Dünyanın en büyük siber dolandırıcılık platformlarında birisi olan Genesis Market’e düzenlenen FBI öncülüğündeki uluslararası operasyonda siteye el konuldu.
FBI ve 12 ülkenin ortak düzenlediği “Cookie Monster” adlı operasyonda birçok kentte tutuklamalar da gerçekleştirildi.
Dark Web’de ve internette siteleri bulunan platformun ana sayfasında FBI tarafından oluşturulan operasyon görseli görünüyor.
Genesis Market, siber suçlulara kurbanlarının kimlik bilgilerini çalmak için araçlar sunuyordu. Sitede rakiplerden farklı olarak çeşitli botlar kullanıyordu.
İnternet tarayıcılarını taklit eden uzantılara sahip olan araçlar sunan platform, Amazon ve Netflix hesaplarının yanısıra bankacılık uygulamalarını hedef alıyordu.
Platformun kurulduğundan bu yanda dünya çapında 30 ila 50 milyon arasında kullanıcının hesap bilgilerini ele geçirdiği tahmin ediliyor.
Birçok finans kuruluşu, çevrimiçi bankacılık uygulamalarında belirli özelliklerin etkinleştirilmesi için çevrimiçi video doğrulamasını şart koşuyor. Peki, müşterinin güvenliği için yapılan bu işlem bizzat müşterinin zararına kullanılabilir mi? Söz konusu deepfake teknolojisi ise bu çok mümkün.
Mevcut bir görüntü veya videoda yer alan bir kişinin, yapay sinir ağları kullanarak bir başka kişinin görüntüsü ile değiştirildiği bir medya türü olan deepfake dolandırıcılar tarafından son zamanlarda oldukça sık kullanılan bir araç haline geldi.
Deepfake saldırılarının giderek daha fazla ortaya çıkması, kurumlar, finans kuruluşları, ünlüler, siyasi figürler ve hatta sıradan insanlar için tehdit ortamını önemli ölçüde yeniden şekillendiriyor. Deepfake kullanımı, ticari e-postaların ele geçirilmesi (BEC) ve kimlik doğrulama atlatma gibi saldırıları yeni boyutlara taşıyor. Birçok finans kuruluşu güvenlik adına müşterilerden görüntülü arama yoluna başvurabiliyor bu da suçlular için deepfake
Bu saldırıların başarılı olmasının birçok nedeni bulunuyor. Ancak en önemlisi kamuya açık görüntülerin sayısının, kötü niyetli aktörlerin deepfake teknolojilerini kullanarak milyonlarca sahte kimlik oluşturması için yeterli olması olarak görülüyor. Ayrıca Deepfake üretimi için kaynak kodu herkese açık durumda ve isteyen herkes tarafından kullanılabiliyor.
Suç çeteleri mevcut kara para aklama ve para kazanma planlarının etkinliğini artırmak için deepfake teknolojilerinin kullanımına başvurabiliyor.
Haber ve sosyal medya sitelerinde şüpheli SEO (arama motoru optimizasyonu) kampanyalarında (arama motoru optimizasyonu) ünlü kişilerin resimlerine rastlamak oldukça yaygın bir eğilim haline geldi. Reklamların bir şekilde seçilen ünlünün uzmanlığıyla ilgili olarak kamuya sunulduğu ve kullanıcıları yemlemek ve görsellerin altındaki linklere tıklamalarını sağlamak üzere özel olarak tasarlandığı hepimizin malumu.
DARK WEB FORUMLARININ POPÜLER TARTIŞMA KONUSU: DEEPFAKE
Bir takım reklam grupları bu tür medya içeriklerini yıllardır farklı para kazanma planlarında bir araç olarak kullanmakta. Ancak son zamanlarda bu reklamlarda ilginç gelişmelerin yanı sıra bu kampanyaları mümkün kılan teknolojilerde de bir değişim görülmekte.
Son dönemde birçok dijital medya ve SEO grubu, ünlü kişilerin deepfake modellerini oluşturmak için herkese açık olarak paylaşılan medya içeriğini kullanıyor. Bu gruplar ünlülerin ve fenomenlerin kişiliklerini onların rızası olmadan kullanmakta ve deepfake içerikleri farklı tanıtım kampanyaları için dağıtmaktadır.
