sosyal mühendislik | DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri

Sosyal Medya Dolandırıcılığı/3

Raif SARICA — Mon, 29 Mar 2021 11:03:42 +0000

Sosyal mühendislik saldırısı yöntemleri arasında son olarak sosyal medya dolandırıcılığı konusunu ele alıyoruz…

Facebook, Instagram, LinkedIn ve Twitter gibi sıklıkla kullanılan sosyal medya platformlarının araç olarak kullanıldığı bu saldırı türü, bireyselliğin ve sanal gerçekliklerin artmasına paralel olarak sosyal mühendisler tarafından tercih edilen dolandırıcılık yöntemlerinde ön sıralara geçmiştir.

Aralarında en eski olan Facebook’un 2004 yılında ortaya çıktığını düşünürsek, bundan daha 15–20 yıl önce adı sanı olmayan bu platformlar hayatımızın vazgeçilmezleri arasında sağlam bir şekilde yerini almışlardır. İnternete erişimi konusundaki kolaylıkların artması ve akıllı telefonların giderek daha da akıllanması neticesinde, gündüz elimizde gece ise başucumuzda duran akıllı (!) telefonlarımızla neredeyse günün 24 saatinde sanal dünyanın içerisindeyiz.

Eskiden birebir görüşmeler şeklinde gerçekleşen toplumsal ilişkiler neredeyse tamamen sanal ortamlara taşındı. Bu duruma paylaşım çılgınlığımız da eklenince aklımıza gelen her şeyi, yaşadığımız her olayı, fikirlerimizi, düşüncelerimizi, itirazlarımızı ve hatta isyanlarımızı bu platformlar üzerinden duyurmaya başladık. Temelinde sosyal bir varlık olan insan evladının sosyalleşme yöntemi bilişim çağında bu platformlar oldu.

Sosyalleşerek bir şekilde ben de buradayım, ben de varım, benimde bir fikrim var diyebilmek adına dur durak bilmeden yaşadıklarımızı paylaşır olduk. Sosyalleşebilmek, sesimizi durabilmek, varlığımızı gösterebilmek ve hepsinden önemlisi içimizi kemirip duran egomuzu besleyebilmek adına durmadan paylaşıyoruz. İnternet ve sosyal medya bağımlılığımız öyle bir dereceye geldi ki, Gelişmeleri Kaçırma Korkusu (Fear of Missing Out-FOMO) isimli yepyeni bir hastalığımız oldu. Bu hastalığın sizdeki derecesini görmek adına kendi kendinize telefonunuza bakmadan ne kadar süre durabildiğinizi bir test edin isterseniz.

Gerçekten de bu derece bağımlı mıyız bu sanal ortamlara?

Cevap maalesef evet. Ülkemiz sosyal medya kullanımı bağlamında dünya üzerinde hatırı sayılır bir konuma sahip. Örneğin, Ocak 2020 verilerine göre, 37 milyon kullanıcıyla Facebook’ta dünya onuncusu, 38 milyon kullanıcı ile Twitter’da altıncı, LinkedIn’de on beşinci ve Instagram’da altıncı sıradayız[1]. Sosyal medya platformlarına olan bu derece bağımlılığımızı daha iyi görebilmek adına sahiplerinin ortaya koydukları inanılmaz çabaları ve bu konudaki etik sorunları anlatan “Sosyal İkilem (The Social Dilemma)” (https://www.imdb.com/title/tt11464826/) isimli belgesel tarzındaki filmi izlemenizi tavsiye ediyoruz.

Farklı bir benzetme olacak ancak avın bu kadar bol olduğu ortamda avcıların da kol geziyor olmaları kaçınılmaz bir sonuç olarak karşımıza çıkıyor.

Ülkemizde genellikle magazinsel içerikli dolandırıcılık vakalarının sadece çok küçük bir kısmı basına yansıyor olsa da kötü niyetli sosyal mühendisler her gün binlerce vatandaşımızı dolandırıyorlar. Diğer sosyal mühendislik saldırılarının başarısında da etkili olan hırs, açgözlülük, tutku gibi duygusal zaaflarımızı bir kenara koyarsak, sosyal medya platformlarındaki dolandırıcılık faaliyetleri özelinde yaratılan sahte güven ortamı bu tuzaklara düşmemizin en büyük nedenidir. Şöyle ki;

Bu platformlar genellikle birbirini tanıyan kişilerin etkileşimde olduğu ortamlar olduklarından bir dereceye kadar güven hissi verirler ve hissedilen bu sahte güven bireylerin daha rahat ve tedbirsiz hareket etmelerine neden olur.
Bu rahatlık ve tedbirsizliğimize susturamadığımız egomuzun fısıldadığı paylaşım çılgınlığımız da eklendiğinde sosyal ağlar kurbanların akıl oyunlarıyla kandırılmaları için elverişli bir ortam sunarlar.
Bir akrabamızın veya tanıdığımız bir arkadaşımızın yaptığı paylaşımda yer alan linki tıklamakta herhangi bir mahsur görmeyiz çünkü o şahısları tanıyor ve güveniyoruzdur.
Akrabamız veya arkadaşımız olduğunu zannettiğimiz kişinin aslında o hesabı ele geçirmiş bir siber saldırgan veya sosyal mühendis olabileceğini düşünmeyiz veya düşünmek istemeyiz.
Daha da acısı linki tıkladıktan sonra açılan sayfanın URL adresini okumak yerine sayfadaki renkli resim ve şekillere odaklanırız.
Açılan sayfada tek bir harfin farklı olmasının bile tamamen farklı bir web sayfası anlamına geleceği aklımızın ucuna gelmez.
O derece hipnotize oluruz ki, açılan sayfada doldurulmak üzere bize sunulan formları sorgusuz sualsiz bize özel bilgilerle doldururuz. Hele de doldurulan bu formlar neticesinde indirim kuponu, çekiliş veya kredi kartı aidatı iadesi gibi zahmetsiz para kazandıracak bir yem varsa, daha bir hevesli oluruz formları bir an önce doldurmak için.

