Koronavirüs salgını ile zorlu şartlarda mücadele edildiği günlerde, siber saldırılar içerisinde sağlık kurumlarının da olduğu kritik altyapıları hedef alıyor. Çekya’da bir havaalanı ve hastanelere yönelik saldırıların gerçekleştiği açıklandı. Saldırılar ülkenin siber güvenlik izleme kurumu NUKIB’in perşembe günü ‘siber saldırı bekliyoruz’ açıklamasının ardından geldi.
Prag Havaalanının web sitesini hedef alan ilk saldırılar hazırlık aşamasında durdurulurken, hastanelere yönelik saldırılar da alınan önlemler ile başarısız oldu.
Karlovy Vary şehrindeki bölge hastanesi siber saldırının hedefi oldu. Cumartesi gecesi iki kez sistemlerin hedef alındığı hastane yönetimi saldırıları boşa çıkardı. Bunun dışında cuma günü de ülkenin farklı bölgelerinde bulunan hastanelere saldırılar kaydedildi. Bu saldırıların da durdurulduğu açıklandı.
Koronavirüs salgını sırasında Bleepingcomputer web sitesi fidye yazılım yapan saldırgan grupları ile röportaj yapmış, saldırganlar hastaneleri hedef almayacaklarını söylemişti. Fakat ilerleyen günlerde hastaneleri fidye yazılım saldırı düzenlendiği görülmüştü.
Çekya siber güvenlik izleme organı NUKIB perşembe günü ülkenin sağlık kuruluşları başta olmak üzere kritik altyapılarını hedef alan siber saldırılar beklediğini açıklamıştı. NUKIB’in yakaladığı saldırı teşebbüsünü inceleyen uzmanlar yazılımın yayılması için koronavirüs temalı bir sosyal mühendislik senaryosu kullanıldığını belirtmişti.
ABD DIŞİŞLERİ BAKANINDAN DİKKAT ÇEKEN AÇIKLAMA
ABD Dışişleri Bakanı Mike Pompeo beklenmeyen bir şekilde konuyla ilgili cuma günü bir açıklama yaptı. Çek Cumhuriyeti’nin sağlık sektörüne yönelik siber saldırı tehditlerinin ABD’de endişe uyandırdığı ifade edildi. Pompeo’nun açıklamasında böyle bir saldırıya girişenlerin sonuçlarına hazır olmaları gerektiği mesajı da verdi. Ukrayna’yı hedef alan Rus kaynaklı siber saldırılardan sonra vaka sonrası operasyonlara aktif olarak katılan ABD’den daha saldırı düzenlenmemişken üst düzey bir açıklama gelmesi dikkat çekti.
İsmini vermek istemeyen bir Çek yetkili, saldırının arkasında kimin olduğunu ispatlanamadığını fakat ‘ciddi ve gelişmiş bir düşmandan’ geldiğinin düşünüldüğünü ifade etti. Çekya Dışişleri Bakanlığı da konuyla ilgili yaptığı açıklamada koronavirüs salgınıyla mücadele devam ederken düzenlenen saldırının ‘aşırı derecede merhametsiz’ olduğu dile getirildi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Online platformlarda kullanıcıların adımlarının izlenmesi internette insanların kendilerini en savunmasız hissettiği konulardan biri. İnternette iz bırakmadan yol almayı tümüyle mümkün kılan bir çözüm yok. Ancak internette tamamen olmasa da görünmez olmanın birtakım yolları bulunmakta. İnternette dolaşırken ayak izimi nasıl yok edebilirim? diye soranlar için VPN kullanmaktan tarama geçmişini silmeye kadar bu seçeneklerden öne çıkanları sizler için derledik:
Gizli pencere kullanın!
