Daha önce siber güvenlik uzmanlarına yönelik sosyal mühendislik operasyonları yapan Kuzey Koreli siber tehdit unsurları, bu kez bir Türk Siber Güvenlik Şirketi gibi davranarak kurbanlarını hedef aldı.
Google’ın Tehdit Analizi Grubunun paylaştığı bilgilere göre hükümet destekli hacker grubu, güvenlik araştırmacılarını etkilemek için sosyal medya hesapları oluşturmanın yanı sıra Türkiye’de ‘SecuriElite’ bir siber güvenlik şirketi görünümü veren bir internet sitesi kurdu.
Sitede hayali şirketin yazılım güvenlik değerlendirmeleri, sızma testleri ve zafiyet arama sistemleri hizmeti verdiği iddia ediliyor. Saldırganların internet sitesiyle ilk saldırılarını 2021 yılının Ocak ayında yaptıkları belirtiliyor. Söz konusu saldırıda oluşturdukları sitenin giriş sayfası açıldığında bir tarayıcı istismarı gerçekleştiriliyor.
TREND MACRO SAHTEKARLIĞI
Kendilerine çekmeye çalıştıkları güvenlik araştırmacılarına kötü amaçlı yazılım bulaştırmak için de PGP açık anahtarını kullandılar.
SecuriElite sitesi herhangi bir kötü amaçlı yazılım dağıtacak şekilde kurulmadığı için saldırılar erkenden tespit edildi. Böylelikle Google, siteye yanlışlıkla dahi olsa kullanıcıların kolayca erişmesini engellemek için site URL’sini Güvenli Tarama uygulamasına yönlendirdiklerini belirtti.
Kuzey Koreli hackerlar tarafından oluşturulan ve bu yeni saldırılarla ilişkilendirilen tüm LinkedIn ve Twitter hesapları Google tarafından bildirildi ve askıya alındı. Örneğin Linkedln üzerinde tespit edilen iki sahte hesabın sıklıkla kullanıldığını söyleyen Google, bu hesaplardan birinin ‘Carter Edwards’ adını kullandığı ve ‘Trend Macro’ gibi sözde şirketlerde çalışıyor gibi göründüğünü ekledi.
Google’ın Tehdit Analizi Grubu’ndan Adam Weidemann, “Halihazırda söz konusu saldırı amaçlı kurulan internet sitesinin kötü amaçlı içerik sunduğunu gözlemlemedik ancak yine de Google Güvenli Tarama’ya bildirdik.” dedi.
KUZEY KORELİ SALDIRGANLARIN İLK EYLEMİ DEĞİL
Daha önceden de aynı tip saldırılar düzenleyen hükümet destekli Kuzey Koreli hackerlar, yine siber güvenlik araştırmacılarını hedef almıştı.
Örneğin hükümet destekli Kuzey Koreli Lazarus grubu, tasarladıkları kötü amaçlı internet siteleriyle hedeflenen güvenlik araçtırmacılarının bilgisayarlarına arka kapı yüklemeye veya güvenlik zafiyetlerinden yararlanmaya çalışmışlardı.
Tüm güncellemelere sahip Windows 10 veya Google Chrome sürümleri kullanan araştırmacıların da saldırılardan etkilenmesi akıllara siber saldırganların sıfır gün açıkları kullandığını getiriyor.
Güney Koreli güvenlik araştırmacılarına başarısız saldırılar düzenledikten sonra Güney Koreli siber güvenlik şirketi ENKI,Internet Explorer sıfır gün açığını keşfettiklerini bildirmişti.
Teknoloji girişimcisi iş adamı Elon Musk’ın bitcoine destek vermesi sosyal mühendislik peşinde koşan dolandırıcıların gözünden kaçmadı. Sahte Elon Musk hesabı açan saldırganlar mağdurların birikimlerini gasp etti.
