Türk hackerların kullandığı kripto madencilik yapan zararlı yazılımın 11 ülkeye bulaştığı ortaya çıktı.
Check Point siber güvenlik firmasının araştırmasına göre, Türkçe konuşan bilgisayar korsanları kurbanlarına “Google Translate Desktop” adlı uygulamanın bağlantısı göndererek zararlı yazılımlarını 11 ülkeden binlerce sisteme gönderdi.
Araştırmacılar, masaüstü uygulamaları indirilen bir web sitesi keşfetti. Sitede yer alan Google Desktop, Google Translate gibi uygulamaları indirenlerin bilgisayarlarına arka planda kripto madencilik yapan bir yazılımı da gizlice yüklüyor.
Söz konusu uygulamaların olduğu site “Google Translate Desktop download” gibi basit bir Google aramasıyla bulunabiliyor.
Uygulama silinse bile uzun bir süre sistemde kalan zararlı yazılım, sistemdeki bilgilere ulaşarak kripto madencilik yapmaya devam edebiliyor ve tehdit aktörlerine para kazandırıyor.
Chromium tabanlı çok sayıda uygulama barındıran sitede 100 binin üzerinde indirilen yazılımlar da yer alıyor.
Yaklaşık iki aydır mobil ortamlarda dolaşan zararlı Android yazılımı, 60 bin kullanıcıyı etkiledi. ‘FluBot’ olarak adlandırılan botnetten mağdur olan kullanıcıların ise yüzde 97’si İspanya’da yaşıyor.
Yılın başından itibaren güvenlik firması ThreatFabric tarafından izlenen FluBot’un çalışma prensibi, siber güvenlik firması PRODAFT tarafından yayımlanan bir raporla ortaya çıkarıldı.
FLUBOT NASIL ÇALIŞIYOR?
PRODAFT raporunda ortaya konulan bilgilere göre söz konusu Trojen, yasal uygulamaların sahte giriş ekranlarını oluşturarak, cihaz sahiplerinden e-bankacılık ve ödeme kartı bilgilerini toplamaya çalışıyor.
Çoğu zararlı yazılımda bulunabilen bu özelliklerin yanında FluBot’un bu derece hızlı yayılmasındaki bir diğer tehlikeli özelliği ise kurbanın adres defterini komuta ve kontrol sunucularında toplamasını sağlayan yazılım operatörü. Böylelikle kurbanların cihazlarından telefon numaralarını toplayabilen FluBot, diğer kişilere SMS spamı gönderebiliyor.
Gönderilen SMS içeriklerinde genellikle kişilerin tıklaması için çeşitli mesajlar barındıran bağlantılar bulunuyor. Söz konusu bağlantılar da kullanıcıları FluBot çetesinin oluşturduğu sahte web sitelerine yönlendiriyor.
Sahte web sitelerinde mağdurlardan zararlı yazılım barındıran APK dosyaları indirilmesi isteniyor. Eğer kurbanlar bu dosyaları indirirse FluBot cihaza bulaşmış oluyor.
Eğer APK dosyalarının talep ettiği izinlerin tümüne onay verilirse FluBot, cihazın üstündeki bütün kontrolü ele geçiriyor. Flubot böylelikle bildirimlerinizi engelleyebiliyor, varsayılan SMS uygulamanız olabiliyor, kişi listenizi çalıyor en önemlisi de girdiğiniz herhangi yasal bir site üzerinde ‘kimlik avı’ sitelerini göstererek bilgilerinizi ele geçiriyor.
İSPANYA NÜFUSUNUN YÜZDE 25’İNİN TELEFON NUMARALARINI TOPLADI
PRODAFT’tan yapılan açıklamada, FluBot’un komuta kontrol panelinin izlenebildiğini ve bu sayede bulaştığı cihazların sayısını belirleyebildikleri aktarıldı.
60 bin virüslü cihazın bulunduğunu söyleyen şirket için en endişe verici nokta FluBot’un bu denli hızlı yayılması.
