaidForums’ta ayda 55.000’den fazla gönderi yayınlandı.
Temmuz 2022’de, Breached’e kayıtlı kullanıcı sayısında bir sıçrama yaşandı. 24 Haziran 2022’de 20.000’den fazla kayıtlı kullanıcı varken Temmuz sonunda bu sayı neredeyse 52.000 kayıtlı üyeyle iki katına çıktı.
Kullanıcı sayısı arttıkça gönderi sayısı da artan platformda yalnızca Temmuz ayında yaklaşık 65 bin gönderi paylaşıldı. Böylelikle yeni siber suç platformu RaidForums’un yerini giderek doldurmaya başladı.
RAIDFORUMS’UN EN AKTİF ÜYELERİ BREACHED’E GELDİ
Breached, RaidForums’un tasarımını ve veri tabanlarını almakla kalmadı, RaidForums’un en aktif on kullanıcısı da yeni siber suç platformuna taşındı. Kimi orijinal takma adlarına benzer takma adları kullansa da çoğu tehdit aktörü aynı adla platforma katıldı.
Söz konusu kullanıcılardan bazıları RaidForums’ta paylaştığı gönderi sayısından 6 aylık süreçte daha fazla gönderi paylaştı. Bu ise eski RaidForums kullanıcılarının yeni platformu benimsediklerini gösteren emarelerden biri olarak görünüyor.
FİDYE YAZILIMI AKTÖRLERİNDEN RAĞBET VAR
Breached’te görünen aktörlerden bazılarıysa fidye yazılımı çeteleri oldu.
Everest, SolidBit gibi fidye yazılımı çetelerinin yanı sıra Chaos, Redeemer gibi fidye yazılımlarının geliştiricileri ve satıcıları da platformda yer aldı.
Breached’te fidye yazılımı çeteleriyle ilgili olarak görülen bir detaysa fidye yazılımı operatörlerinin paylaşım yapmasına izin verilmesi. Operatörler gerek işe alım gerekse ticaret yapmak gibi birçok amaç doğrultusunda platform içerisinde paylaşım yapabiliyor.
RAIDFORUMS’U GEÇEBİLİR
Tüm bu gelişmelerle birlikte Breached, kısa bir zaman diliminde büyük bir veri sızıntı pazarı hâline geldi. Artan kullanıcı sayısı, platformdaki aylık gönderiler, RaidForums’tan bilinen aktörlerin platforma katılmayı seçmesi gibi veriler, sitenin popülaritesini ve etkisini gözler önüne seriyor.
Bunun yanı sıra fidye yazılım operatörlerine verilen paylaşım izni gibi çeşitli etkinlikler de siber suçluların çeşitli amaçlar doğrultusunda platformda yer edinebileceği anlamını taşıyor. Breached’in önümüzdeki aylarda daha fazla popülerlik kazanacağı ve RaidForums’tan daha büyük ve karmaşık hâle geleceği düşünülüyor.
Popüler sosyal medya platformu Twitter üzerinde bulunan 5,4 milyon hesaba ait bilgilerin bulunduğu bir veri tabanı satışa çıkarıldı.
Dark Web’de bir forumda yayımlanan mesajda siber tehdit unsurları, Twitter’da tespit edilen ve daha sonra düzeltilen bir güvenlik açığını istismar ederek 5,4 milyon hesabın verilerini elde ettiğini iddia etti
Verileri tümünü 30 bin dolar bedelle satışa çıkaran tehdit aktörleri, veri tabanında ünlülerin ve büyük firmaların da hesaplarına ait bilgilerin yer aldığını öne sürdü.
Örnek veri setini de paylaşan saldırganların ele geçirdiği veriler arasında e-posta ve telefon numaraları da yer alıyor.