Siber suçlulara yönelik uluslararası operasyonlar artmaya devam ediyor. Avrupa Polis Teşkilatı Europol, geçtiğimiz cuma günü ABD,Almanya, İngiltere ve İtalya gibi ülkelerde toplam 150 kişinin göz altına alındığı, Dark HunTOR adlı büyük çaplı bir operasyona imza attı. İlk kez Almanya’a bu çapta bir siber operasyonun düzenlenmesi de dikkat çekti.
Europol’den yapılan yazılı açıklamada, “Hedeflenen şüphelilerin hepsinin organize suç örgütlerinde farklı rolleri vardı. Siber suçlulardan bazıları, brute force, SQL enjeksiyonu, kimlik hırsızlığı ve phishing gibi saldırılarla birden fazla mekanizma kullanarak sistemlere sızmaya çalışıyorlardı.” ifadeleri yer aldı.
Açıklamada ayrıca Europol yetkilileri, “Ağa girdikten sonra, bu siber tehdit aktörlerinden bazıları, tespit edilmemek ve daha fazla erişim elde etmek için yanal olarak hareket etmeye, Trickbot gibi kötü amaçlı yazılımları veya Cobalt Strike veya PowerShell Empire gibi istismar sonrası kullanılan kötü yazılımları bulaştırıyorlardı.” tespitinde bulundu.
GENİŞ ÇAPLI ULUSLARARASI İŞ BİRLİĞİ
Europol’e göre siber suçlular daha önceki saldırılarında sızdıkları sistemlerde uzun süre fark edilmeden kalmayı başardı. Söz konusu siber tehdit aktörlerinin, LockerGoga, MegaCortex ve Dharma fidye yazılımlarını dağıttıkları ortaya çıktı.
Europol, operasyonda uluslararası bir iş birliğine imza atarak, Norveç Ulusal Suç Bürosu, Paris Savcılığı, Fransız ile Hollanda Emniyet, Ukrayna Başsavcılığı ile Ukrayna Ulusal Polisi, Birleşik Krallık Polisi, İskoçya ve Ulusal Suç Dairesi, Alman Reutlingen Emniyeti, İsviçre Ulusal Polisi ve Basel Emniyeti, ABD Gizli Servisi, FBI ve Avrupa Siber Suç Merkezi ile birlikte çalıştı.
Operasyonda, ABD’den 65, Almanya’dan 47, İngiltere’den 24, İtalya ve Hollanda’dan 4’er kişi tutuklanırken, 26.7 million avro nakit, 45 silah, 234 kg uyuşturucuya el kondu.
REvil ÇETESİNİN LİDERİ HAKKINDA TUTUKLAMA EMRİ
Alman yetkililer yerel basına yaptığı açıklamada, REvil çetesinin suç liderini tespit ettiklerini duyurdu. Takma adı olan “Nikolay K.” kendisini bir kripto para birimi tüccarı olarak tanıtıyor.
Siber tehdit aktörü hakkında tutuklama emri çıkarılırken, Nikolay K. Rusya’da kaçak olarak yaşadığı belirtiliyor.
Geçtiğimiz ocak ayında Europol ve İngiltere iş birliğiyle düzenlenen başka bir dark web operasyonunda, yaklaşık 500 bin kullanıcıdan oluşan ve en büyük dark web marketi olarak nitelendirilen DarkMarket devre dışı bırakılmıştı. Operasyonda çetenin Moldova ve Ukrayna’da 20 sunucusuna el konmuştu.
Fidye yazılım çeteleri kurbanlarını tuzağa çekmek için bu kez abonelik iptalini gerekçe göstererek sahte çağrı merkezine yönlendiriyor.
“Ücretsiz deneme aboneliğiniz sona erdiği! Aboneliğinizin otomatik olarak devam etmesini istemiyorsanız şu numarayı arayın” gibi kimlik avı e-postalarına dikkat etmekte fayda var.
Söz konusu yöntem siber saldırganların bilgisayarınıza sızmak için geliştirdiği yeni bir taktik olabilir. Nitekim Microsoft bunu bir saldırı aracı olarak kullanan bir grubun peşinde.
Microsoft’un siber güvenlik araştırmacıları bilgisayarlara BazarLoader adlı zararlı yazılım yükleyicisi bulaştırmak için sahte “çağrı merkezlerini” kullanan suç grubu BazarCall’ın peşinde. BazarLoader fidye yazılımı dağıtmak için kullanılan bir zararlı yazılım yükleyicisi.
BazarCall (veya Bazacall) olarak adlandırılan grubun üyeleri Ocak ayından bu yana aktif ve kurbanları Bazarloader’ı bir Windows PC’ye yüklemeye yönlendirmek için çağrı merkezi operatörlerini kullanıyorlar.