Şirket tarafından yapılan açıklamada, “Şu anda, virüslü cihazlardan toplanan 11 milyondan fazla telefon numarası var ve bu, İspanya’daki toplam nüfusun yüzde 25’ini oluşturuyor” ifadeleri kullanıldı.
FluBot’a müdehale edilemezse muhtemelen 6 ay içinde İspanya’daki tüm telefon numaralarını toplayabilir.
PRODAFT’ta güvenlik araştırmacısı olan Ahmet Bilal Can, “durumu İspanyol kolluk kuvvetlerine bildirdiklerini” açıkladı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Koronavirüs salgını nedeniyle internet üzerinden alışverişin artması güvenlik problemlerini de beraberinde getiriyor. Gerek kimlik avı saldırılarının artması gerekse tanımlanabilir kişisel verilerin çalınması bu dönemde sıklıkla artarken bir dark web forumunda yaşanan “3D Secure” sistemini atlatma tartışması, yeni bir güvenlik problemini ortaya çıkarabilir.
Online ödeme yöntemlerinin sıklıkla kullanılması siber suçluların aklına ‘Acaba?’ sorusunu getirdi. Bir süredir tartışılan ancak 3D Secure sistemini atlatma yolunu bulamayan siber suçlular, bir dark web forumunda 3D Secure sistemini atlatma yollarını tartıştı. Ortaya çıkarılan tartışma siber suçluların önümüzdeki dönemde 3D Secure sistemini nasıl atlatabileceklerine dair fikir veriyor.
3D SECURE NEDİR?
3D Secure, internette kredi kartı ve banka kartı ile yapılan alışverişlerin güvenli gerçekleşmesi için geliştirilmiş bir sistem olarak biliniyor. 3D Secure, yapılan ödemeleri onaylamak için kart sahibinden doğrudan onay alıyor. Yapılan işlemde bankanız tarafından işlemi yapan kişiye gelen kod aracılığıyla işleminizi güvenli bir şekilde tamamlama imkanı veriyor. Aynı zamanda 3D Secure, kartınızın çalınması, kaybolması gibi durumlarda siz hariç herhangi birinin internetten alışveriş yapmasını engellemesi açısından oldukça güvenli bir yol sunuyor.
3D Secure günümüzde yaygın olarak kullanılırken daha gelişmiş versiyonu da bulunuyor. Akıllı telefonlar için tasarlanan ve 3D Secure 2 olarak adlandırılan bu versiyonda kullanıcılar,biyometrik verilerini (parmak izi, yüz tanıma) kullanarak bankacılık uygulamalarında kimlik doğrulaması yaparak satın alma işlemlerini onaylayabiliyor.
BANKA ÇALIŞANLARINI TAKLİT EDEREK 3D SECURE KODUNUZU ALIYORLAR
Tehdit istihbaratı şirketi olan Gemini Advisory analistleri bir blog gönderisinde, dark web forumlarında siber suçluların, 3DS’yi uygulayan çevrimiçi mağazalarda dolandırıcılık amaçlı satın alımlar yapmak için tartıştıkları yöntemlerin bazılarını paylaştı.
Paylaşılan yöntemlerden birinde siber suçlular, öncelikle kart sahibinin bilgileriyle işe başlıyor. Bu bilgiler arasında isim, telefon numarası, e-posta adresi, ikamet bilgisi, anne kızlık soyadı, kimlik numarası ve ehliyet numarası yer alıyor.
Siber suçlular, söz konusu bilgileri, kimlik doğrulama nedeniyle müşterilerini arayan banka çalışanlarını taklit etmek için kullanıyor. Ulaştıkları kişilere sundukları bazı kişisel olarak tanımlanabilir bilgilerle potansiyel kurbanın güvenini kazanan siber suçlular, ödeme sürecini tamamlayabilmek için söz konusu kurbanlardan şifre veya kodlarını talep ediyor.