Deepfake konusu yeraltı forumlarında oldukça popüler. Bu tartışma gruplarında birçok kullanıcının çevrimiçi bankacılık ve dijital finans doğrulamasını hedeflediği dikkat çekmekte. Bu hizmetlerle ilgilenen suçlular muhtemelen kurbanların kimlik belgelerinin kopyalarına hali hazırda sahipler, ancak hesapları çalmak veya oluşturmak için kurbanların videolu görüntülerine de ihtiyaç duyuyorlar. Bu noktada devreye Deepfake giriyor. Bu hesaplar daha sonra kara para aklama veya yasadışı finansal işlemler gibi kötü niyetli faaliyetler için kullanılabiliyor.
DEEPFAKE UZMANLARI ARANIYOR!
Doğrulama araç ve tekniklerini kullanan yeraltı suç saldırılarında kayda değer bir artış görülmekte. Örneğin, hesap doğrulama hizmetlerinin uzunca bir süredir mevcut olduğu biliniyor. Bununla birlikte, e-ticaret kimlik doğrulama için modern teknoloji ve çevrimiçi sohbet sistemlerini kullanarak geliştikçe, suçlular da tekniklerini geliştiriyor ve bu doğrulama planlarını atlamak için yeni yöntemler geliştiriyor.
2020’de ve 2021’in başlarında, bazı yeraltı forum kullanıcılarının kripto borsası ve kişisel hesaplar için “deepfake uzmanları” aradığı dikkat çekmişti.
Aslında, deepfake üretimi için bazı araçlar bir süredir çevrimiçi olarak, örneğin GitHub’da mevcut. Ayrıca deepfake ve deepfake tespiti için kullanılan araçların yeraltı forumlarında da dikkat çektiğini görüyoruz.
Kısa bir süre önce, kripto para borsası sitesi Binance’de bir iletişim yöneticisinin deepfake’i hakkında bir haber yayınlandı. Deepfake, Zoom görüşmelerinde kripto para birimi projelerinin temsilcilerini kandırmak için kullanıldı.
Ünlüler, üst düzey hükümet yetkilileri, tanınmış kurumsal figürler ve çevrimiçi olarak çok sayıda yüksek çözünürlüklü görüntü ve videoya sahip olan diğer kişiler en kolay hedef alınanlar arasında bulunuyor. Bu kişilerin yüzlerini ve seslerini kullanan sosyal mühendislik dolandırıcılıklarının halihazırda yaygınlaştığı görülmekte.
Araçlar ve mevcut deepfake teknolojisi göz önüne alındığında, ses ve video sahteciliği yoluyla kurbanları manipüle etmeyi amaçlayan daha fazla saldırı ve dolandırıcılık görmeyi bekleyebiliriz.
Peki Deepfake mevcut saldırıları, dolandırıcılıkları ve para kazanma planlarını nasıl etkileyebilir?
Trendmicro.com’dan Vladimir Kropotov, Fyodor Yarochkin, Craig Gibson ve Stephe Hilt deepfake kullanılarak yapılan mevcut saldırıların hem de yakın gelecekte bekleyebileceğimiz saldırıların bir listesini hazırladı:
Messenger dolandırıcılığı: Bir yatırım uzmanını taklit etmek ve para transferi için aramak yıllardır popüler bir dolandırıcılık türü ve artık suçlular görüntülü aramalarda deepfake kullanabiliyor. Örneğin, birinin kimliğine bürünüp arkadaşlarıyla ve ailesiyle iletişime geçerek para transferi talep edebiliyor ya da telefon bakiyelerine basit bir yükleme yapılmasını isteyebilirler.
BEC: Bu saldırı deepfake olmadan da oldukça başarılıydı. Artık saldırganlar aramalarda sahte videolar kullanabiliyor, yöneticilerin veya iş ortaklarının kimliğine bürünebiliyor ve para transferi talep edebiliyor.