Palo Alto Networks’ten Brad Duncan grubuntekniklerini bir blog yazısında anlattı. Duncan’ın anlattıklarına göre, kötü amaçlı yazılım virüslü bir Windows cihazına arka kapı erişimi sağlıyor. Duncan yazısında şöyle devam ediyor: “Bir kullanıcı virüsle enfekte olduktan sonra, suçlular takip eden kötü amaçlı yazılımlar göndermek, çevreyi taramak ve ağdaki diğer savunmasız ana bilgisayarlardan yararlanmak için bu arka kapı erişimini kullanıyorlar.”
Saldırı genellikle şu şekilde başlıyor: Kurbana deneme aboneliğinin sona erdiğini ve aboneliği iptal etmek için bir numarayı araması gerektiği, aramaması durumunda otomatik olarak kendisinden aylık belli bir ücret alınacağını bildiren kimlik avı e-postaları gönderiliyor.
SÖZDE ABONELİK İPTALİ VAADİ İLE TUZAĞA ÇEKİYORLAR
Microsoft, öncelikle grubun Office 365 kullanıcılarını hedef alan Kimlik Avı e-postalarına odaklandı. Ve insan kaynaklı saldırılara ve fidye yazılımı dağıtımına yol açan aktif bir BazaCall kötü amaçlı yazılım saldırısını takibe aldı. BazaCall saldırıları, alıcıları belirli bir hizmet için yapılmış sözde aboneliklerini iptal etmek için bir telefon numarasına yönlendiren e-postaları kullanıyor.
Alıcılar numarayı aradığında, saldırganlar tarafından işletilen sahte bir çağrı merkezi, onlardan bir web sitesini ziyaret etmelerini ve hizmeti iptal etmek için bir Excel dosyası indirmelerini istiyor. Excel dosyası, yükü indiren kötü amaçlı bir makro içeriyor.
Microsoft’un güvenlik ekibi, Active Directory (AD) veritabanı da dahil olmak üzere kimlik bilgilerini çalmak için Cobalt Strike penetrasyon test kiti’ni kullanan grubu da gözlemledi. AD hırsızlığı, bir kuruluşun kimliğini ve kimlik bilgilerini içermesi itibariyle şirketin tekrar sahip olmak için binlerce doları gözden çıkarabileceği bir olay.
İran destekli bir siber saldırganın eski bir İsrail Genel Kurmay Başkanının bilgisayarındaki verileri sızdırdığı ortaya çıktı.
Times of Israel’in haberine göre, İran hükümetinin anlaştığı bir siber saldırganın eski İsrail Genelkurmay Başkanının bilgisayarına sızarak veritabanına erişim sağladı.
Yaser Balaghi adlı tehdit aktörü söz konusu saldırıya ilişkin övünürken farkında olmadan kimliğine ilişkin bir iz bıraktı.
İran’ın operasyonla İsrail ordusunun generallerini, insan hakları savunucuları ve bazı akademisyenlerin de bulunduğu 1800 kişiyi hedef aldığı belirtiliyor.
Habere göre saldırganın kendini ele vermesi sonrası Tahran yönetimi siber operasyonu bitirmek zorunda kaldı.
İsrailli yazılım firması Check Point’in CEO’su Gil Shwed, geçtiğimiz ocak ayı sonlarında İsrail Radyosuna verdiği röportajda saldırının iki ay önce başladığını ve hedef bilgisayarlara zararlı yazılım içeren e-postalar aldıklarını belirtmişti.
Shwed, alıcıların dörtte birinden fazlası e-postaları açtığını, istemeden casus yazılım indirdiğini ve sabit disklerinden veri çalınmasına izin vermişti.
Son iki yılda İsrail’e karşı birkaç kez siber saldırı düzenlendi. Yetkililere göre, sızma saldırılarının bir kısmı Hizbullah ve İran hükümetiyle bağlantılı hackerlar tarafından düzenlendi.
Günlük hayatımızı hızlandıran ve kolaylaştıran QR kodların siber suçlular tarafından kötüye kullanılması da epey mümkün.
Kare kodların hayatımızı kolaylaştırdığına şüphe yok. Bu şık kodlar dijital ödemeleri mümkün kılmaktan uygun kişi takibine kadar günlük hayatımızı sürdürürken bizi sayısız form doldurma endişesinden kurtardı.
Ancak veri paylaşımını kolaylaştırmak için kullanılan tüm platformlarda olduğu gibi, akla gelen ilk soru şu: Bu şekilde veri paylaşmak güvenli mi?
QR kod teknolojisinin kendisi doğası gereği güvenli olsa da, siber saldırganların bu kodları haksız kazanç elde etmek için kullanma yollarına karşı dikkatli olmalıyız.