3D SECURE KODUNU ALMANIN BAŞKA YOLLARI DA VAR
3DS kodunu almak, kimlik avı, zararlı yazılım yükleme gibi başka yollarla da mümkün. Örneğin belirlenen kurban, siber suçlular tarafından oluşturulan bir kimlik avı sitesinde satın alma işlemi gerçekleştirdiğinde, kurbanın bilgilerini ele geçiren siber suçlular, bu bilgiler aracılığıyla hedefledikleri ürünleri almak için kurbanın girdiği tüm bilgileri yasal mağazada işlem yapmak için kullanıyor.
Gemini Advisor’ın bulgularına göre, bazı siber suçlular çalınan kredi kartı verilerini bir PayPal hesabına ekliyor ve bunu bir ödeme yöntemi olarak kullanıyor.
Bu tekniklerin çoğu, 3DS’nin önceki sürümlerinin kullanıldığı yerlerde işe yarayabiliyor. Ancak 3DS 2 kullanımı ile en azından bu yolların önüne geçilmiş oluyor. Nitekim 3DS 2, yaygın olarak kullanılmaktan hala çok uzak.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Geçtiğimiz haftalarda gizlilik politikasında yaptığı değişiklerle gündeme gelen WhatsApp uygulamasında bu sefer de virüs tehlikesi yaşanıyor.
Söz konusu virüs, “Telefon kazanmak için bu uygulamayı indirin” mesajıyla kullanıcıları ‘Huawei Mobile’ uygulamasını kurmak üzere sahte bir ‘Google Play’ sayfasına yönlendiriyor. Virüs, WhatsApp üzerinden gelen mesajlara otomatik yanıt verme seçeneğiyle yayılıyor.
BİLDİRİMLERİNİZİ KONTROL EDİYOR
ESET’te virüs programı araştırmacısı olan Lukas Stefanko paylaştığı bir videoda “Bu kötü amaçlı yazılım, alınan herhangi bir WhatsApp mesaj bildirimini kontrol ediyor ve kurbanın telefonundan diğer kullanıcılara yayılıyor.” ifadelerini kullandı.
Virüs, otomatik olarak gönderilen “Telefon kazanmak için bu uygulamayı indirin” mesajı taşıyan bir bağlantı üzerinden sahte bir ‘Google Play’ hesabına yönlendiriyor. Sizden Huawei ile hiçbir alakası olmayan ‘Huawei Mobile’ adında bir uygulamayı indirmenizi istiyor. Huawei Mobile uygulamasını telefonunuza kurduğunuzda ise virüs bulaşmış oluyor.
KİMLİK BİLGİLERİNİZ ÇALINABİLİR
Uygulama kurulumunda sizden bildirimleriniz için erişim isteyen virüs daha sonra WhatsApp’ın gelen mesajlara otomatik olarak yanıt verme seçeneğiyle birlikte size gelen mesajlara otomatik olarak söz konusu bağlantıyla yanıt veriyor.
Yalnızca bunlarla sınırlı kalmayan virüs, telefonunuzda arka planda çalışma ve diğer uygulamalar üzerinde çalışma gibi ek izinleri de vermenizi isteyerek cihazınızı tamamıyla ele geçirmiş oluyor. Saatte yalnızca bir kez gönderilebilen bu bağlantı aracılığıyla cihazına virüs bulaşmış kişilerin kimlik bilgileri gibi hassas bilgileri çalınabiliyor.
GÜVENİLİR KAYNAKLARA YÖNELİN
Lukas Stefanko, “Kendini yaymak adına bu kadar işlevselliğe sahip herhangi bir Android kötü amaçlı yazılıma rastladığımı hatırlamıyorum.” ifadelerini kullanırken herhangi bir şey indirirken, güncellerken güvenilir kaynakların kullanılması gerektiğinin altını çiziyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Birçok endüstride olduğu gibi sigorta şirketleri de dijital bir dönüşüm yaşıyor. Müşteri deneyimlerini iyileştirmek ve işlerini sanal dünyadan yürütmek amacıyla yeni kanallara ve servislere entegre olmaya çalışıyorlar.
Dijitalleşme, mobil uygulamalar, Nesnelerin İnterneti bağlantısı ve üçüncü parti portallarla stratejik entegrasyonların tümü para kazanmak için veri çalmaya çalışan siber suçlular için saldırıların kapısını aralıyor.