Kredi Kartı Aidat İadesi Sahtekarlığı

Kredi kartı aidatı iadesini özellikle vurgulamak istedik çünkü geçen yıldan bu yana bu saldırı taktiği sıklıkla kullanılıyor.

Sosyal mühendisler, öncelikle e-devlet veya resmi görünümlü sahte web sitelerini hazırlıyorlar.
Ardından, kredi kartı aidatı bilgisini de ekleyerek web sitelerinin reklamını Facebook, Instagram ve Twitter gibi popüler sosyal medya platformlarında yaparak daha çok insana ulaşıyorlar.
Bazen meraktan bazen de gerçekten kredi kartı aidatını geri alabilmek amacıyla sosyal medya kullanıcıları paylaşımda yer alan linki tıklayıp sahte web sitesine ulaşıyorlar.
Esas sorun bu noktadan itibaren başlıyor. Siteye ulaştıklarında, öncelikli olarak URL adresini okumak yerine, resimlere şekillere odaklanıp sosyal mühendislerin titiz bir şekilde hazırladıkları tuzaklarına düşüyorlar.

Kredi Kartı Aidat İadesi Sahtekarlığı

O sahte siteye ulaştıktan sonra başınıza gelebilecek çok sayıda farklı senaryo vardır. Birinci senaryoda;

Size sunulacak formlarla Ad ve Soyadınız, T.C. Kimlik Numaranız, kredi kartı bilgilerinizi elde etmeye çalışırlar.
Özellikle hedef olarak seçildiyseniz ve bir şekilde kredi kartı bilgilerinizi daha önce ele geçirdilerse, kartınızdan harcama yaparlar.
Sizden talep edecekleri tek şey bankanızdan gelecek onay kodunu onlara vermeniz olacaktır.

Diğer senoryada ise;

Faturalı olan telefon numaranızı ele geçirir, devamında harcama yaparlar.
Bu durumda da servis sağlayıcınızdan gelecek onay kodunu sosyal mühendise vermeniz gerecektir.
Ben ne özel bilgilerimi ne de bankadan gelecek SMS’te yer alan onay kodunu vermem diyebilirsiniz. Zaten mantıklı düşündüğümüz anlarda normal olarak yapılması gereken de budur ancak, emin olun öyle bir ruh haline giriyorsunuz ki yapmam dediğiniz her şeyi bir bakmışsınız yapıvermişiniz.
Hatta, bankadan gelen onay kodunun yanlış olduğunu zannederek gelen ikinci onay kodunu (ikinci harcamaya ait) vermiş olanlar dahi var.

Photo by CardMapr.nl on Unsplash

Özellikle kredi kartı dolandırıcılığı konusunda aşağıda paylaşacağımız linklerdeki haberleri okumanızı tavsiye ediyoruz.

Bahsettiğimiz bu kadar düzenbazlığın ardından, sizin yerinizde olsam aşağıdaki linkleri tıklama konusunda bir tereddüt yaşardım. Tıkladıktan sonra da web sitesinin doğruluğunu teyit etmek için kesinlikle URL adresinde yazanları okur, ardından haber içeriğine geçerdim. Kim bilir belki de aşağıda masum haber sitesi görünümlü URL adresi tıkladığınızda sizi bambaşka bir web adresine götürecek (!).

https://www.efepost.com/haberler/kredi-karti-aidat-iadesi-dolandiriciligi

Gelelim sosyal medya platformlarında daha sık gördüğümüz diğer dolandırıcılık faaliyetlerine. Onlardan da kısa kısa bahsedip yazımızı tamamlayacağız. Yazıyı daha fazla uzatarak sizleri sıkmamak adına bütün bunlara karşı ne yapmamız gerektiğini bir sonraki yazımızda sizlerle paylaşacağız.

Aklımıza gelen birkaç dolandırıcılık girişimini maddeler halinde verip, yaşanmış birkaç olaya ait linkleri sizlerle paylaşacağız. Verilen veya sanal olarak yaratılan sahte güven ortamından faydalanarak gerçekleştirilmesi muhtemel dolandırıcılık senaryolarını sıralayalım.

Aşk tuzakları — En çok karşılaşılan gerek erkek gerekse kadın kullanıcılara yönelik kurulan aşk tuzakları. Bu tuzaklarda belli bir süre güven kazandıktan sonra üzerinizde ustaca akıl oyunları oynayarak sizden para koparmaya çalışırlar. Hastaneye yatarlar ve paraya ihtiyaçları olur, evlilik hayalleriyle aklınızı çeldikten sonra çeyiz düzmek için paranızı alırlar, ev alırlar, araba alırlar, paraları bittiğinden yanınıza gelebilmek için bilet parasına ihtiyaç duyarlar ve daha neler neler.
Fırsat tuzakları — İkinci olarak en çok karşılaşılan durum piyasa değerinin çok altında ev, araba veya başka bir satmaya çalışırlar. Kapora ödemeniz durumunda ilanı kaldıracaklarını söyleyip, kaporayı aldıktan sonra sırra kadem basarlar. Bu arada siz kaparo ödeyen bilmem kaçıncı kişi olduğunuzu çok sonra ve belki öğrenirsiniz.
İyilik tuzakları — Tanınan kişiler adına sahte hesap oluşturup, hediye çeki dağıtabilir, bağış kampanyası düzenleyebilirler. Bu arada ya özel bilgilerinizi ya da paranızı çalarlar.
Dalgınlıktan faydalanma — Telefon hattınız faturalı ise faturaya yansıyacak şekilde harcama yapıp, sizden onay kodunu isterler. Veya size gönderecekleri bir masum MS Office dosyası görüntüsündeki fidye yazılımlarını bilgisayarınıza bulaştırarak tüm dosyalarınızı şifrelerler ve ardından takip edilmesi mümkün olmayan bir kripto para hesabına ödeme yapmanızı isterler.

