Fransa’da hükûmet çalışanlarına yabancı menşeli mesajlaşma uygulamalarını telefonlarından kaldırmaları yönünde bir genelge yayımladı.
Başbakan Elisabeth Borne tarafından yayımlanan genelgede, devlet çalışanlarına Signal, WhatsApp ve Telegram gibi yabancı mesajlaşma uygulamalarını kaldırmaları talep edildi. Çalışanlara bunların yerine Fransa’da geliştirilen Olvid uygulaması tavsiye edildi.
Genelge bakanları, devlet sekreterlerini ve daire başkanlarına gönderildi. Daha çok tavsiye niteliğindeki genelge bir yasaklama anlamına gelmiyor.
Uçtan uca şifreleme özelliği olan Olvid uygulamasına kaydolmak için cep telefonu numarası girmek gerekmiyor.
Son yapılan araştırma Almanya’nın, Rus anlık mesajlaşma uygulaması Jabber’ı takip ettirdiğine ilişkin şüpheleri artırmıştı. Rus siber güvenlik araştırmacıları, sunucuları Almanya’da bulunan Rusya kökenli bir anlık mesajlaşma servisini gizlice dinlemeye yönelik bir hükûmet girişimi keşfetmişti.
İsrail’in savaş ortamında siber güvenlik açığını kapatmak için uzmanları ülkeye çağırdığı bildirildi.
İsrailli vatandaşların iddialarına göre Filistin’i destekleyen bir grup siber hacktivist, bir yanda Zoom üzerinden ders dinleyen çocukların ekranına silahlı adam görüntüsü koyarken diğer yandan da bir reklam panosuna roket görüntüleri ve yanan İsrail bayrağı koydu.
Her iki iddia da doğrulanamasa da İsrailli bilgi güvenliği uzmanları, hacktivist faaliyetlerdeki artış nedeniyle İsrailli şirketlere ücretsiz siber güvenlik hizmetleri sağlamak için bir araya geldi.
ZOOM YARDIM TEKLİF ETTİ
Paylaşılan bir görüntüdeki iddiaya göre İsrailli çocuklar Zoom üzerinden öğretmenlerini dinlerken, ekranda silahlı bir adamın görüntüsü belirdi. Paylaşılan bir başka videoda ise İsrail’in orta kesimindeki Holon kentinde bir reklam panosunda roket görüntüleri ve yanan bir İsrail bayrağı gösteriliyordu.
Okul olayındaki ekran görüntüsü, siber güvenlik şirketi Sepio’nun CEO’su Yossi Appleboum tarafından sağlandı. Appleboum, ekran görüntüsünü çocukların aileleriyle doğrudan temas hâlinde olan bir kişi aracılığıyla aldığını söyledi.
Zoom ise yaptığı açıklamada, kesintiyi yaşamalarından “derin üzüntü” duyduğunu ve İsrail’deki okulların uzaktan öğretime devam etmesini sağlamak için yardım teklif ettiğini belirtti.
Hacklenen reklam panosunun videosu ise ilk olarak 12 Ekim sabahı Telegram üzerinden paylaşıldı.
İsrail merkezli bir siber güvenlik firması olan Check Point, reklam panosunun “Hamas yanlısı ve İsrail karşıtı içerikle” hacklenen bu tür en az iki kamusal ekrandan biri olduğunu söyledi. Buna rağmen sadece videonun çekildiği yerin Holon olduğunu doğrulanabildi.
FİLİSTİNLİ HACKTIVIST GRUPTAN SABOTAJ GİRİŞİMİ
İsrail’in teknoloji sektörü, ülkenin genelinde olduğu gibi, birçok profesyonelin askerlik görevine çağrılması nedeniyle değişim içinde. Bu değişim ise hacktivistler için yeni açık kapılar bıraktı.
Filistin halkını desteklediklerini iddia eden bir grup hacktivist, sabotaj girişimlerinde bulundu. Çeşitli şirketlere yönelik saldırılar gerçekleşti ve bazı bilgiler çalındı.