Incognito mode olarak bilinen gizlilik modu internet kullanıcılarına tarayıcı vasıtasıyla sunulan bir gizlilik özelliği. Chrome’da incognito penceresi, Firefox ve Safari’de ‘özel’ pencere olarak adlandırılan bu özellik sanal dünyada mümkün olduğunca az dijital ayak izi bırakmanın en kolay yolu. Bu özellik aktifleştirildiğinde o sekmede yaptığınız hiçbir işlem kaydedilmiyor. Yaptığınız herhangi bir arama ve cookie (çerez) de hafızaya alınmıyor. Ancak bu durumun bazı istisnaları da var. Örneğin Google, Amazon, facebook gibi sitelerdeki hesaplarınıza giriş yapmış durumdaysanız, gizli modda olup olmadığınıza bakılmaksızın yaptığınız işlemler kaydedilir. İnternet sağlayıcınızın ya da işvereninizin gizli modda işlem yapıyor olmanıza rağmen internet geçmişinizi görme imkanı bulunuyor. Firefox’ta bu özelliği aktifleştirmek istediğinizde Windows kullanıcısıysanız Shift+Ctrl+P, Mac kullanıcısıysanız Shift+Cmd+P komutunu kullanmanız yeterli. Diğer tarayıcılar için komutlar ise Shift+Ctrl+N (Windows) ve Shift+Cmd+N (Mac).
Daha çok, başka bir ülkeden internet erişimi sağlıyormuş gibi görünmeyi sağlamak için kullanılan VPN internetteki izlerinizi silmenin bir yolu olarak da kullanılıyor. Incognito modu çevrimiçi yaptıklarınızı yerel bilgisayarınızdaki tarayıcınızdan gizlemenize olanak verirken, VPN bunu diğer herkesten özellikle de internet sağlayıcınızdan saklamanıza imkan tanır. Incognito özelliği için yapılan uyarı, VPN için de geçerli. Twitter ve Facebook gibi platformlara giriş yaptıysanız, VPN olup olmadığına bakılmaksızın işlemleriniz kayıt altına alınmaya devam eder.
İzinizi kaybetmenin en basit ve komplike olmayan yollarından biri de sık sık tarama geçmişinizi silmek. Mac’te bu işlemi yapmak için Safari’de önce Geçmiş’i, ardından Geçmişi Temizle’yi seçin. Daha sonra açılan iletişim kutusu tarayıcınızın belleğini son bir saat, son bir gün, son iki gün veya tüm zamanların verisini silmenize olanak tanır. Microsoft Edge’de, tarayıcı arayüzünün sağ üst köşesindeki üç noktayı tıklayın, ardından Geçmiş ve Tarama Geçmişini Temizle’yi seçin. Aynı şekilde verilerinizi son bir saat, son bir gün, son hafta veya son dört hafta için silebilirsiniz. Her şeyi silmek de mümkün.
Firefox’a gelince, sağ üst köşedeki üç çizgiyi ve ardından Tercihler tıklanarak tarama geçmişini silme seçeneğine ulaşmak mümkün. Gizlilik ve Güvenlik’i ve ardından Geçmişi Temizle’yi tıklayın. Yine karşınıza zaman aralıkları çıkacak. Firefox ayrıca gizli modu kullanıp kullanmadığınıza bakılmaksızın tarama geçmişinizin kaydını hiç tutmama seçeneği de sunar.
Chrome’da, yine sağ üst köşedeki üç noktayı tıklayarak geçmişi silmeniz mümkün. Önce tarayıcı menüsünü açın ve ardından Ayarlar’ı tıklayın. Tarama verilerini temizle’yi tıkladığınızda, tarama geçmişinizi ve çerezler gibi diğer verileri silme seçeneğiniz bulunuyor. Seçebileceğiniz zaman aralığı 24 saatten tüm zamanlara kadar değişiyor.
Google ve Chrome söz konusu olunca ise iş biraz değişiyor. Ağ tarayıcınız Google hesabınıza bağlı ise yaptığınız işlemler hem yerel bilgisayarınızdaki Chrome tarafından hem de Google tarafından buluta kaydedilir. Google hesap ayarlarına girerek tüm geçmişinizin kontrolünü elinizde tutabilirsiniz.
Bunların dışında çok daha ciddi bir korumaya ihtiyaç duyuyorsanız bir VPN gibi çalışan Tor tarayıcısına geçin. Tor, tarayıcınızı dünya genelindeki farklı sunucular arasında gezdirerek, etkinlik geçmişinizin sizinle ilişkilendirilmesini oldukça zorlaştırır.
Korunma noktasında daha ileri gitmek isterseniz Tails OS işiniz görecektir. Tor tarayıcısı etrafında oluşturulan bir USB ile çalıştırabileceğiniz bir işletim sistemi. Mantığı tüm sistem için bir incognito modu oluşturmak üzerine kurulmuş.