İşlemlerini modernize etmek amacıyla Büyük Veri ve Yapay Zeka analizleri kullanmaya devam eden sigorta şirketleri, kötü niyetli veri dosyalarıyla karşılaşma riskini de artırıyor.
KİMLİK HIRSIZLARI İÇİN CAZİP BİR HEDEF
Bankacılık gibi diğer yüksek profilli sektörler daha güvenli hale geldikçe hackerlar, dikkatlerini daha savunmasız hedeflere çeviriyorlar. Bunlardan biri de sigorta şirketleri. Sigorta şirketleri kişilerin isimleri, doğum tarihleri, sosyal güvenlik numaraları, sokak ve e-posta adresleri ve gelir bilgileri dahil olmak üzere kimlik hırsızları için cazip bir hedef oluşturan poliçe sahipleri hakkında büyük bir ‘personally identifiable information (PII)’ kişisel tanımlanabilir bilgi veri tabanına sahip.
Yıllardır sigorta şirketleri ‘güvenlik’ araçlarına yatırım yapsa da anti-virüs yazılımları veya güvenlik duvarları gibi siber güvenlik araçları, gelişmiş saldırı tekniklerinden daha yavaş ilerliyor. Yapılan bir araştırmaya göre sigorta şirketlerinin yüzde 43’ü siber saldırılara karşı hazırlıklı olduğunu gösteriyor.
Her ne kadar oran yarı yarıya gibi dursa da bu durum içinde tehlikeli bir risk barındırıyor. Çünkü sigorta şirketlerine yönelik saldırılar, önemli mali zararların yanı sıra sigorta markalarının itibarını zedeleyecek ve piyasa değerlerini olumsuz etkileyecek güçte bulunuyor. Bu durum aynı zamanda sigorta şirketlerine yönelik güven kaybına da neden olacak.
Kötü amaçlı yazılımlar, herhangi bir sigorta şirketinin ağına veya altyapısına çeşitli şekilde yerleştirilebiliyor. Bunun yanında ‘kimlik avı’ da ön plana çıkıyor. Kimlik avı, hackerların güvenlik açıklarından yararlanıp ‘şifre’ ve ‘sosyal güvenlik numarası’ gibi hassas bilgileri çalmak için kullandıkları yöntem olarak karşımıza çıkıyor. Bu yöntem, kötü amaçlı bir ‘ek’ içeren ancak alıcının bu ekin zararsız olduğunu düşündüğü e-posta iletileriyle uygulanıyor. Eğer alıcı eki açarsa, kötü amaçlı yazılım saldırıya başlıyor.
Koronavirüs pandemisi boyunca, siber suçlular muhtemelen hedeflerini ekleri açmaya ikna etmek için pandemi içerikli mesajlar kullanıyor. Bir sigorta şirketinde çalışıyorsanız ve size gelen kötü amaçlı dosyayı açtıysanız muhtemelen bütün sigorta ağını tehlikeye atmış olabilirsiniz.
Yukarıdaki senaryo sadece bir hikayeyi konu alıyor. Oysa kimlik avı saldırıları genel olarak sizin kötü amaçlı dosyayı açmanızı sağlayacak ikna edici konuları bulmakta gittikçe ustalaşıyor. FirmGuardian’a göre, sigorta şirketlerinde bir kişiyi hedef alan ‘Phishing’ saldırıları artıyor. Örneğin bir hacker, şirket yöneticisinin kimliğine bürünerek aynı şirketin finans departmanındaki belirli bir çalışandan ekteki faturayı ödemesini isteyen bir e-posta göndermesiyle daha sonra bu dosyanın çalışan tarafından açılmasıyla sigorta ağına kötü amaçlı yazılımını sokabiliyor.