Hesap açma: Suçlular kimlik doğrulama hizmetlerini atlamak ve çalıntı kimlik belgelerinin kopyalarını kullanarak başkaları adına bankalarda ve finans kurumlarında, hatta muhtemelen devlet hizmetlerinde hesaplar oluşturmak için deepfake kullanabilir. Bu suçlular bir kurbanın kimliğini kullanabilir ve genellikle görüntülü aramalar yoluyla yapılan doğrulama sürecini atlayabilir. Bu tür hesaplar daha sonra kara para aklama ve diğer kötü niyetli faaliyetlerde kullanılabilir.
Hesapların ele geçirilmesi: Suçlular görüntülü arama kullanarak kimlik tespiti gerektiren hesapları ele geçirebilir. Bir finansal hesabı ele geçirebilir ve kolayca para çekebilir veya transfer edebilirler. Bazı finans kurumları, çevrimiçi bankacılık uygulamalarında belirli özelliklerin etkinleştirilmesi için çevrimiçi video doğrulamasını şart koşmakta. Bu tür doğrulamalar da deepfake saldırılarının hedefi olabilir.
Şantaj: Kötü niyetli aktörler deepfake videoları kullanarak şantaj ve gasp türü saldırılar gerçekleştirebilir. Hatta deepfake teknolojileri kullanılarak oluşturulmuş sahte kanıtlar bile yerleştirebilirler.
Dezenformasyon kampanyaları: Deepfake videoları ayrıca daha etkili dezenformasyon kampanyaları oluşturmakta ve kamuoyunu manipüle etmek için kullanılabilmekte. Pompala ve boşalt şemaları gibi bazı saldırılar, tanınmış kişilerden gelen mesajlara dayanır. Artık bu mesajlar deepfake teknolojisi kullanılarak oluşturulabilir. Bu şemaların kesinlikle mali, siyasi ve hatta itibarla ilgili yansımaları olabilir.
Teknik destek dolandırıcılığı: Deepfake aktörleri sahte kimlikler kullanarak sosyal mühendislik yoluyla kullanıcıları ödeme bilgilerini paylaşmaya veya BT varlıklarına erişim sağlamaya yönlendirebilir.
Sosyal mühendislik saldırıları: Kötü niyetli aktörler, taklit edilen bir kişinin arkadaşlarını, ailelerini veya iş arkadaşlarını manipüle etmek için deepfake’leri kullanabilir.
Nesnelerin interneti (IoT) cihazlarının ele geçirilmesi: Amazon’un Alexa’sı ve diğer birçok akıllı telefon markası gibi ses veya yüz tanıma kullanan cihazlar, deepfake suçlularının hedef listesinde olacaktır.
PEKİ NE YAPMALI?
Trendmicro.com için söz konusu yazıyı kaleme alan teknoloji uzmanları bireysel kullanıcılar ve kuruluşlara deepfake saldırılarının etkisini ele almak ve azaltmak için ne yapmaları gerektiğine dair bir takım tüyolar da verdiler.
Kuruluşlar bir kullanıcının kimliğini üç temel faktörle doğrulamalı: kullanıcının sahip olduğu bir şey, kullanıcının bildiği bir şey ve kullanıcının olduğu bir şey. Bu sözkonusu “Bir şey” öğelerinin akıllıca seçildiğinden emin olun.
Gerçekleştirilecek personel farkındalık eğitimi ve müşterini tanı (KYC) ilkesi finans kuruluşları için olmazsa olmazdır. Deepfake teknolojisi mükemmel değildir ve bir kuruluşun personelinin araması gereken bazı kırmızı bayraklar vardır.
Sosyal medya kullanıcıları, yüksek kaliteli kişisel görüntülerinin açığa çıkmasını en aza indirmeli.
Hassas hesapların (örneğin banka veya şirket profilleri) doğrulanması için kullanıcılar, göz tanıma ve parmak izi gibi kamuya daha az açık olan biyometrik modellerin kullanımına öncelik vermeli.
Sorunu daha büyük ölçekte ele almak için önemli politika değişiklikleri gerekmekte. Bu politikalar, mevcut ve daha önce ifşa edilmiş biyometrik verilerin kullanımını ele almalı. Ayrıca siber suç faaliyetlerinin şu anki durumunu dikkate almalı ve geleceğe hazırlanmalı.