Koronavirüs salgınına geç tepki vermekle eleştirilen Britanya Başbakanı Boris Johnson, Covid-19 testinin pozitif çıkmasının ardından alındığı karantinada ilk kabine toplantısını Zoom üzerinden yaptı. Johnson kabine toplantısının ekran görüntüsünü Twitter’dan paylaşınca güvenlik uzmanlarının tepkisini çekti.
Johnson, internet üzerinden yapılan kabine toplantısı sırasında telekonferansa katılımı sağlayan kimlik numarasını sosyal medya üzerinden paylaştı.
Koronavirüs salgınından sonra yoğun bir şekilde kullanımı başlayan Zoom uygulamasının çeşitli güvenlik sorunları da gündeme geliyor. Geçtiğimiz günlerde Zoom yayınladığı bir güvenlik yamasıyla Facebook’a kişisel veri gönderen bir açığını kapadı. Ayrıca İngiltere Savunma Bakanlığı da yaptığı açıklamada milli güvenlikle ilgili toplantıların Zoom üzerinden yapılmadığını bildirmişti.
JOHNSON DALGA KONUSU OLDU
Kısa süre sonra Twitter kullanıcıları Başbakan’ın “Zoom toplantı ID numarasını” silmediğini ve bazı bakanların kullanıcı adlarının görüldüğünü fark etti.
Birçok kişi, “bir sonraki kabine toplantısına” katılabilmek için telekonferansın şifresini bulmaya çalıştı. ID numarası öğrenilse de toplantılara katılmak için hâlâ şifre gerekiyor.
Başbakanlık, dijital kabine toplantılarının güvenli olduğunu ve ID’nin şifre ile korunduğunu ifade etti.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Koronavirüs salgını nedeniyle alınan önlemler çerçevesinde pek çok şirket çalışanlarına ofise gelmeden uzaktan çalışma imkanı sağlamak zorunda kaldı. Sistemlere uzaktan bağlanılması beraberinde tehdit aktörlerinin istismar edebileceği durumların sayısını da artırdı. Özellikle daha önce uzaktan çalışma tecrübesi bulunmayan kurumlar ciddi siber güvenlik riskleriyle karşı karşıya kalabiliyor.
Siber güvenlik uzmanları ise orta vadede alınabilecek bazı önlemleri sıraladı:
‘Corona’ sanal ortamda da tehlikeli!
Yapılan araştırmalar, koronavirus salgını sonrası “Corona” kelimesini içeren 4000 alan adı kayıt işlemi yapıldığını ve bu web sitelerinin %50’sinin zararlı içeriklerden oluştuğunu gösteriyor. Siber tehditlerin arkasındaki aktörler, bu hassas durumdan çıkar elde edebilmek için çalışanlara koronavirüs ile ilgili bilgi süsü veren oltalama e-postaları göndererek kimlik bilgilerini isteyebilir, eposta içeriğindeki bağlantılar ya da ekteki dosyalar yoluyla sistemlere zararlı yazılımlar bulaştırabilir. Çalışanlara verilecek temel bir siber farkındalık eğitimi ile zararlı epostaları ayırt ederek hem kendi verilerini hem de kurumsal verileri tehlikeye atmalarının önüne geçilebilir. Ayrıca eposta güvenlik kontrollerini de virüs taraması, yığın posta ayıklama gibi işlemleri yaptığından emin olmalısınız.
Uzak erişimin olmazsa olmazı: VPN
Uzaktan çalışanların kurum ağına Sanal Özel Ağ (VPN) üzerinden bağlanması, iletişimin şifreli gerçekleştirilecek uzaktan dinlenebilmesinin önüne geçer. Bu erişimi güvenlik duvarı ve saldırı engelleme sistemleri gibi çeşitli güvenlik kontrollerinden geçirebilirsiniz. VPN ve diğer hizmetlerde çok faktörlü kimlik doğrulamasına geçiş yapmanız, kimlik bilgileri ele geçirilse dahi ağınızı ve verilerinizi güvende tutacaktır. Ayrıca, sisteme uzaktan erişecek kullanıcıların tam erişim yerine, kendi yetkileri dahilindeki varlıklara erişmesini sağlayacak ayarları yapabilirsiniz.