BBC’ye konuşan dolandırıcılık mağduru Sebastian, 564 bin dolar kaybettiği geceyi utanç ve öfkeyle hatırladığını söyledi. Sebastian o anları şöyle anlattı:
“Sıradan bir akşamdı. Eşim birlikte Netflix’te bir dizi izlemiş, o yatmaya gidince kendisi de koltukta biraz daha oturup telefonumu kurcalamaya başlamıştım. Bir twitter uyarısı geldi: Elon Musk mesaj paylaşmıştı. “Musk, ‘Dojo 4 Doge?’ diye tweet atmıştı, ben de bunun ne anlama geldiğini merak ettim. Llinke tıkladığında profesyonel görünen ve Bitcoin dağıtımının bütün hızıyla devam ettiği bir web sayfası açılmıştı.”
Sayfa, katılımcılara, yatırdıkları parayı ikiye katlama vaadinde bulunuyor, bir köşede ise kalan vakti gösteren bir kronometre geri sayım yapıyor.
Yarışma Elon Musk’ın Tesla ekibi tarafından düzenlenmiş görünüyordu. Katılımcılardan 0,1 Bitcoinden (yaklaşık 6 bin dollar) ile 20 Bitcoine (yaklaşık 1,2 milyon dollar) kadar Bitcoin göndermeleri halinde iki katının kendilerine geri gönderileceği vaat ediliyordu.
Sebastian, Musk’ın Twitter hesabındaki mavi tıklı teyitli logoyu yeniden kontrol edip 5 Bitcoin mi yoksa 10 Bitcoin mi göndermesi gerektiğine karar vermeye çalışıyordu. Sebastian “Bu kesinlikle gerçek, maksimuma oyna diye kendime telkinde bulunup 10 Bitcoin gönderdim” diye konuştu.
BITCOINLERİNİN İKİ KATINA ÇIKMASINI BEKLİYORDU
Ardından 20 dakikalık bekleme dönemi başladı. Almanya’nın Köln kentindeki evinde Sebastian, her 30 saniyede bir ekranını güncelleyerek Bitcoinlerinin iki katına çıkmış halde gelmesini beklemiş.
Elon Musk’tan yeni bir kriptolu tweet gelince içine su serpilmiş, Bitcoin dağıtımıyla ilgili ilk tweetin gerçek olduğuna daha da inanmış. Ama ekrandaki kronometrede süre geri sayımı tamamlanıp 0’a ulaştığını aktaran Sebastian, “Bunun büyük bir dolandırıcılık olduğunu anladım. Kafamı koltuktaki yastıkların arasına gömdüm, kalp atışım hızlandı. Ailemin hayatını değiştirecek parayı, erken emeklilik ve çocuklarıma tatile gitme hayallerimi boşa düşürmüştüm.” ifadelerini kullandı.
O gece hiç uyumayan Sebastian.”Üst kata çıkıp yatağın kenarına oturdum. Karımı uyandırıp ne büyük bir hata yaptığımı anlattım. Paramın tamamını ya da en azından bir kısmını geri alabilmek umuduyla dolandırıcılık yapan web sayfasına e-postalar gönderdim. Elon Musk’ın sahte Twitter hesabına tweetler attım. Sonuç alamayınca, paramı kaybettiğini kabullenmek zorunda kaldım.” dedi.
Amsterdam’daki blok zinciri teknolojisi danışmanlığı şirketi Whale Alert, Sebastian’ın 10 Bitcoin’i transfer etmesini ve birkaç gün içinde kimliği belirsiz kişilerce paraya çevrilmesini dehşetle izlemiş.
Şirket, bu tür dolandırıcılık işlemlerine karşı yetkilileri harekete geçirmeye çalışmış, ama sonuç alamamış. Blok zincir analistleri, kripto paraların gerçek zamanlı hareketini takip edip eğilimleri gözlemliyor.
BITCOIN DOLANDIRICILIKLARI HER GEÇEN GÜN ARTIYOR
Eşantiyon Bitcoin “dağıtımı” yoluyla dolandırıcıların büyük paralar elde ettiğini tespit ediyorlar. Sebastian’ın 10 Bitcoini ise tanık oldukları en büyük tek işlemde transfer olmuş.
Dolandırılanların sayısı hızla artıyor Araştırmacılar, dolandırıcıların 2021’de rekor düzeyde para elde ettiklerini belirtiyor. Eşantiyon çeteleri 2021 yılının ilk üç ayında 18 milyon dolar dolandırmış. 2020 yılının tamamında yapılan dolandırıcılık ise 16 milyon dolar olmuş.
