Etiket arşivi: oltalama saldırıları

Siber Güvenlik

Üst düzey yöneticileri avlamaya çalışan hacker grubu Cosmic Lynx

Yorum yapın

Senelerdir e-posta hesaplarını dolandırmak, özellikle Nijeryalı hackerlar kaynaklı olmuştu. Yeni bir haber ise  ‘’iş e-postalarını dolandırma’’ ‘Business Email Compromise’ kampanyası Rusya’daki bir suç grubuna işaret ediyor.

ÜST DÜZEY YÖNETİCİLERİ HEDEFLİYORLAR

E-posta güvenlik firması Agari’den araştırmacılara göre, özellikle 46 ülkedeki büyük kuruluşlarda ve şirketlerde üst düzey yöneticileri hedefleyen Cosmic Lynx grubu, Temmuz 2019’dan bu yana 200’den fazla BEC kampanyası gerçekleştirdi. Cosmic Lynx, birleşmeler ve satın almalarla ilişkili konularda dolandırıcılık yürütüp bunun karşılığında ise hedeflerinden milyonlarca dolar talep ediyor.

COSMİC LYNX NASIL DOLANDIRICILIK YAPIYOR?

Cosmic Lynx hedefleri aldatmak için alışılmadık derecede temiz ve güvenilir görünen mesajlar hazırlar. Grup, şirketin CEO’su gibi davranarak hedef çalışanlara “dış hukuk müşaviri” ihtiyacı hakkında bir e-posta gönderir. E-posta, bir aciliyet duygusu yaratmak amacıyla konunun zamana duyarlı olduğunu belirtir. Hedef çalışan e-postayı yanıtlarsa, gerçek bir avukatın kimliğine bürünen grup, avukatın e-posta hesabıyla işlemi tamamlamalarını ister. Daha sonra çalışandan, hukuk bürosuna bağlı olduğu ancak aslında grup tarafından kontrol edilen hesaplara para göndermesi istenir. Ödeme talepleri ise milyonlarca ABD dolarıdır.

Genelde BEC saldırganlarının daha düşük paralar peşinde koştuğunu söyleyen Agari araştırmacıları, Cosmic Lynx’in üst düzey yöneticileri ve milyon dolarları hedeflemesinin olağan dışı olduğuna dikkat çekiyor.

İranlı siber casusluk grubu OilRig Türkiye’deki kurumlara da saldırmış

İZİNİ SÜRMEK ZOR

Cosmic Lynx ücretsiz hesaplar kullanmak yerine stratejik alan kodları kullanarak her bir BEC kampanyası için daha ikna edici e-posta hesapları oluşturuyor. Bununla birlikte grup, bu alan kodlarını korumayı çok iyi biliyor ve gerçek sahiplerinin izini sürmek neredeyse imkansız oluyor.

Batı Afrikalı dolandırıcılar, BEC kampanyalarını genellikle ücretsiz e-posta hesapları kullanarak kiralanmış veya ücretsiz bulut altyapısından yürütür. Ancak dolandırıcılar keylogger gibi kullanıma hazır hack araçlarını kullanarak ve sistemlerin arka kapılarını hedefleyerek daha fazla dallanıp budaklandılar. Kötü amaçlı yazılımlar burada büyük bir rol oynamadı. Kendi altyapınızı ve yazılımınızı geliştirmenize ihtiyacınız yoksa bu yol daha masrafsız. Bu da teknik becerilerini maliyet tasarrufuyla birleştiren Cosmic Lynx için iyi bir satış noktası.

COSMİC LYNX RUS MENŞEİLİ OLABİLİR

Agari’den araştırmacılar Cosmic Lynx grubunun Rus menşeili olduğuna dair birkaç veri sundu. Bu verilerden bazıları mail saatlerinin genel olarak Moskova saatine göre gönderildiği ( saatlerin de manipüle edilebildiğini ekliyorlar), Trickbot ve Emotet gibi Ruslarla bağlantıları olan kötü amaçlı yazılımlarla bağlantılı olduğu, sahte Rus belgeleri satan web siteleriyle bağlantılı oldukları gibi veriler bu grubun Rus olduğuna dair şüpheleri güçlendiriyor.