ABD ve Portekiz tarafından ortak yürütülen operasyonda çalınan kimlik bilgilerini satan web sitesi WT1SHOP’a el konuldu.
Adalet Bakanlığı geçtiğimiz hafta çalınan oturum açma kimlik bilgileri ve kimlik tanımlayıcı bilgilerin (PII) 5,85 milyondan satışını gerçekleştiren bir çevrimiçi pazara el konulduğunu açıkladı. Web sitesi Portekizli yetkililer tarafından ele geçirilirken, ABD kolluk kuvvetleri de söz konusu sitede tarafından kullanılan dört domaini ele geçirdi.
Aynı gün, ilk olarak 21 Nisan 2022’de yapılan ve Moldova Cumhuriyeti’nden Nicolai Colesnicov’a yönelik komplo ve yetkisiz erişim cihazları kaçakçılığı gibi suçlamaları ortaya koyan bir suç duyurusu paylaşıldı. Sözkonusu suç duyurusunda Colesnicov’un, satışa sunduğu çalıntı kimlik bilgileri ve kimlik tanımlayıcı bilgiler (PII) arasında 25 bin taranmış ehliyet ve pasaport, çeşitli çevrimiçi mağazalar için 1,7 milyon giriş bilgisi, 108 bin banka hesabı ve 21 bin 800 kredi kartı bulunan çevrimiçi yasadışı bir pazar olan WT1SHOP’u yönettiği iddia ediliyor.
İnternet sitesine el konulması ve suç duyurusu hakkında bilgi Maryland Bölgesi Birleşik Devletler Savcısı Erek L. Barron ve Federal Soruşturma Bürosu, Washington Saha Ofisi, Ceza Bölümü’nden Sorumlu Özel Ajan Wayne Jacobs tarafından duyuruldu.
2,4 MİLYON KİMLİK BİLGİSİNİN 4 MİLYON DOLARA SATILDI
Suç duyurusunu desteklemek üzere sunulan bir bildiride, WT1SHOP’un Bitcoin kullanarak çalıntı kimlik bilgilerinin satışını kolaylaştıran bir pazar ve forum fonksiyonu gördüğü iddia edildi. Haziran 2020’de Hollanda kolluk kuvvetleri tarafından elde edilen WT1SHOP veri tabanına ait bir görüntü, sitede 91 satıcı ve 2 yönetici dahil olmak üzere 60 binden fazla kayıtlı kullanıcı olduğunu ve toplamda yaklaşık 2,4 milyon kimlik bilgisinin 4 milyon dolara yakın bir fiyata satıldığını ortaya koyuyor. Aralık 2021 itibariyle kolluk kuvvetleri, kayıtlı kullanıcı sayısının 106 binin üzerine çıktığını, 94 satıcının ve yaklaşık 5,85 milyon kimlik bilgisinin yasadışı satışa çıkarıldığını bldirdi.
Popüler e-posta hizmetlerine ait hesapların hesap başına ortalama 3 dolar olduğu, pasaport verilerinin ise kişi başına yaklaşık 25 dolar getirdiği belirtiliyor. Finansal kimlik bilgilerine erişim içeren hesaplar, bazıları 100 doların üzerinde olmak üzere çok daha yüksek fiyatlara satıldı.
10 YILA KADAR HAPSİ İSTENİYOR
Satılan kimlik bilgileri ve kimlik tanımlayıcı bilgiler (PII), perakendeciler ve finans kuruluşları, e-posta hesapları ve PayPal hesapları dahil olmak üzere çeşitli erişim portallarına giriş için gereken kimlik bilgileri, kimlik kartları ve bilgisayarlara, sunuculara ve ağ cihazlarına uzaktan yetkisiz erişim elde etmek ve bunları çalıştırmak için gerekli olan kimlik bilgilerini içeriyordu.
WT1SHOP’ta yapılan Bitcoin satışları, WT1SHOP’un web sunucusuna yapılan ödemeler, WT1SHOP ile ilgili e-posta adresleri ve ilgili oturum açma kimlik bilgileri kolluk kuvvetleri tarafından takip edildi. Ve bu takibin sonunda Colesnicov’a ulaşıldı. Colesnicov’un WT1SHOP web sitesindeki yönetici giriş bilgileri nedeniyle WT1SHOP’un operatörü olduğunu tespit edebildiler.