Bunun yanı sıra birçok İsrailli bilgi güvenliği uzmanı İsrail’e yardım etmek için bir araya geldi.
Bu kişilerden bir tanesi olan ve İsrailli siber güvenlik uzmanları için popüler bir Facebook grubu yöneten Profero’nun CEO’su Omri Segev Moyal, Filistinli gruplara karşı dijital eylem çağrısı yapan birkaç gönderiyi kaldırdığını söyledi.
Siber güvenlik dünyasında “yeni dark web” olarak adlandırılan Telegram’ın tehdit aktörlerince kullanımı giderek artıyor.
Kaspersky tarafından yayımlanan rapor ise Yeni Karanlık Ağ’da faaliyetlerini genişleten kimlik avı operatörlerinin çalışmalarını konu aldı.
Telegram gruplarının gün geçtikçe zararlı yazılım, bot ve fidye yazılımı satmanın yanı sıra suç çetelerinin saldırılarını duyurmak için merkezi bir hâle gelmesi, siber güvenlik uzmanlarının da odak noktasını bu kanallara çekti.
Telegram’ın siber tehdit aktörlerince bu denli sık ve aktif kullanılması dolayısıyla uygulama “Yeni Karanlık Ağ” olarak tanımlanmaya başladı.
KİMLİK AVI OPERATÖRLERİNDEN KİMLİK AVI EĞİTİMİ
Kaspersky’den analist Olga Svistunova, yakın zamanda yayımladığı raporda kimlik avı operatörlerinin, hedef kitlelerini kimlik avı konusunda eğitmek için Telegram kanalları oluşturduğunu ve bu kanalların bağlantılarını YouTube, GitHub ve kimlik avı kitleri aracılığıyla paylaştığını belirtti.
Söz konusu kanalların çoğu, kimlik avı sayfaları oluşturmak veya kullanıcı verilerini toplamak gibi kötü amaçlı iş akışlarını otomatikleştirmek için çeşitli araçlar sunuyor.
Svistunova, saldırılarda kullanılan kimlik avı kitlerinin nispeten basit olduğunu, genellikle kullanıcı kimlik bilgilerini yakalayan ve bunları bir bota ileten bir komut dosyasından oluştuğunu ancak yine de etkili olduklarını söyledi.
TELEGRAM ÇOK AMAÇLI KULLANILIYOR
Raporda ayrıca Telegram kanallarının çevrim içi bankacılık kimlik bilgilerini satmak için kullanıldığını, dolandırıcıların hesap bakiyelerini alıp sattığını ve daha yüksek bakiyeli hesaplar için daha yüksek fiyatlar talep edildiği belirtildi.
Bazı Telegram kanallarının kimlik avı araçları, tespit sistemleri ve kimlik avı kitleri tarafından oluşturulan bağlantılarla ilgili düzenli güncellemeler için müşteri desteği ve abonelikler sunan hizmet olarak kimlik avı operasyonlarının reklamını yaptığı tespit edildi.
KİMLİK AVI SALDIRILARINA KARŞI NASIL ÖNLEM ALINABİLİR?
Kimlik avı operatörlerinin Telegram’da faaliyetlerinin artması, siber güvenlik ortamında gelişen kimlik avı tekniklerine karşı sürekli tetikte olma ve farkındalık ihtiyacının da altını çiziyor.
Bu nedenle kimlik avı saldırılarına karşı kişisel olarak çeşitli önlemler almak önem kazanıyor. Kimlik avı tehditlerine karşı yapabilecekleriniz arasında aşağıdaki önlemler bulunuyor:
Şüpheli e-postalara dikkatli edin: Şüpheli bağlantılara tıklamayın veya bilinmeyen gönderenlerden gelen ekleri indirmeyin. Gönderenin e-posta adresini iki kez kontrol ederek ve yanlış yazılmış kelimeler veya olağan dışı talepler gibi kimlik avı belirtilerini arayarak, özellikle hassas bilgiler isteyen e-postaların meşruiyetini doğrulayın.