Rus hükümeti ile hacker arasındaki ilişki genel olarak flu olsa da Agari’den araştırmacılar Cosmic Lynx’in devlet destekli olduğuna dair herhangi bir ize rastlamadıklarını söylüyor.

‘BEC’ SALDIRILARI İLERİDE DAHA DA YOĞUNLAŞABİLİR

İş e-posta dolandırıcılığı, kötü amaçlı yazılım kullanılarak yapılan saldırılara oranla daha az teknik yatırım gerektirse de yine de teknik beceride uzmanlık gerektirir. Bu neden, çoğu hackerın bu yolu benimsememesini açıklayabilir. Ancak BEC saldırıları giderek arttıkça ve daha fazla para kazandırdıkça, bu saldırıların giderek daha cazip hale geleceği açıktır.

Güvenlik firması Digital Shadows’dan Alex Guirakhoo ‘’ Herkes başarılı bir e-posta dolandırıcılığında gerekli altyapıya veya bil-yap konusuna hakim değil. Bu tarz gruplar düşük seviyeli siber suçlu değiller. Bu gruplar çok fazla deneyime sahip organize gruplardır. Ve şurası açık ki saldırganların buna devam etmeleri için yeterli teşvik var’’ diyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Dijital Güvenlik

‘Kısa çalışma ödeneği’ siber saldırganların yeni yöntemi oldu

Yorum yapın

Koronavirüs ile birlikte hayatımıza giren birçok zorunlu değişiklik siber saldırganların kullanmaları için yeni yollar oluşturmuş durumda. Aşı çalışmalarıyla ilgili verilerin çalınma girişiminden,  yoğunluğun yaşandığı hastanelere yönelik artan fidye yazılımları bu yeni yollardan sadece birkaçı.

Türkiye’de de salgın nedeniyle işçi ve işverene çalışamadıkları dönem için gelir desteği sağlayan ‘Kısa Çalışma Ödeneği’, siber dolandırıcıların yeni yöntemi oldu. Sahtekarlar, salgının yoğun gözüktüğü ülkelerde kötü amaçlı yazılımları yaymak, kurbanların hassas bilgilerini ele geçirmek veya devlet desteklerini manipüle ederek kimlik hırsızlığı yapmak için SMS, sosyal medya reklamları, resmi logoların kullanıldığı sahte internet siteleri ve e-postalar kullanıyorlar.

Interpol uyardı: Hastaneleri hedef alan fidye yazılımlar artıyor

Dolandırıcılardan korunmak için bunlara dikkat!

  • www.turkiye.gov.tr, www.iskur.gov.tr ve www.ailevecalisma.gov.tr gibi resmi bağlantılardan bilgi alarak işlem yaptığınızdan emin olun.
  • Bir SMS, sosyal medya reklamı, internet sitesi ve e-postanın içeriğinde resmi logoların olması, e-posta adresinin meşru olduğu anlamına gelmez.
  • Size gönderilen bir dosyanın PDF veya resmi belge gibi görünmesi, o dosyanın gerçekten resmi bir kurumdan geldiği anlamına gelmez.
  • E-posta sizden yalnızca iletiyi yanıtlamanızı istese bile kişiyi tanımıyorsanız asla cevap vermeyin.
  • Teklif gerçek olamayacak kadar iyiyse ve size sunduğu ödül gösterdiğiniz çabadan oldukça büyükse, kesinlikle bir oltalama e-postasıdır.
  • Birden fazla resmi kaynaktan bilgi sahibi olmaya çalışın ve bilgileri resmi kurumların web sitesine girerek kontrol edin.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Türkiye

Linkedin’deki ‘sahte e-Devlet sitesine’ dikkat!

Yorum yapın

Siber dolandırıcılar kariyer sitesi LinkedIn’i kullanarak binlerce kişiyi dolandırmaya çalıştı. E-Devlet sitesinin kopyasını yapan dolandırıcılar, LinkedIn üzerinden sahte sitenin reklamını yaptı. E-Devletin sahte bir kopyasını yapan dolandırıcılar kullanıcıları bu siteye çekerek kullanıcıların bilgilerini çalmayı hedefliyor.

Siber dolandırıcıların hedefinde bu defa online kariyer platformu LinkedIn var.