Bunların yanı sıra sigorta şirketleri aynı zamanda çeşitli göndericilerden çok sayıda dosya kabul ediyorlar. Böylelikle poliçe formları, talep belgeleri veya teminat sertifikaları gibi dosya alışverişlerinde yer alan herhangi bir cihaz veya sistemden gelen dosya kaynaklı tehditlere de açık oluyorlar. Sigorta şirketlerini hedefleyen kötü niyetli bir yazılım olmasına gerek olmadan, örneğin bir müşterinin kişisel bilgisayarına kötü amaçlı bir yazılım bulaşmışsa, bu yazılım müşteri tarafından araba sigortası teminatı almayı umarak gönderilen bir dosyanın şirket çalışanı tarafından açılmasıyla kolayca sigorta ağına yayılabiliyor.
Diğer yandan ise üçüncü taraflarla yapılan iş birliklerinde de aynı senaryoyu görüyoruz. Bir müşteri veya satıcı, sigorta şirketinin ağına her bağlandığında yasal verilerle birlikte kötü amaçlı yazılımı bulaştırma riski barındırdığı herkes tarafından bilinen bir gerçek.
SİGORTA ŞİRKETLERİNDE YAŞANAN SİBER SALDIRI ÖRNEKLERİ
Sağlık sistemi tarihindeki en büyük veri ihlali rekorunu elinde bulundurmasıyla ünlü sağlık sigortası şirketi Anthem Healthcare’den Ocak 2015’te 78,8 milyon kaydı çalındı. Kimlik avı yöntemiyle gerçekleştirilen saldırıyla son derece hassas bilgiler hackerlarca ele geçirildi. Anthem, mahremiyet iddialarının ihlali nedeniyle bilgileri çalınan kurbanlara ödemiş olduğu 115 milyon dolarlık tazminata ek olarak yakın zamanda 40 milyon dolar daha tazminat ödemesine karar verildiği kayıtlara geçti.
ABD’deki en büyük kaza sigortası şirketlerinden olan Chubb, Mart 2020’de üçüncü parti servis sağlayıcısı tarafından tutulan verilere erişim sağlayan siber saldırının hedefi oldu. Herhangi bir resmi ayrıntı açıklanmasa da güvenlik araştırmacıları Chubb şirketinin bir fidye yazılımı saldırısına maruz kaldığını düşünüyor.
Mart 2019’da ev ve otomotiv sigortası sağlayıcısı Pacific Specialty Insurance Company’de kimlik avı saldırısının kurbanı oldu. Şirketten kişisel tanımlanabilir bilgiler çalındığı biliniyor.
Hub International’ın Risk Hizmetleri bölümünün başkan yardımcısı Scott Fouts, Insurance Journal TV’ye verdiği bir röportajda, koronavirüs pandemisi dolayısıyla birçok sigortacının evden çalıştığını, bu durumun da çalışanların siber saldırıya uğrama olasılığını daha yukarılara çektiğini belirtiyor. Aynı zamanda Scott Fouts, siber saldırıları önlemek için sigorta şirketlerinin önlem almak zorunda olduğunu vurguluyor.
Bir dosyanın gerçekten güvenli olduğunu anlamanın tek yolu içerik riskine ve dosya güvenliğine öncekilerden tamamıyla farklı bir açıdan yaklaşmakla mümkün olabilir.
Sigorta şirketlerinin şu anda dosyaların güvenliğini inceleme yöntemi ‘algılama’ odaklı çalışıyor. Anti-virüs yazılımları, dosyaları kötü amaçlı yazılımlara karşı tarar ve daha önceden kodu bilinen diğer saldırıların veri tabanlarıyla karşılaştırıyor. Sandbox’lar ise bir dosyanın sistem kaynaklarına erişimini kısıtlayan koruyucu bir mekanizma üstleniyor. Algılama odaklı bu mekanizmalar, sürekli gelişen siber tehditlere göre oldukça etkisiz kalıyor.
Son olarak kötüyü engellemek pek işe yarar değildir. Çünkü tüm kötülerin aslında ne olduğunu bilemezsiniz. Bunun yerine sigorta şirketleri, yalnızca bilinen ‘iyi’ içeriğe izin vermeye odaklanmalıdır.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