Kişisel bilgilerinizi paylaşmaktan kaçının: Alıcının kimliğinden ve iletişim kanalının güvenliğinden emin olmadığınız sürece parolalar, sosyal güvenlik numaraları veya kredi kartı bilgileri gibi hassas bilgileri e-posta veya diğer iletişim kanalları üzerinden paylaşmayın.
Yazılımlarınızı güncel tutun: İşletim sisteminizi, web tarayıcılarınızı ve cihazlarınızda yüklü tüm yazılımları düzenli olarak güncelleyin. Bu, kimlik avı saldırıları tarafından istismar edilebilecek güvenlik açıklarının düzeltilmesine yardımcı olur.
Çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin: MFA, parolanızın yanı sıra parmak izi, kısa mesaj kodu gibi ek kimlik doğrulama gerektirerek ekstra bir güvenlik katmanı ekler. Bu, kimlik avı saldırılarına kurban gitme riskinizi önemli ölçüde azaltabilir.
Kendinizi eğitin: En son kimlik avı teknikleri ve trendleri hakkında bilgi sahibi olun. Beklenmedik e-postalara veya mesajlara, özellikle de aciliyet hissi yaratan veya acil eylem isteyenlere karşı dikkatli olun. Bağlantılara tıklamadan veya kişisel bilgilerinizi vermeden önce iki kez düşünün ve şüpheli e-postaları veya mesajları BT departmanınıza veya ilgili makamlara bildirin. Çevrim içi iletişimle uğraşırken daima dikkatli ve şüpheci olun.
Android işletim sistemi üzerinden saldıran StrongPity çetesinin Türk hacker grubu olduğu iddia edildi.
Siber güvenlik şirketi ESET’in yaptığı bir araştırmaya göre Türk bir grup olduğu düşünülen StrongPity adlı grubun dar bir çevreden veri toplamak için sahte bir Android görüntülü sohbet uygulaması kullandığını ortaya çıkardı.
StrongPity, yetişkin görüntülü sohbet sitesi olan Shagle’ı taklit eden bir internet sitesini ve kullanıcıların telefon görüşmelerini, SMS mesajlarını ve düzinelerce mobil uygulamadan veri çalabilen bir uygulamasını oluşturarak kullanıcıları tuzağa düşürdü.
TELEGRAM’IN AÇIK KAYNAK KODUNU KULLANMIŞLAR
Slovakya merkezli siber güvenlik şirketi ESET’e göre StrongPity adlı grup, kötü niyetli uygulamayı, yabancılar kişiler arasında şifreli iletişim sağlayan Shagle adlı gerçek bir görüntülü sohbet hizmetini taklit eden bir internet sitesi aracılığıyla dağıttı.
Tamamen web tabanlı olan ve resmî bir uygulaması olmayan Shagle’ı taklit eden internet sitesi aracılığıyla dağıtılan sahte uygulama, StrongPity’nin arka kapı koduyla yeniden paketlenmiş mesajlaşma uygulaması Telegram’ın değiştirilmiş bir açık kaynak koduna dayanıyor.
Çeşitli casusluk yeteneklerine sahip olan sahte uygulama, kullanıcıların telefon görüşmelerini kaydedebiliyor, SMS mesajlarını ve kişi listelerini toplayabiliyor ve eğer kullanıcılar bu sahte uygulamada erişime izin verdiği takdirde Instagram, Twitter, Messenger ve Snapchat gibi diğer mobil uygulamalardan veri çalabiliyor.
StrongPity’nin bu sahte uygulamayla yaptığı bir diğer şey de Samsung cihazlardaki resmî güvenlik uygulamasını devre dışı bırakmaya çalışmak oldu.
KURBANLARIN KİM OLDUĞU BİLİNMİYOR
Kötü amaçlı uygulama Kasım 2021’de piyasaya sürülmesine rağmen ESET, kurbanlarından hiçbirini tespit edemedi. Araştırmacılar bunun nedeninin kampanyanın “çok dar hedefli” olması olduğunu öne sürdü.