Daha önce Facebook ve Twitter üzerinden vatandaşları kandırmaya çalışan dolandırıcılar, bu defa LinkedIn’e reklam vererek sahte e-Devlet sitelerini öne çıkardı.

KREDİ KARTI İADESİNİ YEM OLARAK KULLANIYORLAR

Sabah’ta yer alan habere göre, devletin resmi e-Devlet hesabıyla aynı logoyu kullanan dolandırıcılar, ‘Bankaların kredi kartı iade işlemleri başlamıştır. İadenizi almak için yukarıdaki linke tıklayın’ mesajı ile vatandaşları tuzağa düşürmeye çalıştı.

E-Devletin sahte bir kopyasını yapan dolandırıcılar kullanıcıları bu siteye çekerek kullanıcıların bilgilerini çalmayı hedefliyor.

Ntv’de yer alan bilgiye göre bu amaç uğruna Linked’ın’e reklam veren dolandırıcılar, kullanıcılardan kredi kartı iadelerini almaları için bilgilerini girmelerini istiyor.

Kullanıcıların bu tuzağa düşmesi durumunda siber dolandırıcılar bu kişinin bilgilerini ele geçiriyor.

Siber dolandırıcılar linkedIn gibi sosyal ağ platformlarına reklam vererek binlerce kişiye ulaşmayı deniyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Siber Güvenlik

Bu kez oltalama saldırısı düzenlemek isteyenler oltaya geldi

Yorum yapın

Güvenlik donanım üreticisi WatchGuard Technologies şirketinin çalışanlarından biri geçtiğimiz haftalarda bir oltalama saldırısı girişimiyle karşılaştı. WatchGuard Technologies, saldırı girişimini ise, bu güvenlik stratejisiyle engelledi:

Takip

Hedef odaklı oltalama saldırısı (spear phishing) olarak bilinen taktik, saldırganın hedef bir kişiye göre oltalama saldırısını daha ikna edici kılmak adına uyarlaması olarak tanımlanabilir. Saldırgan hedefi hakkında bilgi toplayarak onu kandırmak için saldırısını ayarlar. Yapılan oltalama finans departmanı müdüründen çalışanına gönderilmiş gibi gözüken bir e-mail ile başlıyor. Mailde patron çalışanından acil bir para transferi yapılmasını talep ediyor.

Maili alan kişinin tamamladığı bilgi güvenliği eğitimi sayesinde finans departmanında çalışan personel e-mail’in şüpheli olduğunu anlıyor ve bilgi işlem departmana haber veriyor. WatchGuard şirketinde tehdit analisti olan Marc Laliberte saldırının tüm detaylarını paylaşıyor.

Direniş

Saldırıyı göz ardı etmek yerine WatchGuard saldırganla iletişim kurmaya devam ederek onun hakkında olabildiğince çok şey öğrenmeye çalışıyor. Gelen kutusuna ulaşan maile cevap veren Laliberte’nin aldığı ikinci mesaj bir telefon numarasına yönlendiriyor.

Email’in kaynak adresi Gmail’den rastgele seçilmiş 7 haneli bir numara olduğunu söyleyen Laliberte, saldırganın mesajda kimden kısıma patronun isim ve soyismini koyarak hedefini kandırmaya çalışmış olduğunu, mail adresini ayarlama ihtiyacı duymadığını belirtti. Gerekli eğitimi almamış bir çalışan patronunun ismini görüp bu mailin gerçek olduğuna inanabilirdi.

Sorgu

Kısa bir araştırma sonucunda saldırgan tarafından verilen numaranın Jacksonville şehrinde bir ev telefonu olduğunu tespit ediliyor.  Saldırganın aslında bu şehirde olmadığından şüphelenen Laliberte bu numara üzerinden kısa mesaj gönderdiğini keşfediyor. Siber saldırganlar kendi bulundukları yeri ele vermemek için genelde bu tip yöntemler kullanabiliyor.

Saldırganın numarasına mesaj atan Laliberte bir gün sonra şirketin ürün teslimatı için acil bir para transferi yapılması gerektiğini belirten bir cevap alıyor. Para transferinin mümkün olduğunu onaylayan Laliberte saldırganı oltaya getiriyor ve yapılacak işlemi detaylandırması için sorular soruyor.