Fiziksel güvenliği ihmal etmeyin
Kurum erişimi olan bilgisayar, telefon gibi cihazlarda verilerin şifrelenerek saklanmasını sağlayabilirsiniz. Böylece bu cihazlar kaybolsa ya da çalınsa dahi, içerisindeki hassas bilgilere erişilemez. Ayrıca hack’lenme ihtimaline karşı, şifrelemeyi sadece disk için değil, klasör ve dosya bazında da yapabilirsiniz.
Hangi kablosuz bağa bağlandığınıza dikkat!
Hassas verilerinizin ele geçirilmemesi amacıyla çalışanlarınızın herkese açık kablosuz bağlantılar kullanmamasını zorunlu hale getirebilirsiniz. WPA 2/3 gibi güvenli şifreleme protokolleri kullanan kablosuz ağları kullanmaları da veri güvenliği için önem taşımaktadır. Ayrıca, toplantıların alternatifi olan video konferanslar için kullanacağınız uygulamaların güçlü şifreleme protokolleri ile güvenliği sağladığından emin olun.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Gün geçmiyor ki dünya yeni ve ürkütücü sorunlarla güne uyanmasın. En son örnek Coronavirüs ve geldiği korkutucu düzey. Her küresel sorun çözüm arayışlarını ve bilimsel gelişmeleri beraberinde getiriyor. Bunun yanında bekleyiş ve arayış kötü niyetli amaçların da sahneye çıkmasını sağlıyor.
Siber güvenlik alanında bazı uzmanlar, büyük çapta siber saldırılar gerçekleştirmek için ve kötü niyetli amaçlarla Coronavirüs merkezli korkuların kullanılabileceği yönünde mesajlar vermekte. Independent merkezli haberlerde değerlendirilen konuların başında virüse duyulan korku ve siber alandaki gelişmeler dikkat çekici. Güvenlik firması Proofpoint de, insanları kandırmak için Coronavirüse dayandırılan kötü amaçlı yazılım ve oltalama e-postalarının birçok ülkeye yayıldığını vurgulamakta. Tıpkı gerçek hayattaki virüs gibi! Şirket ayrıca, saldırganların kötü niyetli etkinlikler yürütmek için Coronavirüs ile ilgili sahte web siteleri oluşturmaya başladığını gözlemlemekte.
Bir blog yazısında Proofpoint’in istihbarat ekibi; “Küresel olaylar genellikle geniş bir tanım ve aciliyet kombinasyonunda dünyanın dikkatini çekiyor. Ancak maalesef tehditten ve korkudan faydalanan aktörlerin de araçları haline dönüşüyor.” ifadesiyle Coronavirüs gibi küresel gelişmelerin hep bir fırsata dönüşeceği yönünde gerçekçi bir tespit yapıyor.
Japonya’da TA542 hacker grubu tarafından yayılan mesajlarda, yüz maskeleri ve diğer önlemler ile ilgili önemli bir belgeyi okumak için posta ekinin açılması yönünde e-postalar gönderilmekte. Ekin açılması, banka bilgileri de dahil olmak üzere kişisel verileri çalabilen Emotet adlı kötü amaçlı bir yazılımı aktif hale getirmekte. Virüs bulaşmış cihaz daha sonra başka saldırılar için de kullanılabilmektedir.
Emotet daha önce aktivist Greta Thunberg ile ilgili kampanyalarda, Noel veya Cadılar Bayramı hakkında ayrıntılar içeren dönemsel e-postalarda kullanılıyordu. Mimecast istihbarat direktörü Francis Gaffney bu e-postalar ile ilgili; “Siber alanda kötü amaçlı faaliyette bulunanlar e-posta üzerinden kimlik avına yönelik kampanyalar yürütmekte ve küresel olaylardan yararlanmaktadır. Bu fırsatçılar, altyapı ve savunma sistemlerindeki güvenlik açıklarını belirlemekte ve daha sonra saldırı yöntemlerini geliştirmektedir.” ifadelerini kullanmıştır. Francis Gaffney, küresel anlamda karışıklık dönemlerinin, toplumların korkuları üzerinden tehlikeli eklere tıklanarak hedeflere ulaşılmasında siber suçlular için önemli bir fırsat haline geldiği uyarısında bulunmuştur. Proofpoint, TA542’yi saldırılarını geliştirmeye devam edecek olan “üst düzey aktör grubu” olarak nitelendirmiş ve kullanıcıları güncel olaylarla ilgili istenmeyen e-postalar konusunda özellikle dikkatli olmaya davet etmiştir.