Ve daha neler neler…. Hayal gücünüzü kullanarak senaryoları artırabilirsiniz.

Photo by Karsten Winegeart on Unsplash

Yazımızın sonunda yaşanmış ve basına yansıyan sosyal mühendislik olaylarından birkaçını sizlerle paylaşarak, yukarıda sıraladığımız senaryoları ve benzerlerini gerçek hayatta görelim.

Sosyal mühendislik konusuyla ilgili son yazımızda, bu teknolojik dolandırıcılara karşı neler yapmamız gerektiği konusunda birkaç tavsiyede bulunmak üzere bu yazımızı burada noktalıyoruz.

Bir sonraki yazımızda görüşmek dileğiyle sağlıcakla kalın.

Raif SARICA – Ankara, Turkey | Professional Profile | LinkedIn

https://www.linkedin.com/in/sadakra/

Photo by Rami Al-zayat on Unsplash

The post Sosyal Medya Dolandırıcılığı/3 first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.

Fidye İsteyen Zararlılar-3 (CryptoLockers-3)

Şükrü Durmaz — Mon, 29 Mar 2021 10:48:59 +0000

Fidye isteyen zararlılar (CryptoLockers) yazı dizimize kaldığımız yerden devam ediyoruz…

Siber saldırgan, siber korsan ve siber zorba olarak nitelendirilebilen bu kötü niyetli ve menfaatçi kişilerin tek amacı; önemli ve değeri yüksek kurumsal ve kişisel verilere ya sistem açıklıklarından faydalanarak ya da çeşitli siber saldırı yöntemleri (Oltalama, sosyal mühendislik v.b.) kullanarak erişmek ve bu verileri çeşitli şifreleme yöntemleri ile şifreleyip kullanılmaz hale getirdikten sonra dosyaları eski haline getirmek için fidye talep etmektir. [Bir önceki yazı için: Fidye İsteyen Zararlılar-2 (CrptoLockers-2)]

Tabi ki talep edilen fidye türü de yakalanmamak için anonim olmayı sağlayan elektronik paralarla olmakta ve bunların en başında ise kripto paraların en tanınanı BitCoin gelmektedir. Kripto paralar bu nedenle siber saldırganların ekmeğine yağ sürmekte ve suç işlemelerini teşvik etmektedir. Ayrıca tespit edilmelerini de imkansız hale getirmektedir. Bu sorunla mücadele için muhakkak bir çözüm bulunması gerekmektedir, aksi halde fidye isteyen zararlı olayları iştah kabartan bir olay olmaya devam edecektir.

Fotoğraf: https://blockpublisher.com/bitcoin-ransomware-attackers-tasted-their-own-medicine/

Bugüne kadar karşılaştığımız ve bize iletilen fidye isteyen zararlı vakalarında olayın ilk tespiti genelde aksayan bir hususun araştırılması neticesinde oluyor.

Muhasebe yazılımının çalışmaması, lojistik ve sevkiyat uygulamalarının çalışmaması, cari işlemlerle ilgili dosyalara ve uygulamalara erişememe gibi sorunlar olayın ilk belirtileri olarak karşımıza çıkmaktadır. Ancak, böyle bir olayla karşılaşınca hemen hemen her kurum ve kuruluş kendince bir keşif yapıyor, kendi bilgi ve görgüsüne göre çeşitli müdahaleler yapıyor ve neticede herkesin başına ilk kez gelmesi nedeniyle bir çuval incirin berbat olmasına neden oluyor. Burada özellikle ifade edilmelidir ki bir siber olaya müdahale ancak ve ancak siber olay müdahalesinde uzman kişiler ve uzman bir ekip tarafında yapılmalıdır. Aksi halde geri dönüşü imkansız sonuçlara katlanmak zorunda kalınmaktadır.

Fotoğraf: https://www.cybersafesolutions.com/insights/the-key-components-of-cyber-incident-response

Fidye isteyen zararlı vakası ile karşılaşıldığında yapılması ve yapılmaması gerekenleri buradan tek tek yazmak isterdik, ancak bu yazıları saldırganların da okuyor olmasından dolayı maalesef burada anlatmayacağız. Tıpkı yıllar önce şifreleme amacıyla kullanılan yazılımlardaki açıklıkları kullanarak verileri kurtardığımızı söylediğimizde ya da verileri şifrelenmiş bilgisayardaki “Volume Shadow” kopyalara erişerek kurtardığımızı çeşitli sosyal medya platformlarındaki sorulara cevap olarak belirttiğimizde saldırganların bu paylaşımları fark edip yöntemlerini değiştirmesine neden olmuştu. Bu nedenle, saldırganlarla mücadelede daha dikkatli olmak zorundayız.