Suçlu bulunması halinde Colesnicov, komplo kurmak ve izinsiz cihaz ticareti yapmak suçlarından 10 yıla kadar hapis cezasıyla karşı karşıya kalacak.
Siber tehdit aktörleri son zamanlarda kişisel bilgileri ele geçirip Türk vatandaşlarını daha sık tehdit etmeye başladı. Bu kez gazeteci Nevşin Mengü hedef alındı.
Mengü, geçtiğimiz günlerde Twitter hesabından yaptığı paylaşımda kişisel bilgilerinin bir hacker tarafından ele geçirildiğini duyurdu.
Kısa bir süre önce gazeteci İbrahim Haskoloğlu hackerlardan geldiğini belirterek Cumhurbaşkanı Recep Tayyip Erdoğan ve Milli İstihbarat Teşkilatı Başkanı Hakan Fidan’a ait olduğu iddia edilen kimlik kartlarını paylaşmış, kişisel bilgilerin bir şekilde ele geçirildiğini öne sürmüştü.
Kendi kimlik bilgilerinin tehdit aktörlerince ele geçirildiğini belirten Haskoloğlu, üç ay önce yetkili mercilere durumu bildirdiğini ancak herhangi bir geri dönüş sağlanmadığını ifade etmişti. Bunun üzerine Haskoloğlu “kişisel verileri hukuka aykırı yolla ele geçirdiği” suçlamasıyla gözaltına alınıp bir hafta sonra serbest bırakılmıştı.
Yaşanan gelişmelerin ardından aynı durum gazeteci Nevşin Mengü’nün başına geldi.
ÜNLÜLERİN BİLGİLERİNİ ELE GEÇİRİP WHATSAPP GRUBU KURDU
Gazeteci Nevşin Mengü, sosyal medya hesabı üzerinden yaptığı paylaşımda bir tehdit aktörünün çeşitli ünlülerin kimlik bilgilerini ele geçirip WhatsApp grubu kurduğuna dair paylaşım yaptı.
Grubun ekran görüntüsünü paylaşan gazeteci Nevşin Mengü, “Memleketin hackerı bile geri zekâlı. Bilgilerini çaldığı kişilerden Whatspp grubu kurmuş, gruba dayısını da aldı.” ifadelerini kullandı.
Söz konusu hacker, bilgilerini ele geçirdiği ünlüleri tek bir WhatsApp grubunda toplayıp kripto para Ethereum’dan talep ettiği miktarda vermezlerse bunları yaymakla tehdit etti.
BERAT ALBAYRAK’IN DA BİLGİLERİ VARMIŞ
Öte yandan Mengü, tehdit aktörünün kendisinde Berat Albayrak’ın da bilgileri olduğunu söylediği paylaşımında “Berat Albayrak’ın da bilgileri varmış ama ondan korkuyormuş.” ifadelerini kullandı.
Öte yandan kimlik bilgilerinin ele geçirilip tehdit aktörlerince vatandaşlar üzerinde bir tehdit unsuru olarak kullanılma durumu giderek artıyor. Vatandaşlar üzerinde “korku” yaratmaya çalışan tehdit aktörleri, kimlik bilgisi tehdidiyle maddi gelir elde etmeye çalışıyor.
KİMLİK BİLGİLERİ ÜZERİNDEN TEHDİTLER ARTIYOR
İnternet üzerinde daha öncesinden sızmış olan çeşitli veri tabanları, kimlik ve çeşitli bilgilerin bulunduğu panellere olan erişim gibi pek çok kaynaktan toplanan verilerle tehdit aktörleri, kolayca kişinin TC kimlik numarası, kimlik bilgileri, aile bilgileri, adres bilgileri, telefon bilgileri, sağlık bilgileri gibi verilere ulaşabiliyor.
Bunun yanı sıra yurt dışı numaralarının da cüzi miktarlarda satılmasıyla kimliğini gizleyen tehdit aktörleri vatandaşlar üzerinde korku yaratıp maddi kazanç elde etmeye çalışıyor.