Ödeme

Saldırgan New York’ta olduğunu iddia ettiği bir müşteriye 20 bin dolar havale yapılması gerektiğini söylüyor. Saldırgan havalenin yapılabilmesi için gerekli transfer bilgilerini de veriyor. Saldırgan bu detayları hedefinin güvenini kazanmak için paylaşırken bu bilgilerin yetkililer tarafından takip edileceğini bildiği halde biraz risk alıyor.

Ödemeyi Bekleyiş

Böylelikle Laliberte saldırganın isteyerek verdiği tüm bilgileri toplamış fakat bulunduğu yere dair bilgi alamamıştı. İşlemin ardından saldırgan bu transferin yapıldığına dair bir doğrulama mesajı bekliyordu. Bu şekilde Laliberte IP adresini almak için bir kod yazarak ÜRL linkini kısalttı ve saldırgana sanki transfer onayıymış gibi gönderdi.

Yakalanma

Saldırgan linke tıkladığı anda Laliberte’nin oluşturduğu sanal sunucu sayesinde kaynak İP’si ve tarayıcısını tespit etti. Saldırganın kaynak IP’si Nijerya’da bir adrese kayıtlıydı. Kod sayesinde Laliberte saldırganın iOS 9.3.1 çalıştıran bir iPhone kullandığını saptadı. Saldırgan Nijerya’da olmasına karşın kullandığı banka hesabı Amerika’da yerel adresinin olmasını gerektiriyordu. Bu da Amerika’da bir suç ortağı olabileceğini gösteriyordu. TD Bank ile iletişim kuran Laliberte verilen hesap numarasıyla alakalı soruşturma başlatılması talebinde bulundu.

Eğitimin Önemi

Bu oltalama girişimi siber saldırıların günümüzde ne kadar büyük bir tehdit haline geldiğini gözler önüne seriyor. Oltalama saldırıları için kullanılan savunma yöntemlerinin hiçbiri yüzde yüz koruma sağlamıyor. Teknolojik gelişmeler oltalama mesajlarının çalışanlara ulaşmasını zorlaştırsa da tamamen engellemiyor. IT personelinin sistem kullanıcılarını oltalama saldırılarını tanıma ve raporlama konusunda eğitmeleri gerekmektedir. Bu gibi hedef odaklı oltalama saldırılarının artması karşısında şirketler siber saldırı eğitimlerini olabildiğince güncel tutmalı ve bu gibi dolandırıcılıkları kullanıcıları bilgilendirerek engellemelidirler.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Küresel, Sektörel

Fidye tuzağına düşüren sebepleri bulmak için simülatörlü deney

Yorum yapın

Siber suçlular, sosyal mühendislik kullanarak son kullanıcıları kandırıyor ve bu sayede indirdikleri zararlı yazılım tüm verilerini şifreleyerek ulaşılamaz hale getiriyor. Kullanıcılardan tekrar verilerine ulaşabilmeleri içinse ‘fidye’ isteniyor.

İnternet kullanıcıları fidye yazılımlar ve oltalama amaçlı emaillere ilişkin, gün geçtikçe daha fazla bilinç sahibi olsa da, halen pek çok kullanıcı çok farklı sebeplerle fidye yazılımcılarının tuzağına düşebiliyor.

İLGİLİ HABER >> OLTALAMA SALDIRILARININ YENİ ‘OLTA’SI: OFFICE BELGELERİ

Bilişim güvenlik şirketi PhishMe, kullanıcıların yazılımcıların eline düşmelerine sebep olan eğilimi ölçmek için bir deney gerçekleştirdi. Deneyde, hackerların kullandığı tekniklerle simülatör bulut hizmet oluşturup kullanıcılara sahte mesajlar yolladı. Sonrasında ise hangi kullanıcıların bu mesajlara bağlı içerikleri indirdikleri gözlemlendi.

Bu alıştırmanın hangi çalışanın fidye yazılımların kurbanı olabileceğini tanımladığını söyleyen şirket direktörü Jim Hansen, bu sayede IT firmalarının hangi noktaya odaklanacaklarını daha iyi kavradıklarını açıkladı.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]