Saldırganlar ele geçirdikleri sistemde kalıcılığı sağlamak amacıyla çeşitli uygulamaları sisteme yerleştirmekte, sistem açılışında (startup/boot) bu uygulamaların otomatik olarak çalıştırılmasını sağlamakta ve diledikleri zaman sisteme erişme hakkı elde etmiş olmaktadır.
Sisteme girer girmez ise ilk yaptıkları iş ise, yönetici yetkisine sahip bir kullanıcı açmak ve varsayılan yönetici hesabını fark edilmemek için o andan itibaren kullanmamak.
Sonrasında ise çeşitli tarama uygulamaları ile ağı taramak, diğer sunucu ve bilgisayarları tespit etmek ve en önemlisi ise sistemlerin yedeğinin alındığı ortamları tespit etmek amacıyla yoğun çalışmalar yapmaktadırlar.
Ve nihayetinde, kurum ve kuruluşlara ait sistemdeki en kritik verileri (muhasebe, yönetim, lojistik, sevkiyat, üretim v.b.) kırılması nerede ise imkansız şifreleme yöntemleri ile şifrelemektedir.

Verileriniz şifrelenince ilk aklınıza ne gelir?

Tabi ki, sistem ve verilerin yedekleri (backup). Saldırganlar da bunu bildiği için ve ülkemizde de maalesef yedekleme konusu sadece sistem çökmesi düşünülerek online yedekleme yöntemi ile yapıldığından sistemlere takılı halde bulunan her türlü veri depolama aygıtı içerisinde yer alan tüm dosyaları da şifreleyerek erişilmez hale getirmekte, son olarak silinmiş alanları ve sistem kayıtlarını da kurtarılamayacak şekilde özenle silerek “BununOku.txt” şeklinde notunu bırakıp sistemden ayrılmaktadırlar.

Fotoğraf: https://www.nytimes.com/wirecutter/reviews/best-network-attached-storage/

Siber saldırganların sevmedikleri yedekleme sistemleri de var ⭐ ️Özellikle ağ üzerinde yedekleme amacıyla kullanılan NAS ya da DAS adı verilen sistemlere erişmeleri her zaman kolay olmamaktadır. Ancak, bize iletilen pek çok vakada gördüğümüz üzere büyük bir çoğunluk NAS ve DAS ağ depolama aygıtlarını herhangi bir parola sormadan doğrudan sunucu üzerinden doğrudan erişilebilir olarak ayarlaması nedeniyle bu da saldırganların işini kolaylaştırmaktadır. Ancak yine de saldırganların;

NAS ve DAS sistemlere erişemeyen saldırganların bu sistemlerin marka, model ve işletim sistemi sürümünü özel tarama imkanları ile öğrendiklerini,
Her ne kadar verilere erişip şifreleme işlemini gerçekleştiremeseler de, kapatılmayan sistem açıklıklarını veya yapılmayan firmware güncellemelerini suistimal ederek, RAID yapısını bozarak ve hatta birkaç farklı RAID kurulumu gerçekleştirmek suretiyle verileri erişilmez hale getirerek mağdurları fidye ödemeye zorladıkları örneklere de rastladık.

Bu konuyu gerçek bir olay ile açıklayayım. Son zamanlarda çalıştığımız bir vakada;

8 sabit diski bulunan ve RAID 5 yapılandırılmış bir ağ depolama aygıtındaki (NAS) verilerin ve yedeklerin saldırganlar tarafından şifrelenememesi nedeniyle RAID yapısının birkaç kez değiştirilmek suretiyle bozulduğunu fark ettik.
NAS cihazı içerisindeki 8 sabit diski çıkartıp bire bir olarak kopyaladık ve veri kurtarma laboratuvarımızdaki uzmanlarımızın emek ve çabaları ile bir hafta içerisinde saldırganlar tarafından şifrelenen verileri yazmış olduğumuz özel bir script sayesinde %100 olarak kurtarıp, mağdur şirketi saldırıya maruz kaldığı güne geri döndürmeyi başardık.

Ancak, bu her zaman bu kadar kolay olmamaktadır. Bu nedenle, ağ depolama aygıtı siber saldırıya maruz kalan kurum ve kuruluşun konusundaehil uzmanlara müracaat etmesi ve veri kurtarma konusunda deneyimli uzmanların RAID sistemler üzerinden veriyi kurtarılabilmesi mümkün olmaktadır.

©DIFOSE

Son olarak ifade etmeliyim ki, ne kadar tedbir alırsanız alın, her an bir siber saldırı mağduru haline gelebilirsiniz. Dolayısıyla böyle bir saldırıyı ön görüp gerekli siber güvenlik tedbirlerini almalı ve bu tedbirlerin uygulanıp uygulanmadığını sürekli denetim ve gözetim yapmalısınız.

Unutmayın ki saldırganların erişemeyeceği dosya ve sistem yedekleri hayat kurtarır. Bu nedenle sadece çevirim içi yedek değil, çevirim dışı yedek almak ve bunu bir plan dahilinde sistematik bir şekilde yapmak karşılaşılan bir siber saldırıyı en az zararla atlatmanıza yardımcı olacaktır…

Güvenli, güzel ve aydınlık günler dileklerimle esen kalınız.

Sükrü DURMAZ – Ankara, Turkey | Professional Profile | LinkedIn

https://www.linkedin.com/in/sdurmaz/

Photo by FLY:D on Unsplash

The post Fidye İsteyen Zararlılar-3 (CryptoLockers-3) first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.

Sosyal Mühendislik/2

Raif SARICA — Mon, 29 Mar 2021 10:38:36 +0000

Sosyal mühendislik konulu yazı dizisi devam ediyor…

Daha önce başladığımız sosyal mühendislik konumuza kaldığımız yerden devam edeceğiz. Bir önceki yazımda SMS Yemleme konusuna kadar ele almıştım. Bu yazımda da ülkemizde en sık görülen sosyal mühendislik saldırısı olan telefon dolandırıcılığı konusunu anlatmaya çalışacağım. Bu arada Erdal OZKAYA ve Şükrü DURMAZ’la kaleme aldığımız Sosyal Mühendislik kitabımızda, konunun bütün yönleriyle ve gerçek hayattan alınmış birçok örnekle beraber ele alındığını tekrar belirtmek istiyorum.