ESET ayrıca potansiyel kurbanların taklitçi internet sitesine nasıl çekildiğini veya bu internet sitesini nasıl keşfettiğini de belirleyememesine rağmen her iki sitenin de ana sayfalarının neredeyse aynı göründüğünü ama taklitçi olanın ziyaretçileri görüntülü sohbet başlatmak yerine bir uygulama indirmeye yönlendirdiğini belirtti.
Google Play mağazasında hiçbir zaman kullanıma sunulmayan sahte uygulamayı kullanıcılar yalnızca doğrudan taklitçi internet sitesinden indirebildi.
Sahte Shagle uygulamasının artık aktif olmadığını belirten araştırmacıları bunun sebebinin, grubun ilk test amaçları için Telegram’dan örnek bir API kimliği kullanmış olduğu ama bu kimliğin Telegram tarafından devre dışı bırakılmış olduğunu söyledi.
Araştırmacılar raporlarında, “Uygulamanın yeni ve çalışan bir sürümü internet sitesi aracılığıyla hiç kullanıma sunulmadığından, StrongPity’nin kötü amaçlı yazılımı istediği hedeflere başarıyla dağıttığını gösterebilir.” ifadelerini kullandı.
GRUP UYGULAMAYI GÜNCELLERSE TEHLİKEYE YOL AÇABİLİR
Her iki uygulama da Telegram kimliğini kullandığı için Android’de bir arada bulunamayacağını söyleyen araştırmacılar, Telegram’ın hâlihazırda yüklü olduğu potansiyel kurbanların cihazlarına sahte Shagle uygulamasını yüklemenin imkânsız olduğunu belirtti.
ESET araştırmacılarına göre bu durum ya StrongPity’nin daha önce potansiyel kurbanlarıyla iletişim kurduğunu ve onları Telegram’ı cihazlarından kaldırmaya ikna ettiğini ya da kampanyanın Telegram’ın kullanılmadığı ülkelere odaklandığını gösteriyor.
Uyarıda da bulunan araştırmacılar uygulama şu anda kullanılamıyor olsa da StrongPity’nin uygulamayı güncellemeye karar vermesi hâlinde bu durumun her an değişebileceğini vurguladı.
KÖTÜ AMAÇLI ANDROİD UYGULAMASI GEÇMİŞLERİ VAR
StrongPity’nin kullanıcıları gözetlemek için Android kötü amaçlı yazılım kullanma geçmişi bulunuyor.
Grup geçtiğimiz yıl Suriye e-devlet Android uygulamasının kötü niyetli bir versiyonunu yaratmıştı. Trend Micro tarafından yapılan araştırmaya göre bu uygulama, kişi listelerini çalabiliyor ve kurbanının cihazından dosya toplayabiliyordu.
ESET’e göre bir önceki kampanyaya kıyasla yeni StrongPity arka kapısı daha geniş casusluk özelliklerine sahip. StrongPity’nin hangi ülke tarafından desteklendiği belli olmasa da bazı güvenlik araştırmacıları bunun muhtemelen bir Türk grubu olduğunu söyledi.
StrongPity 2012’den beri aktif ve genellikle belirli kullanıcılar tarafından kullanılan yasal yazılımlara arka kapılar ekleyerek aynı taktikleri izliyor.
StrongPity’nin zararlı yazılımları şimdiye dek İtalya, Belçika, Cezayir ve Fransa’da binlerce sisteme bulaştığı biliniyor.
Rusça konuşan amatör siber tehdit aktörlerinin 50 milyon üzerindeki parolayı çaldıkları ve Türkiye’den de 2,5 milyon hesabın bilgilerini ele geçirdikleri ortaya çıktı.
Siber tehdit istihbaratı firması Group-IB, konuya ilişkin bugün yayımlayacağı raporda yer alan bilgileri Siber Bülten’le paylaştı.
Telegram gruplarının analizlerini yer aldığı rapora göre hesap ele geçirme operasyonu 111 ülkeyi etkiledi.