SİBER SUÇLULARIN QR KODLARINI KULLANMA YOLLARI
Pandemi sırasında, siber güvenlik firması Palo Alto Networks’ün tehdit istihbarat ekibi Unit 42, QR kodlarını kötüye kullanmanın ve yeraltı çevrimiçi forumlarında sıradan tüketicileri hedef almanın yollarını tartışan siber suçluları tespit etti.
Unit 42, saldırı gerçekleştirmek için QR kodlarının nasıl kullanılacağına ilişkin eğitim sunan çevrimiçi açık kaynaklı araçlar ve video eğitimleri de buldu. Neticede kullanıcıları nereye yönlendireceği belirsiz olan bu QR kodları, potansiyel siber saldırılara bir giriş yolu sağlayabilir.
Siber suçlular, kullanıcıları otomatik olarak web sayfalarına, uygulama mağazalarına ve ödeme sayfalarına yönlendirirken, kendilerini sürece dahil etme fırsatları elde ediyor.
Siber suçluların QR kodlarını kötü niyetli kazançlar için kullanmalarının birkaç yolu var. Bunlardan biri, bir işletmenin web sitesine girip QR kodunu kendi kodlarıyla değiştirmek. QR kodlarının görüntüsü birbirine oldukça benzediğinden, değiştirilen bir kodun fark edilmesi inanılmaz derecede zor.
Bu kodun taranması, durumdan şüphelenmeyen tüketicileri, siber suçluların kullanıcı kimlik bilgilerini isteyebileceği ve ardından e-posta veya sosyal medya hesaplarının kontrolünü ele geçirebileceği bir şifre avcılığı URL’sine yönlendirebilir.
Ayrıca kullanıcıları, virüs veya diğer kötü amaçlı yazılım türlerini içeren kötü amaçlı bir uygulamayı bilmeden indirebilecekleri resmi olmayan uygulama mağazalarına yönlendirebilir. Veri hırsızlığı veya gizlilik ihlali gibi daha ciddi sonuçlar ortaya çıkabilir.
Singapur’da, son üç yılda QR kodunun dolandırıcılık yapmak için araç olarak kullanıldığı yaklaşık 210 vaka rapor edildi. Bu istatistiğe internetteki aşk dolandırıcılıkları ve kurbanların dolandırıcının banka hesabına veya kripto para birimi adresine para aktarmak için yasal QR kodlarını taradığı dolandırıcılıklar da dahil.
QR KODLARIN YÖNLENDİRDİĞİ ALAN ADLARINI KONTROL EDİN
Pekiyi, kendimizi bu tehlikeden nasıl koruyabiliriz? Bir QR kodunun siber suçlular tarafından kötüye kullanılıp kullanılmadığını anlamanın kesin bir yolu olmasa da alabileceğimiz bazı önlemler var.
Hepimiz şüpheli bir bağlantıya veya e-postaya “tıklamadan önce düşünmemiz” gerektiğini defalarca duyduk ve bu bilgiyi içselleştirdik. Artık bunu QR kodlarına uygulamanın zamanı geldi. Taramadan önce düşünün.
Sadece güvenilir kaynaklardan gelen QR kodlarını tarayın ve yönlendirilmeyi beklediğiniz yerde olduğundan emin olmak için web sitesinin ve alan adının önizlenimine bakın.
Kullanıcıların web sitelerini ziyaret etmeden önce önizlemelerini sağlayan birçok güvenli QR kod tarama uygulaması mevcut. Bazı tarayıcılar ayrıca kullanıcıların bilinmeyen web sitelerine otomatik yönlendirmeleri devre dışı bırakmasına izin vererek, kişilerin güvenilir olup olmadığına karar vermeden önce URL alan adını iki kez kontrol etmelerini sağlıyor.
Uygulamaları yalnızca Apple App Store veya Google Play Store gibi güvenilir kaynaklardan indirin. Bunun da ötesinde, en son güvenlik korumalarından yararlanmak için tüm akıllı cihazlarınızı periyodik olarak güncelleyin.
İşletme sahipleri ve IT yöneticileri, QR kodlarının doğru bilgileri ve bağlantıları içermelerini sağlamak için sitelerinde ve uygulamalarında düzenli bütünlük kontrolleri yapmak durumunda.
Hem web hem de mobil tarayıcı sürümleri kontrol edilmelidir. İşverenler ayrıca çalışanlarını eğitmek için siber güvenlik uygulamaları konusunda yeterli eğitimi vermelidir. Bu eğitimler arasında hem kişisel hem de iş hesapları için güçlü şifreler kullanma, çok faktörlü kimlik doğrulamayı ayarlama ve şifre avcısı e-postalarının yanı sıra güvenli olmayan sanal ortamları tanımlamak yer almalı.