Genel anlamda siber güvenlik konusunda kendini geliştirmeye çalışanların sıkça sorduğu konular arasında “Zero-day (0-day) açıkları” yer alıyor.
Bu yazıda da bu ihtiyaca karşılık verebilmek amacıyla Zero-day nedir?, Zero-day istismarı nedir?, Zero-day nasıl tespit edilir? gibi soruları ele alıyoruz.
ZERO-DAY (0-DAY) ZAFİYETİ NEDİR?
Üç katlı bir bina inşa ettiğinizi varsayalım. Tüm işlemleri bitmiş bir evde sıcak sıcak oturuyorsunuz. Ancak ikinci katınızda bulunan bir odanın camında bulunan ufak bir delikten içeriye rüzgar giriyor ve siz, evi inşa eden kişi olarak bu durumdan haberdar değilsiniz.
Zero-day açıkları da bu durumla benzerlik taşır. İşletim sistemleri, yazılım, donanım, web tarayıcısı, ofis uygulaması, açık kaynaklı girişim ve IoT geliştiricilerinin, kendilerinin dahi önceden bilmediği açıklara “Zero-day (0-day/Sıfırıncı gün) güvenlik açıkları” denir. Zero-day açıkları, çoğu durumda herhangi bir saldırı gerçekleşene kadar tespit etmesi zor olan zafiyetlerdir.
ZERO-DAY GÜVENLİK AÇIĞI İSTİSMARI NEDİR?
Camdaki bir delik değil de pencere kolunun neredeyse açılacak düzeyde olduğunu düşünün. İkinci kata pek uğramadığınız için bu durumun farkında değilsiniz. Dışarıdan tespit etmesi de zor muhakkak. Ancak varsayalım dışarıdan bir hırsız, bu durumu fark etti ve ikinci katın bir odasının penceresinden içeriye girmenin yollarını aramaya koyuldu.
Zero-day istismarı (exploit) da daha önce tanımlanmamış, kaydedilmemiş ya da fark edilmemiş bir güvenlik açığına sahip sistemlere girebilmek veya saldırabilmek için kullanılan yönteme verilen isimdir. Bunun için genellikle sosyal mühendislik e-postaları aracılığıyla yapılır. Çoğu durumda bilinen veya tanıdık bir kişiden geliyormuş izlenimi veren sahte e-postalar içerisine çeşitli web sitesi adresleri konur. Eğer kurban, istenilen tuzağa düşerse, zararlı yazılım söz konusu cihaza yüklenmiş olur. Bu yol vasıtasıyla tehdit aktörleri, sistemlere sızmaya çalışır.
ZERO-DAY SALDIRISI NEDİR?
Hırsız, siz evde yokken pencerenizden içeri girdi , değerli olan eşyalarınızı çaldı veya akla gelebilecek farklı bir hasar verdi.
Benzer şekilde zero-day saldırılarının işleyişi de bu şekilde gerçekleşir. Açığı istismar ederek sistemlere giriş yapan tehdit aktörleri, giriş yaptığı sistemden veri çalabilir veya başka bir şekilde hasara neden olabilir. Böylelikle zero-day saldırıları gerçekleşmiş olur.
Bir şirketin veya herhangi bir kurumun/kuruluşun geliştiricileri yazılım oluşturur, ancak bir güvenlik açığı içerdiğinden habersizdirler.
Tehdit aktörü, bu güvenlik açığını geliştiriciden önce tespit eder veya geliştirici düzeltme şansı bulmadan önce harekete geçer.
Saldırgan, güvenlik açığı kullanılabilir durumdayken istismar kodunu (exploit code) yazar ve uygular.
İstismarı serbest bıraktıktan sonra, insanlar bunu kimlik veya bilgi hırsızlığı şeklinde tanır. Geliştiriciler bu durumu fark eder ve açığı kapatırlar.
KİMLER ZERO-DAY SALDIRILARI GERÇEKLEŞTİRİYOR VE HEDEFLERİ NELER?