MASKEYİ SİBER SALDIRIYA ALET ETMEK
Benzer uyarıların önemsenmesi gerekmektedir. Emotet’in arkasındaki grup TA542 iyi organize olmakta ve eklerin açılmasını takip etmek, etkinliklerini artırmak için son Coronavirüs salgınını ve iklim değişikliği tartışmalarından yararlanmaktadır. Proofpoint araştırmacıları şu anda sadece Japonca içerikli e-posta saldırılarını izlemekte. Greta Thunberg temalı kampanyalara ilişkin e-postalar coğrafi dağılım olarak oldukça genişlemiş durumda. Avustralya, Avusturya, Barbados, Almanya, Hong Kong, Japonya, Malezya, Singapur, İspanya, İsviçre, Birleşik Arap Emirlikleri ve Amerika Birleşik Devletleri gibi birçok ülkede hedeflere ulaşılmaya çalışılmakta.
TA542’nin aynı anda birden çok kampanya yürütebilen bir grup olması etkinliğini artırmaktadır. Emotet’in altyapısı da bu etkinliğe ihtiyaç duymakta ve ulaşılan hedeflerde işe yarayıp yaramadığına dair ölçümler de gerçekleştirmektedir.
Coronavirüs temalı Japonca e-postalarda “Kyoto Valiliği Yamashiro Minami Halk Sağlığı Merkezi” ve “Kyoto Valiliği Yardım ve Bağış Vakfı” gibi gönderen kimlikleriyle hedeflere güvenilir bir kaynak izlenimi verilmekte. Aşağıda bu e-postaların bir örneği olarak Japonca ve İngilizce çevirisine yer verilmiştir.
Görüldüğü üzere TA542, virüs hakkında semptomlar ve alınacak önlemler hakkında bilgiler ekleyerek e-postaları daha inandırıcı hale getirmeye çalışmaktadır. Diğer Emotet kampanyalarında olduğu gibi, benzer e-postaların birçoğunda kötü amaçlı makrolar içeren bir Microsoft Word belgesi bulunmaktadır. Belge açıldığında ve kullanıcı makroları etkinleştirdiğinde, Emotet yüklenmektedir.
Greta Thunberg temalı e-postalar, aynı konu satırları ve ek adlarına benzer şekilde Aralık 2019’da yayılan e-postalarla benzerlik göstermektedir. İklim değişikliği gibi konulara daha fazla odaklanılarak hedefin dikkati çekilmek istenmektedir. Bu e-postaların bazıları dikkat çekiciliği artırmak için Greta Thunberg temalı ücretsiz tişörtler, pantolonlar, kalemler, posterler ve kupalar vaad etmektedir. Son kampanyanın bir örneği şu şekildedir.
Proofpoint araştırmacıları, saldırganların Coronavirüs temalı URL’leri ve web sitelerini de aktive ettiğini gözlemlemekte. Bu örneklerden bir tanesini şu şekilde paylaşmaktalar.
Benzer şekilde Coronavirüs ile enfekte hastaların ölümü üzerine Kaspersky güvenlik analistleri de hackerların küresel gelişmeleri fırsata dönüştürdüğü vurgusu yapmıştır. Analizlerde bu tür küresel sorunlarda artan siber tehditlerin geleceğinden korkulmaktadır. Virüste olduğu gibi arama motorlarında sıkça sorgulanan bu sorunlar kötü amaçlı kampanyalar başlatmak için bir anahtar kelime olarak kullanılmaktadır.
Genellikle gündem olan haberler, popüler kişiler ve etkinlik adları dijital dünyada hackerlar tarafından siber dolandırıcılık ve saldırılar başlatmak için kullanılır hale gelmiştir. Kaspersky araştırmacıları da artık insanların acı çektiği konuları fırsata dönüştürmek isteyen kişilerin, grupların tetikte olduğunu ve salgın gibi hayatı tehdit eden gelişmelerin bir araç haline geldiğini vurgulamaktadır. Coronavirüs ya da bilgisayar virüsleri, gerçek ve sanal ortamda tedavisi ve takibi zor, gelecekte hangi yöne evrilecekleri yönünde tahminleri zorlayan bir süreçle bizleri başbaşa bırakmaktadır.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