Telefon Dolandırıcılığı (Phone phishing-Vishing)

Photo by Devin Kaselnak on Unsplash

Sosyal mühendislik saldırılarının bir versiyonu olan telefon dolandırıcılığı ülkemizde en sık kullanılan yöntemlerin başında gelir. Bu teknikte, teknolojinin sağladığı imkânlarla telefon numaralarını taklit (spoofing) ederek, sosyal mühendisler hedeflerini ne kadar mantıksız olursa olsun talimatlarına uymaları yönünde ikna etmeye çalışırlar. Oluşturdukları senaryolara göre bazen polis, savcı veya herhangi bir devlet görevlisi olurlar, bazen de bir çağrı merkezi çalışanı. Bazen hesaplarınız terör örgütü mensuplarınca ele geçirilmiş olur bazen de bankanın şanslı müşterisi veya yapılan bir çekilişte kazanan şanslı müşteri olursunuz.

Telefon dolandırıcılığı yöntemini kullanan sosyal mühendisler taklit ettikleri kişi veya kurumlara göre itinayla seçilmiş cümleler sarf edip, hedefleri üzerinde stres, şaşkınlık veya aç gözlülük gibi duyguları yoğun bir şekilde yaratarak onları mantıklı düşünme sürecinin dışına çekerler ve insanların mantıklarından ziyade duygularıyla anlık tepkiler vermelerini sağlarlar.

Hepimizin bildiği gibi duygu yoğunluğu arttıkça mantıksal düşünme ve çıkarımlar için kullandığımız bilişsel yetilerimizi kısmi olarak kaybederiz. Duygular ne kadar yoğun olursa, mantıksal çıkarım için kullanacağımız kaynaklar da o derece sınırlı olur.

Kavga esnasında ağzınızdan dökülen cümleleri aklınıza getirin.. Sakinleşip olan biteni ve sarf ettiğiniz sözleri düşündüğünüzde söylediklerinize çoğu zaman pişman olursunuz, ancak kızgınlık ve öfke duyguları üst düzeyde olduğundan pişman olacağınız kelimeleri kullanmamanız gerektiğini kavga anında düşünemezsiniz. O anda kontrol neredeyse tamamen mantıksal düşünceden sorumlu beyin kabuğunda (serebral korteks) değil duygularımızdan sorumlu limbik sistemde, daha da özele inmek gerekirse amigdaladadır. Bu nedenle duygusal yoğunluğun üst düzeyde olduğu anlarda ağzımızdan çıkanlara, tavır ve davranışlarımıza dikkat etmemiz lazım.

Aslına bakılırsa zihnimiz hisseden ve düşünen zihin olmak üzere iki parçadan oluşur. Normal şartlarda bu iki zihin koordineli çalışarak bizi mükemmele ulaştırır. Ne zaman ki biri diğerine baskın olmaya başlar, bizler de hata yapmaya başlarız.

Tamamen mantık devreye girdiğinde bilgisayar veya elektrik devreleri gibi sadece var-yok veya 0 ve 1 olur hayatımızda. O zaman da duygusuz robottan farkımız kalmaz. Tamamen hisseden zihnimiz kontrolü ele aldığında ise gerçeklerden uzaklaşıp daha çok hayatta kalma odaklı dürtülerimizle hareket etmeye başlarız.

Âşık olduğunuz kişiyi düşünün. Ne kadar hatası veya eksiği olursa olsun, o kişi sizin gözünüzde melektir. Gerçek bu mudur? Tabi ki hayır, o da sizin benim gibi oksijen alıp karbondioksit veren karbon bileşenidir sadece ama biz bu gerçeği geri plana atarak hormonlarımızın tamamen kontrolü ele alıp, o kişiyi bizim gözümüzde melekleştirmesine izin veririz. Mutluluk kimyasalları dediğimiz dopamin (ödül), endorfin (vücudun doğal morfini), serotonin (saygı) ve oxitosin (aitlik, bağ kurma, güven) hormonları ona karşı duygu ve düşüncelerimizi şekillendirir.

Neticesi korku, endişe, stres ve acı olan kortizolden kurtulup hayatta kalmamız amacıyla evrilmiş olan bu mutluluk hormonlarına yönelik karşı koyamadığımız bağımlılığımızı beslemeye çalışırız. Burada birkaç satırla özetin özetinin özetini yazdığım sosyal mühendisliğin psikolojik boyutunu yazımın başında verdiğim kitabımızda altmış sayfalık ayrı bir bölüm olarak kapsamlı bir şekilde anlattık. İnsanlık tarihinin başlangıcına gidip gelişmiş frontal korteksi sayesinde dünya hakimiyetini ele geçiren Homo Sapiens’i ve sahip olduğu bilişsel ve duygusal yetenekleri tek tek ele aldık.

Bunların yanı sıra sosyal mühendislerin bizlere evet dedirtebilmek amacıyla kullandıkları ikna ve etkileme teknikleri de onların taleplerini absürt olsa dahi yerine getirmemizi sağlar. Ayrıntılarını bir bölüm halinde kitabımızda ele aldığımız ikna ve etkileme prensiplerini maddeler halinde verelim.

Açık bir amaca sahip olma
Samimiyet ve güven
Etrafla uyumlu olma
Esnek olma
Kendisinin farkında olma
Karşılıkta bulunma
Tutarlılık
Toplumsal kanıt
Sevgi
Kıtlık
Hale-Boynuz Etkisi
Otorite
Doğal olma
Bilgili olma
Açgözlülükten kaçınma
Yağcılık
Yanlış beyanatlar kullanma ve yapay cehalet
Dinleme ve destek çıkma

Son olarak gerek telefon dolandırıcılığı gerekse diğer sosyal mühendislik saldırılarının bu derece etkili olmasına neden olan başka önemli bir faktörü daha burada sizlerle paylaşmak istiyorum. Basın yayın yoluyla vatandaş üzerinde oluşturulan yanlış algılar. Televizyonlarımızda gösterilen film ve dizilerin çoğunluğu ya direk Amerikan yapımı ya da birebir taklit edilen Türk dizileri.