Zero-day saldırılarını kimin gerçekleştirdiğinden ziyade hangi motivasyonlarla gerçekleştirildiği daha açıklayıcı olabilir. Bu anlamda bu saldırıları gerçekleştiren aktörler arasında siyasi motivasyonla hareket eden devlet destekli veya desteksiz aktörler, finansal motivasyonla hareket eden tehdit aktörleri, sosyal konulara dikkat çekmeye çalışan hacktivistler, şirketler arasında bilgi çalmaya çalışan kurumsal aktörler yer alıyor.
Farklı motivasyonlarla hareket eden aktörlerin hedefleri de bu anlamda farklılaşıyor. Devlet sistemleri, siyasi figürler, şirketler, büyük/küçük işletmeler kurbanlar arasında yer alırken çeşitli donanım aygıtları, yazılımlar, IoT, kişisel veriler, söz konusu aktörlerin hedefledikleri arasında bulunuyor.
ZERO-DAY SALDIRILARI NASIL TESPİT EDİLİR?
Zero-day zafiyetlerinin çok çeşitli sebepleri olabilir. Veri şifrelemeden parola güvenliğine, hatalı algoritmalardan yetkilendirmelere dek geniş bir yelpazede bulunabileceği için keşfedilmesi oldukça zordur. Bu sebeple çoğu durumda zero-dayler, istismar edildikten sonra güncelleştirmeler veya yamalarla kapatılıyor.
İnternet trafiğini taramak, gelen dosyaların kodlarını incelemek ve zararlı yazılım yöntemlerinden yararlanmak da dahil olmak üzere, zero-day güvenlik açıklarını tespit etmenin çeşitli teknik yolları vardır.
ZERO-DAY AÇIKLARINA ÖRNEKLER
2020: Zoom
Popüler video konferans platformunda bir güvenlik açığı bulundu. Bu zero-day saldırısı örneğinde, siber tehdit unsurları, Windows’un eski bir sürümünü kullanan kullanıcıların bilgisayarlarına uzaktan erişebilmeyi başarmıştı.
2020: Apple iOS
2020 yılında, saldırganların iPhone’ları uzaktan ele geçirmesine olanak sağlayan zero-day hatası da dahil olmak üzere en az iki iOS zero-day zafiyeti ortaya çıktı.
2019: Microsoft Windows, Doğu Avrupa
Yerel yükseltme ayrıcalıklarına ve Microsoft Windows’un savunmasız bir kısmına odaklanan bu saldırıda Doğu Avrupa’daki devlet kurumları hedef alındı. Zero-day istismarı, Microsoft Windows’ta rasgele kod çalıştırmak, uygulamaları yüklemek ve güvenliği aşılmış uygulamalardaki verileri görüntülemek ve değiştirmek için bir yerel ayrıcalık zafiyetini kullandı.
2017: Microsoft Word
Zero-day istismarıyla kişisel banka hesap bilgileri ele geçirildi. Kurbanlar, farkında olmadan kötü amaçlı bir Word belgesini açtılar. Belgede, kullanıcılardan başka bir programdan harici erişim talep eden bir açılır pencere gösteren bir “uzak içerik yükle” istemi görüntüleniyordu. Kurbanlar “evet” seçeneğine tıkladığında, bankacılık oturum açma kimlik bilgilerini kaydedebilen kötü amaçlı yazılım cihaza yükleniyordu.
STUXNET
Zero-day saldırısının en ünlü örneklerinden biri de Stuxnet’ti. İlk olarak 2010 yılında keşfedilen ancak kökleri 2005’e kadar giden bu kötü amaçlı bilgisayar solucanı, programlanabilir mantıksal denetleyici (PLC) yazılımı çalıştıran üretim bilgisayarlarını etkiledi.
Başlıca hedefi, ülkenin nükleer programına zarar vermek için İran’ın uranyum zenginleştirme santralleri oldu. Solucan, PLC’lere Siemens Step7 yazılımındaki güvenlik açıklarıyla sızarak PLC’lerin montaj hattı makinelerinde beklenmeyen komutlar gerçekleştirmelerine yol açtı. Stuxnet’in hikayesi daha sonra Zero Days adlı bir belgesele konu oldu.