2020’de bu tür dolandırıcılığa maruz kalanların kisi sayısı 10.500 iken, bu yıl bu rakam şimdiden 5.600’e ulaşmış. Dolandırıcıların taktikleri ise 2018’den bu yana pek değişmemiş. Elon Musk gibi ünlü yatırımcıların sahte Twitter hesaplarını açmak, gerçek hesaptan paylaşım yapılmasını ve daha da inandırıcı olsun diye birine cevap verilmesini beklemek.
Bu tür dolandırıcılıklar için Twitter’ın yanı sıra YouTube, Facebook ve Instagram gibi diğer sosyal medya platformları da kullanılıyor. Bitcoin piyasası hareketli Whale Alert’in kurucusu Frank van Weert, “Bunu açıklayacak bir verimiz yok, ama genel Bitcoin piyasası ile ilgili olabilir. Bitcoin fiyatları yükseldikçe insanlar çılgına dönüyor ve çoğu bu piyasada yeni olduğu için hızlı para kazanma arzusu ağır basıyor. Ayrıca Elon Musk gibi kripto para destekçisi bir yatırımcının Bitcoin dağıtması da oldukça olası görünüyor.” değerlendirmesinde bulundu.
DOLANDIRILANLAR EĞİTİMSİZ DEĞİL
Van Weert ayrıca, kendi tanıtımları için eşantiyon Bitcoin dağıtımı yapan gerçek kripto para web sayfalarının olmasının da bu tür tuzaklara düşmeyi kolaylaştırdığını söylüyor.
Olayın üzerinden üç hafta geçmesine karşın Sebastian hala utanç duyuyor, “Aptal biri değilim aslında” diyor. “İletişim teknolojisi alanında çalışan eğitimli biriyim. Eşim ve iki çocuğumla, bahçeli, güzel bir evde yaşıyorum. O gece açgözlü davrandım ve bu beni körleştirdi.”
42 yaşındaki Sebastian Bitcoine ilk yatırımını 40 bin dolar ile 2017’de yapmış. Zaman içinde 10 Bitcoinin değeri 500 bin euroyu bulmuş.
Sebastian, yetkililerin uluslararası çapta dolandırıcılara karşı harekete geçmesini, Bitcoin ticareti yapan şirketlerin de aktif yardımda bulunmasını istiyor. “Bitcoin çalmak çok kolay.
Bitcoin ticareti yapan platformların müşterilerini tanıması ve birilerinin hırsızlar tarafından hedef alınıp alınmadığını kontrol etmeleri gerekiyor.”
En çok yankı yaratan Bitcoin dolandırıcılığı ise 2020’de olmuştu. Bill Gates, Kim Kardashian, Elon Musk gibi ünlülerin sahte sosyal medya hesaplarını kullanan dolandırıcılar 118 bin dolarlık Bitcoin çalmış, olayla ilgili üç kişi tutuklanmıştı.
Kaynak: BBC Türkçe
Siber Bülten abone listesine kaydolmak için formu doldurunuz
ABD Federal Soruşturma Bürosu (FBI), kötü niyetli aktörlerin yakın zamanda etki alanlarını veya siber operasyonlarını genişletmek adına deepfake teknolojisi kullanacakları konusunda uyardı.
Kurumdan yapılan açıklamada, yabancı aktörlerin, etki kampanyalarında halihazırda deepfake veya video, ses, resim ve metin gibi manipüle edilmiş dijital içeriği kullandıkları belirtildi.
FBI uyarısında şu ifadeler yer aldı: “Yabancı aktörler şu anda etki kampanyalarında sentetik içerik (Yapay Zeka tarafından yaratılan içerik) kullanıyor ve FBI bu manipüle edilmiş içeriklerin yabancı ve siber suç aktörleri tarafından giderek artan oranda kimlik avı dolandırıcılığı ve sosyal mühendislik için kullanılacağını ön görüyor.”