Photo by HIZIR KAYA on Unsplash

O dizilerde polisin, savcının tavır davranışlarına bakan insanımızın aklında tamamen farklı bir polis imajı oluşuyor. Örneğin, reyting rekorları kıran “Hekimoğlu” dizisini ele alalım. İzleyenler bilirler, son bir aydır Mahir isimli bir komiserin Hekimoğlu’na yapmadığı kalmadı. Amerikan versiyonundan birebir kopyalandığından Mahir komiser ağzında nikotin sakızı hastane koridorlarında dolaşıp soruşturma yürütüyor. Bir bakıyorsunuz Orhan Hoca’nın reçete yazma yetkisini iptal ettiriyor, baka hesaplarını donduruyor, gizlice Hekimoğlu’unun evine gidip arama yapmak adına her tarafı alt üst ediyor ve daha neler neler. Bu sahnelerin çoğunun gerçek dışı olduğunu, ülkemiz kanunlarına göre bu tür şeylerin yapılamayacağını, polis teşkilatımızda sözde komiser Mahir benzeri itici tiplerin veya bu tür yetkilerinin olmadığını hayatında polis veya savcıya işi düşmemiş birine saatlerce anlatsanız da dizideki kadar etkili olmayacaktır.

Polis Vazife ve Salahiyetleri Kanunu veya Ceza Muhakemeleri Kanununu mecbur kalmadığımız sürece okumadığımız gerçeğiyle birleştirildiğinde, halkımızın birçoğunun kafasındaki polis tiplemesi dizilerdeki Amerikan versiyonu oluyor.

Ardından SMS’ler veya kamu spotlarıyla vatandaşı bilgilendirme çabalarının tamamı boşa gidiyor ve vatandaşımız telefonun diğer ucundaki sahtekârların talimatlarını sorgulamadan harfiyle yerine getiriyor.

Telefon dolandırıcılığı konumuzu burada tamamlıyoruz. Bir sonraki yazımda sosyal medya dolandırıcılığı ve bu dolandırıcılık tuzağına düşmemek için sosyal medya platformlarıyla oluşturulan bu sanal dünyada nelere dikkat etmemiz gerektiğini anlatmaya çalışacağım.

Raif SARICA – Ankara, Turkey | Professional Profile | LinkedIn

https://www.linkedin.com/in/sadakra/

The post Sosyal Mühendislik/2 first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.

Fidye İsteyen Zararlılar-2 (CryptoLockers-2)

Şükrü Durmaz — Mon, 29 Mar 2021 09:26:39 +0000

İlginç örnek olaylar ile fidye yazılımlara müdahale…

Geçen haftaki yazımda fidye isteyen zararlıların (CryptoLockers) kurum ve kuruluşları nasıl hedef aldığını, bu saldırılarda kullanılan yöntem ve yaklaşımları anlatmıştım. Bu hafta ise, ülkemizde hemen hemen her gün karşılaştığımız siber olaylardan birisi hakındaki farkındalığı artırmak amacıyl aörnek bir olay üzerinde bu tür bir olaya nasıl müdahale edildiğine değineceğim. (Konuyla ilgili ilk yazım: Fidye İsteyen Zararlılar (CrptoLockers)

Kurum ve kuruluşlar sistemlerinin çalışmadığını ya bir personelden duyarlar ya da iş akışında yaşanan bir problemin tüm faaliyetleri etkilemesi nedeniyle haberdar olurlar. Şimdi aklınıza onlarca siber güvenlik çözümü geldiğini tahmin ediyorum: Anti-virüs, anti-malware, uç kullanıcı güvenlik sistemleri (EDR), SIEM, SOAR, IPS, IDS, DLP, firewall…Tıpkı bir askeri birliğin savunma amacıyla sahip olduğu silahlar gibi, tank, top, uçaksavar, GTT, havan, roketatar, bomba atar, tüfek… Peki saldırgan kışlaya her gün gelen bir erzak arabasının içerisinde silahlı ve teçhizatlı olarak geliyor ve siz bu aracı nasıl olsa her gün geliyor diye girişte kontrol etmiyorsanız? Ya da saldırganlar kışlanın aracını ele geçirip nizam karakolundaki yetersiz güvenliği geçip içeri elini kolunu sallayarak girmiş ise?Evet o kadar çok ve farklı senaryo anlatılabilir ki.

Pandemi nedeniyle son bir yılda fidye zararlısına maruz kalan şirket sayısı fark edilebilir oranda arttı. Hem de alınan onca siber güvenlik önlemlerine rağmen.

Bir Pazar sabahı kahvaltımı yaparken telefonum çaldı. Çok yakından tanıdığım bir arkadaşım arıyordu. Telefonda bahsettiğine göre bir yakının fabrikasındaki tüm bilgisayar sistemleri durmuş ve çalışamaz hale gelmiş. Önce sistemlerde bir hata ya da sorun olduğundan şüphelenmişler. Ancak bir süre sonra fabrikanın en önemli yazılım sistemi olan ERP’nin (Enterprise Resource Planning-Muhasebe, Lojistik, Sevkiyat, Satın Alma, Proje ve Risk Yönetimi… çalışmaları için hazırlanmış yazılım) çalışmadığını, ERP yazılımının tüm dosyalarının şifrelenmiş, uzantılarının değiştirilmiş olduğunu fark etmişler ayrıca masaüstüne bir not bırakılmış olduğunu da görmüşler. Notta, bir e-posta adresi belirtilmiş ve bu e-posta üzerinden iletişim kurulması isteniyormuş.