Birçok çalışan uzaktan çalışmaya devam ettiği düşünüldüğünde, siber farkındalık eğitimi onları mantıklı kararlar almaları için gerekli bilgilerle donatacak ve saldırganların kişisel ve kurumsal ağlara, cihazlara ve verilere erişme riskini azaltacaktır.
Ana akım toplumda yaygınlaşan herhangi bir teknolojide olduğu gibi, önümüzdeki aylarda siber suçluların QR kodlarını kötüye kullanma girişimlerinde bir artış görülmesi bekleniyor.
Birçok cep telefonunda yaygın olarak kullanılan Android işletim sisteminde bazı uygulamaların dolandırıcılık gibi kritik güvenlik riskleri oluşturduğu ortaya çıktı
Check Point’in yeni araştırması, 100 milyonu aşkın Android kullanıcısının hassas verilerini kullanan yüksek riskli uygulamaların “dolandırıcılık ve kimlik hırsızlığına” yol açabileceğiniortaya koyuyor.
Check Point araştırmacıları, herhangi bir zararlı yazılımla karşı karşıya olmadığımızı, araştırmaya konu olan şeyin, verilerinizi koruyamayan uygulamalarla verilerinizi paylaştığınızda ortaya çıkabilecek sorunlar olduğunu söylüyor.
UYGULAMA GELİŞTİRİCİLERİ YETERLİ ÖNLEM ALMADI
Günümüzde birçok uygulama verilerinizi, ayarlarınızı ve bilgilerinizi depolamak için gerçek zamanlı bulut veritabanlarını kullanıyor. Teknik olarak sorun, geliştiricilerin uygulamalarına push bildirim anahtarlarını veya bulut depolama anahtarlarını yerleştirerek zayıf bir güvenlik yaklaşımı benimsemesi. Uygulamaya gömülü bir bulut depolama anahtarına sahip olmak, kilitli kapıyı açmak için paspas altına bırakılan anahtarı andırıyor. Yani kilidin herhangi bir anlamı kalmıyor.
Check Point raporunda yer alan uyarıda, “23 Android uygulaması üzerinde yapılan bir incelemede, çok sayıda uygulama geliştiricisinin üçüncü taraf bulut hizmetlerini kötüye kullandığını gördük. Bu durum, sadece kendilerinin değil, kullanıcıların da verilerinin açığa çıkmasına neden oldu. Kullanıcıların açığa çıkan kişisel verilerine uygulama verilerinin yanı sıra e-postalar, sohbet mesajları, konum, şifreler ve fotoğraflar da dahildir.” ifadeleri kullanılıyor.
KİMLİK BİLGİLERİNİZ ÇALINABİLİR
Araştırılan uygulamaların hala riskli olması ve kötü niyetli aktörlerin bu bilgileri kullanabileceğinden dolayı, uygulamaların isimlerini paylaşmıyorlar.
Check Point araştırmacıları, “Android uygulamalarından 10.000 ila 10 milyon indirme arasında değişen hassas verilere başarıyla eriştik. Kötü niyetli bir aktör, bu hassas verilere erişim kazanırsa, bu potansiyel olarak sahtekarlığa, kimlik hırsızlığına ve aynı kullanıcı adı-parola kombinasyonunu kullanan diğer hizmetlere erişilmesine yol açabilir.” uyarısında bulunuyor.
Kullanıcıların, “uygulamanın altyapısını kontrol etmeden herhangi bir sorun olup olmayacağını” fark etmesinin olanaksız olduğunu söyleyen araştırmacılar, “kullanıcıların yapabileceği hiçbir şey yok” diyor. İşin daha da kötüsü, verilerinizi güvende tutmanızı sağlayacak pek fazla manevra alanınızın olmaması.
VERİLERİNİZİ NASIL GÜVENDE TUTABİLİRSİNİZ?
Check Point araştırmacıları, her ne kadar Android ve Play Store uygulamalarına odaklansa da iOS uygulamaları için de durum benzer bir şekilde ilerlemeye devam ediyor. Gerçekten bir fal uygulaması için tüm hassas verilerinizi paylaşmaya niyetli misiniz?
Yine de riskleri azaltmak için alabileceğiniz küçük önlemler mevcut. Örneğin parolalarınızı her uygulama özelinde farklı tutmak, en azından diğer uygulamalarınızı güvende tutmanızı sağlayabilir. Gerçekten ihtiyaç duyduğunuz uygulamaları indirmek de diğer bir çözüm. 5 farklı PDF okuyucusuna gerçekten ihtiyacınız var mı? Ayrıca cihazlarınıza güvenli yazılımlar da indirebilirsiniz. Böylelikle nispeten yaşanabilecek sorunlara karşı önlemler alabilirsiniz.