Uyarı, manipüle edilmiş medya içeriklerinin artışının önüne geçilmediği takdirde komplo teorilerinin ve kötü niyetli etki kampanyalarının giderek daha yaygın hale geleceği yönündeki endişelerin dile getirildiği bir dönemde yapıldı. Milletvekilleri, son dönemde kadınları taciz etmek için sıklıkla kullanılan deepfake teknolojisini hedef alan bir dizi yasa çıkardılar. Örneğin, 2021 tarihli Ulusal Savunma Yetkilendirme Yasası, “deepfake”in arkasındaki teknoloji ve yol açtığı zararların İç Güvenlik Bakanlığı tarafından değerlendirilmesini öngörüyor.
ÇİN YANLISI KAMPANYADA YAPAY ZEKA İLE OLUŞTURULAN GÖRÜNTÜLER KULLANILDI
Federal Büro uyarısında, dezenformasyon kampanyalarında manipüle edilmiş medyanın Çince ve Rusça dillerinde kullanımını ortaya çıkaran özel sektör araştırmalarına işaret etti. Bunlardan birinde, sosyal medya analiz şirketi Graphika’nın “Spamouflage Dragon” adını verdiği Çin yanlısı bir hükümet etki kampanyasının, kampanyaya özgünlük kazandırmak için yapay zeka ile oluşturulan profil görüntülerini kullandığı belirtiliyor.
Başka bir vakada araştırmacılar, “trol çiftliği” olarak tanımlanan Rus şirketi İnternet Araştırma Ajansı’nın 2020’deki ABD seçimlerinden önce sahte profil hesapları oluşturmak için Generative Adversarial Networks (Üretken Düşman Ağları) tarafından oluşturulan görüntüleri kullandığını ortaya çıkardı. Cyberscoop’un ortaya çıkardığı bilgiye göre, FBI o dönemde Facebook’u konuyla ilgili bilgilendirdi.
Düşünce kuruluşu Atlantic Council’ın Dijital Adli Araştırma Laboratuarı, Graphika ve Facebook da yakın zamanda Trump yanlısı bir kampanyada kullanılan yapay zeka tarafından manipüle edilmiş görüntüleri ortaya çıkarmak için işbirliği yaptı.
FBI, uyarısında, kötü niyetli yabancı aktörlerle ilişkilendirilen “deepfake”lere ilişkin bir soruşturma başlatacaklarını açıkladı.
KONGRE BİNASI BASKINININ ARKASINDA DA DEEPFAKE OLABİLİR
Uyarı, federal hükümet, araştırmacılar, Amerikalılar ve sosyal medya şirketlerinin, kongre binası baskınının ardından yanlış bilgilendirme ve dezenformasyon ile yoğun bir mücadeleye girdiği bir dönemde geldi. Yakın zamanda yayınlanan araştırmaya göre, hükümete yönelik yapılan saldırı, kısmen, aşırı sağcı gruplar ve medya kuruluşları tarafından çevrimiçi olarak yayılan dezenformasyon kampanyası tarafından tetiklendi.
Baskını tetikleyen dezenformasyonun arkasındaki kişilerin bir kısmı yerli aktörler olsa da Rusya, İran ve Çin’den yabancı aktörler de ABD’deki kutuplaşmadan faydalanmak üzere haberleri kullandılar.
İsyancılar Trump’ın saldırı sırasında yapılan yenilgi konuşmasının deepfake olduğunu öne sürse de bu kampanyalarda manipüle edilmiş medyanın veya deepfake’in kullanıldığına dair net bir bilgi yok.
FBI, “Şu anda, kullanıcıların içeriği kötü niyetli aktörler tarafından değiştirilen çevrimiçi bilgilerle karşılaşma olasılığı daha yüksek ” açıklamasını yaptı ve ekledi: “Ancak, teknoloji ilerlemeye devam ettikçe bu eğilim muhtemelen değişecek”
FBI, yapay zeka tarafından üretilen sentetik medyayı veya “deepfake’i ayırt etmek için kullanıcıların görüntülerde veya videolardaki senkronizasyon sorunları veya diğer tutarsızlıklar konusunda uyanık olmalarını önerdi.
Uzmanlar, federal hükümet ve özel sektörün dijital okuryazarlığı teşvik etmek ve etki kampanyalarını daha iyi bastırmak adına işbirliği yapmaları gerektiğini düşünüyor.