Siber suçluların yılın ilk 7 ayında 890 binin üzerinde cihaza sızarak 50 milyonun üzerinde parolayı ele geçirdikleri ortaya çıktı. Tespit edilen tüm grupların Rusça konuşulan Telegram grupları üzerinden Türkiye, ABD, Brezilya, Hindistan, Almanya ve Endonezya’daki çok sayıda kullanıcıyı hedef aldığı belirlendi.
TÜRKİYE EN ÇOK SALDIRILAN CİHAZ SAYISINDA İLK 10’DA
Saldırıya uğrayan cihaz sayısı dünya genelinde 900 bin’e yaklaşırken Türkiye’ye 8. sırada yer aldı.
Türkiye’de 2022’nin ilk 7 ayında 28,148 cihaz saldırıdan etkilenirken çalınan parola sayısı 2 milyon 473 bin 920 oldu. Toplam 2715 kredi kartı bilgisi ve 2883 kripto para cüzdanı bilgisi elde edildi.
Geçen yılın Mart-Aralık döneminde aynı tehdit aktörleri 11814 cihaza saldırmış, 619 bin 176 parola, 951 kredi kartı bilgisi ve 486 kripto para cüzdanına ait bilgileri ele geçirmişti.
ÇALINAN PAROLA SAYISI 4 KATINA ÇIKTI
Söz konusu istatistik, 2021 yılının Mart-Aralık dönemine çalınan parola sayısının 4 katına çıktığını gösteriyor. Saldırılardan etkilenen cihaz sayısı ise iki kattan fazla arttı.
Firmanın Dijital Risk Koruma Ekibi, bilgi çalan yazılımları kullanan 34 grubun, özellikle oyun platformu Steam, Epic Games, Roblox, alışveriş sitesi Amazon ve PayPal ödeme sistemlerinde bulunan hesapları hedef aldığını tespit etti. Tehdit aktörleri kullanıcıların ödeme kayıtlarını ve kripto cüzdan bilgilerini elde etti.
Rapora göre hackerlar çoğunlukla Racoon ve Redline Infostealer yazılımlarını tercih etti.
Telegram gruplarının 2021 yılının son 10 yılına göre analizinde siber tehdit aktörleri 27 milyon 875 bin 879 adet parola çaldığı, 56 bin 779 satır ödeme bilgisi ele geçirdiği ve 35 bin 701 kripto para cüzdanı bilgisini elde ettiği ortaya çıkmıştı.
2022 yılının ilk 7 ayında ise tehdit aktörleri 50 milyon 352 bin 518 parola, 103 bin 150 kredi kartı bilgisi, 113,204 kripto para cüzdanına ait bilgileri çaldı. Groupe-IB uzmanlarına göre çalınan verilerin ve kredi kartı bilgilerini pazar değeri 5,8 milyon doları buluyor.
Group-IB’nin Dijital Risk Korunma Ekibi Sorumlusu Sharef Hlal, “Tehdit aktörleri işlemleri tamamen otomatik olarak gerçekleştiriyor. Saldırganın tek görevi Telegram botunda bilgi çalan zararlı yazılım dosyası oluşturmak ve trafiği ona yönlendirmek. Bu yüzden amatör hackerların ileri düzeyde teknik bilgiye sahip olmasına gerek yok. Ama bilgisayarlarına zararlı yazılım bulaşan kurbanlar için sonuçlar felaket olabilir.” değerlendirmesinde bulundu.
Çalınan verilerden kaynaklanan potansiyel riskleri en aza indirmek için, kullanıcıların şüpheli kaynaklardan yazılım indirmekten kaçınmaları gerekiyor. Kurulum yapmak için sanal cihazlar ve alternatif işletim sistemleri kullanmak uzmanların tavsiye ettiği çözümler arasında yer alıyor. Ayrıca kullanıcıların parolaları internet tarayıcılarında kaydetmekten kaçınmaları ve tarayıcı çerezlerini düzenli olarak temizlemeleri tavsiye ediliyor.