Bu haber üzerine, zaman geçirmeden hızlıca siber olay müdahale ekibimizle bir araya geldik, laboratuvardaki SOME kitlerimizi hızlıca hazırlayıp olay yerine hareket ettik. Firmanın BT yöneticisi ile kısa bir toplantı yaptıktan sonra sistem merkezine geçip siber saldırıya maruz kalan sunucu ve bilgisayarlardan olaya çözmemize imkan sağlayacak verileri toplamak için planlama yaptık.

Bu tür olaylarda en büyük sorun resmin tamamını görememek ve saldırıya uğramış ya da kirletilmiş bilgisayarları tespit etmektir.

Hele bir de şüpheli sistem sayısı 20’den fazla ise o zaman ciddi bir iş yükü ile karşı karşıya kalırsınız. Klasik adli bilişim yöntemleri artık devre dışı kalır, disk ya da RAM imajı almak, şüpheli sistemleri bu imajlar üzerinden tespit etmek hem zor hem de çok zaman alan bir sürece sizi zorlar.Bu vakaların her geçen gün artması bizleri siber olay müdahalesinde daha hızlı ve etkili çözümler kullanmaya zorlamaktadır.İşte tam da bu noktada yardımımıza Binalyze firmasının geliştirdiği Binalyze AIR (Otomatik Siber Olay Müdahale Aracı) yetişti. Binalyze AIR yönetim konsolunu bir bilgisayara iki dakika içerisinde kurup, kurumsal ağdaki tüm bilgisayarların (170 adet) RAM imajı dahil toplam (150)’den fazla artifact ve delil dosyalarını hash değerleri hesaplanmış bir şekilde bir saatten daha az bir sürede otomatik oluşturulan bir rapor ile toplamayı başardık.Fidye zararlısına maruz kalan ilk sunucuyu tespit ettiğimizde, şifrelenen dosyaların uzantılarını diğer bilgisayarlar üzerinde aramak suretiyle toplam (6) sunucu ve (3) bilgisayarın saldırgan tarafından ele geçirildiğini ve bu bilgisayar ve sunucular ile bunlara bağlı veri yedekleme aygıtlarının tamamının sabit disklerinin şifrelenmiş olduğunu tespit ettik.

Enfekte olan (6) sunucu ve (3) bilgisayar derhal ağdan izole edildi, akabinde registry ve olay günlüğü analizi, artifact analizini tamamlayıp tüm olayları bir zaman çizgisi üzerinde sıraladık. Bu çaptaki bir vakada Binalyze AIR sayesinde yaklaşık bir saat içerisinde sonucu görebilmek muazzam bir deneyim olmuştu.Yaptığımız tespite göre saldırgan fabrikanın sistemine yaklaşık (2) ay önce sızmış;

Bu iki ay içerisinde fabrikanın sistemlerini anlamak, fabrikadaki cari işleri tespit etmek ve fabrikayı fidye ödemeye zorlayacak en can alıcı noktayı tespit etmek amacıyla çeşitli çalışmalar yapmış.
Bu çalışmaları yaparken ilk ele geçirdiği sisteme bilgi toplama yazılım setlerini kopyalamış ve tek tek çalıştırarak ağdaki bilgisayar ve diğer sistemlerin envanterini tespit etmiş.
İlk etapta muhasebe ve lojistik sevkiyat bilgilerinin yönetildiği ERP yazılımının olduğu sunucuya girmiş, bu sunucudaki tüm dosyaları şifrelemiş, sonrasında sunucunun yedeğinin alındığı NAS yedekleme ünitesini şifrelemiş.
Sunucudaki daha önceki uzak masaüstü erişim kayıtlarını kontrol ederek uzak masaüstü bağlantıları tek tek denemiş, otomatik olarak eriştiği (kullanıcı adı ve parola tanımlı) sistemleri tek tek ele geçirerek tüm dosyalarını şifrelemiş.
Ağda tüm sistemleri yedekleme amacıyla kullanılan (8) disklik bir NAS cihazı tespit etmiş, ancak çeşitli sistem açıklıklarını zorlamasına rağmen içindeki verilere erişememiş. Ancak, NAS cihazının çok eski bir firmware’e sahip olduğunu görmüş ve internet üzerinde yaptığı araştırmada tespit ettiği bir zafiyeti kullanarak NAS cihazının RAID 5 yapısını bozup, RAID 0 haline getirerek sistem yedeklerini kullanılmaz hale getirip fidye notunu bırakıp bağlantıyı kesmiş.

Peki, saldırgan fabrikanın ERP yazılım sunucusuna nasıl girmişti?Hangi yöntemi kullanmıştı?