Yakın zamanda yürürlüğe giren Üretken Düşman Ağları (IOGAN) Sonuçlarını Tespit Etme Yasası uyarınca, Ulusal Bilim Vakfı ve Ulusal Standartlar ve Teknoloji Enstitüsü, manipüle edilmiş medya konusunda yürütülen araştırmalara fon sağlayacak.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Kaspersky Lab kimlik avı önleme sistemi 2018’de dolandırıcılık amaçlı web sayfalarına giriş denemelerini 482 milyondan fazla kez engelledi. 2017’de 236 milyon olan bu sayı bir yıl içinde iki kat artış gösterdi.
Kimlik avı saldırılarında son birkaç yıldır artış gözleniyordu fakat 2018’de elde edilen sonuçlar bu tür saldırıların popülerliğinin önemli ölçüde yükseldiğini ortaya koydu. Kaspersky Lab, 2018’de Spam ve Kimlik Avı başlıklı yeni raporunda bunların yanı sıra başka bulgulara da yer verdi.
‘Sosyal Mühendislik’ Saldırıları
Çok çeşitli yollarla farklı amaçlar için kullanılabilen kimlik avı yöntemi, en esnek ‘sosyal mühendislik’ saldırıları arasında yer alıyor. Kimlik avı sayfası açmak isteyen saldırganların yapması gereken tek şey, popüler veya güvenilir bir web sitesinin kopyasını oluşturup kullanıcıları buraya çekerek kimlik bilgilerini girmelerini sağlamak oluyor. Bu bilgiler arasında banka hesabı parolaları, ödeme kartı ayrıntıları veya sosyal medya hesaplarına giriş için kimlik bilgileri yer alıyor.
Kimlik avı saldırıları, kullanıcıların bir dosya ekini indirmesini veya bir bağlantıya tıklamasını sağlayıp bilgisayara zararlı yazılım indirilmesi yoluyla da gerçekleşebiliyor. Bu tür saldırılar maddi zarardan tüm kurumsal ağın ele geçirilmesine kadar uzanan sonuçlara yol açabiliyor. Zararlı bağlantı veya dosya eki şeklinde yapılanlar başta olmak üzere, kimlik avı saldırıları kurumlara yönelik hedefli saldırılarda kullanılan en popüler yöntemler arasında yer alıyor.
2018’de yaşanan büyük artış aslında uzun süredir devam eden trendin bir parçası. 2017 ve 2016’da da bir önceki yıla göre %15 artış yaşanmıştı. Ancak 2018’de yeni bir zirve noktasına ulaşıldı.
Finans Sektörü Ağır Yaralı
Bu saldırılar özellikle finans sektörünü vurdu. Kaspersky Lab teknolojileri tarafından tespit edilen tüm kimlik avı saldırılarının %44’ü bankaları, ödeme sistemlerini ve internet mağazalarını hedef aldı. Bu da 2018’deki finansal kimlik avı saldırısı sayısının neredeyse 2017’deki toplam kimlik avı saldırılarına eşit olduğu anlamına geliyor.
Kimlik avı saldırısına uğrayan kullanıcı oranında lider bu yıl da Brezilya oldu. Saldırıya uğrayan kullanıcıların %28’i kimlik avı saldırısıyla karşılaştı. Bir yıl önce 7. sırada yer alan Portekiz bu yıl %23 ile ikinci olurken, Avustralya ise %21 oranla ikincilikten üçüncülüğe geriledi.
Kaspersky Lab Güvenlik Araştırmacısı Tatyana Sidorina şöyle konuştu:
“Kullanıcıları dolandırıcılık sayfalarına yönlendirmekte kullanılan sosyal mühendislik yöntemlerinin verimliliğinin artması, kimlik avı saldırısı sayısının da artmasına neden oluyor. 2018’de sahte bildirimler gibi yeni yöntemlerle karşılaşmamıza ek olarak Kara Cuma ve tatil dönemlerinde kullanılan geleneksel tuzakların da iyileştirildiğini gözlemledik.Genel olarak, dolandırıcılar artık FIFA Dünya Kupası gibi önemli etkinliklerden daha fazla faydalanmaya başladılar.“
2018 spam ve kimlik avı raporunda yer alan diğer bulgular şunlar:
Tüm e-posta trafiğinde spam e-postaların oranı %52,48 oldu. Bu oran 2017’den 4,15 puan daha düşük.
Bu yıl en büyük spam kaynağı ülke Çin oldu (%11,69).
Spam e-postaların %74,15’i 2 KB’tan daha küçük boyuttaydı.
Zararlı spam e-postalar en sık, Win32.CVE-2017-11882 kod adlı filtreyle tespit edildi.
Kimlik avı önleme sistemi 482.465.211 kez uyarı verdi.
Kaspersky Lab uzmanları, kullanıcıların kendilerini kimlik avı saldırılarına korumaları için şunları tavsiye ediyor:
Bilmediğiniz veya beklemediğiniz mesajlardaki internet adreslerini her zaman kontrol edin. Yönlendirildiğiniz sitenin, mesajdaki bağlantının ve hatta göndericinin e-posta adresini kontrol ederek bağlantıların başka bir yere yönlendirmediğinden emin olun.
Web sitesinin gerçek ve güvenli olup olmadığından emin değilseniz kimlik bilgilerinizi girmeyin. Sahte bir siteye kullanıcı adı ve parola girmiş olabileceğinizi düşünüyorsanız hemen parolanızı değiştirin. Kart bilgilerinizin alındığına inanıyorsanız bankanızı veya ödeme sağlayıcınızı arayın.
Özellikle hassas web sitelerini ziyaret ederken güvenli bağlantı kullanın. Bilmediğiniz veya parola koruması olmayan herkese açık bir Wi-Fi ağı kullanmayın. Güvensiz bir bağlantı kullandığınızda siber suçlular haberiniz olmadan sizi kimlik avı sayfalarına yönlendirebilir. En üst düzeyde koruma için Kaspersky Secure Connection gibi veri trafiğinizi şifreleyen bir VPN çözümü kullanın.
Kaspersky Security Cloud ve Kaspersky Total Security gibi, davranış tabanlı kimlik avı teknolojilerinden yararlanan ve kimlik avı amaçlı sayfalara girmeye çalıştığınızda sizi uyaran, sağlam bir güvenlik çözümü kullanın.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
İranlı olduğundan şüphelenilen bir hacker grubunun Facebook ve Linkedin’de çekici kadın resimleri ve sahte online haber siteleri kurarak hakkında bilgi almak istediği 2000’den fazla kişi ile irtibat kurmaya çalıştığı iddia edildi.
iSight Partners adlı güvenlik danışmanlık şirketinin yayımladığı ‘The Newscaster Threat’ adlı raporda hedeflerle sosyal medya üzerinden arkadaş olan hackerların bundan sonra hedeflere zararlı yazılım içeren mail göndererek mail hesabı bilgilerini çalmayı amaçladıkları kaydedildi. Hedeflerin Batılı büyük şirket çalışanları, askeri yetkililer, İsrail lobisinin önde gelenleri ve gazeteciler olduğu belirtildi. Çalışma şekilleri ve kumanda-kontrol merkezinin yeri ile ilgili bilgilerin, bu hackerların İranlı olduğu şüphesini uyandırdığı ve hükümet destekli siber espiyonaj faaliyetleri ile uyumluluk içerisinde olduğu ifade edildi. Raporda hackerların İran’ın lehine olabilecek gizli bilgi ve belge çalma gayretinde olduğu tespit edildiği de yer aldı. Bir şirket yetkilisi, hackerların 2011’den bu yana devam ettikleri operasyonun bazı safhalarında başarılı olduklarını da sözlerine ekledi.
Bilgileri çalınması amaçlanan hedefin sosyal medyadaki arkadaşları ile bağlantı kurduktan sonra asıl hedefe davet gönderen korsanların web şifrelerini çalmaya odaklandıkları tespit edildi. İlgi çekici bir youtube linki gönderilen hedefler linke tıkladıklarında sahte bir google gmail sayfasına yönlendirilerek şifre ve kullanıcı isimleri isteniyor. Sosyal medyada etkili sosyal mühendislik saldırılarının yanı sıra korsanların NewsOnAir.org adlı bir haber sitesi kurarak hedefleri bu siteye de yönlendirmeye çalıştığı ortaya çıktı.