Saldırganın ele geçirdiği sunucunun tüm kayıtlarını hızlı bir şekilde inceledik ve soruların cevaplarını bulmaya başladık. Aslında saldırgan fabrikanın sunucusunu hacklememiş, sunucuya yasal olarak erişme hakkı bulunan ve firewall’dan giriş izni verilmiş IP adresini kullanan ERP yazılımını üreten firmanın teknik destek biriminin kullandığı IP adresi ile fabrikanın ERP sunucusuna giriş yapmış. (NOT: ERP yazılımı üretici firma pek çok müşterisinin kendi üzerinden hacklendiğini öğrenir öğrenmez, olayda kullanılan sunucuyu formatlamış olması nedeniyle saldırganların IP adresi tespit edilemedi. Bu durum da gösteriyor ki siber olaya müdahale ancak ve ancak yetkili ve bilgili uzmanlarca yapılmalıdır. Aksi halde bir çuvar incirin berbat edilmesi çok basittir!)Bu durum net olarak gösteriyor ki, saldırgan öncelikle ERP yazılım firmasını hacklemiş ve firmadaki teknik destek olarak kullanılan bir sistem üzerinden fabrikanın ERP sunucusuna çok rahatça erişmiş ve bu sunucu üzerinden uzak masaüstü yetkisi otomatik tanımlı olan diğer sunucu ve bilgisayarları da hackeleyerek fabrikanın tüm BT altyapısını çalışmaz hale getirmişti. Bu rahatlık sayesinde yaklaşık (2) ay fabrikanın keşfini yapmış ve fabrikayı fidye ödemeye zorlayacak tüm işlemleri yaparak ele geçirdiği sisteme not bırakıp ayrılmış.Gelecek hafta, bu fabrikanın verilerini (10) Bitcoin talep eden saldırgana 5 kuruş ödemeden nasıl kurtardığımızı ve bu olaydan çıkarılması gereken dersleri sıra ile anlatacağım. Haftaya görüşmek üzere esen kalın dostlar…

Sükrü DURMAZ – Ankara, Turkey | Professional Profile | LinkedIn

https://www.linkedin.com/in/sdurmaz/

The post Fidye İsteyen Zararlılar-2 (CryptoLockers-2) first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.

Sosyal Mühendislik

Raif SARICA — Mon, 29 Mar 2021 09:11:56 +0000

Photo by Adam Jang on Unsplash

Siber saldırıların en zarif hali…

Kendilerine ait olmayan özel veya gizli bir bilgi, para veya başka değerli metaları teknolojinin sağladığı imkanları kullanarak insanları psikolojik olarak etki altına alıp kandırmak suretiyle haksız yere elde edenleri sosyal mühendisler olarak ele alacağız.

Hak etmediklerini akıl oyunlarıyla ele geçirdikleri felsefesinden hareketle, sosyal mühendis olarak isimlendirdiğimiz şahısların özünde klasik bir hırsızdan pek bir farkları yoktur.

Ha gecenin bir yarısında evinize girip altınlarınızı çalan hırsız ha bilgisayarınıza zararlı bir yazılımı uzaktan yükleyerek size özel bilgileri çalan bir sosyal mühendis. Her ikisi de özünde hile ile hak etmedikleri, başkalarına ait bir varlığı çalıyor.Eve giren hırsız kapıyı açmak için maymuncuk, altınlarınızı bulmak için el feneri, parmak izi bırakmamak için eldiven veya tanınmamak için maske kullanıyor. Sosyal mühendisler ise gizlice bilişim cihazlarına sızmak ve en azından faaliyetleri esnasında fark edilmemek için teknolojinin sağladığı imkân ve kabiliyetleri kullanıyorlar. Kapımıza penceremize sağlam bir kilit takmayarak hırsızlara davetiye çıkarırken, bilişim sistemlerimizdeki yetersiz güvenlik önlemleri ve duygusal zafiyetlerimizle sosyal mühendislere davetiye çıkarıyoruz.Bize göre sosyal mühendislik hırsızlığın veya dolandırıcılığın çağın gereklerine göre güncellenmiş versiyonundan başka bir şey değil. Çağın gereklerine göre yapılan güncelleme neticesinde, maymuncuk, el feneri ve maske yerine sahte e-postalar, cep telefonları, SMS’ler, sosyal medya, zararlı yazılımlar, sızılmış veya orijinaline uygun tasarlanmış sahte web siteleri kullanılıyor.

Sosyal mühendislik kapsamında kullanılan araç, taktik ve teknikleri biraz daha detaylarına inerek incelemeye başladığımızda aşağıdaki tanımlamalar karşımıza çıkıyor.

Yemleme (phishing),
Hedefli yemleme (spear phishing),
Balina avı (whaling),
SMS yemleme (Smishing),
Telefon dolandırıcılığı (phone phishing-Vishing),
Sosyal medya dolandırıcılığı (social media phishing)
Başkasının yerine geçme (impersonating)
Sahte senaryolar uydurma (pretexting)
Aldatmaca (spoofing)

Yukarıda maddeler halinde saydığımız araç, taktik ve tekniklerin biri veya birkaçı aynı anda kullanılarak teknolojik dolandırıcılık veya modern hırsızlık dediğimiz sosyal mühendislik saldırıları gerçekleştiriliyor.Örneğin, sahte bir adresten (spoofing) e-postanın gönderildiği yemleme (phishing) tekniğinde, e-posta içerisine MS Office dosyası görünümünde zararlı bir yazılım (malware) ekleniyor ve kullanıcının açması bekleniyor ya da bir telefon numarası taklit edilerek (spoofing) yapılan aramada otorite sahibi başka birinin yerine geçerek (impersonating) sahte senaryolar uydurulup (pretexting) telefon dolandırıcılığı (Vishing) yapılıyor.

Bu yazı dizisinde, gelin teknolojik dolandırıcılık veya hırsızlık için sosyal mühendislerin kullandığı araç, taktik ve teknikleri sahte e-postaların kullanıldığı yemleme (phishing) tekniğinden başlayarak teker teker incelemeye çalışalım.

Yemleme (Phishing)

Gönderilen sahte bir e-posta başlayan ve siber saldırganlar veya sosyal mühendisler tarafından kullanılan yemleme tekniği, en eski yöntemlerden biri olmasına karşın hala çok etkilidir. Bir işletme veya kişi hakkında hileli bir şekilde hassas bilgi toplama veya saldırı düzenleme tekniği olarak tanımlayabileceğimiz yemleme, sosyal mühendislik saldırısının bilgi toplama aşamasının yanı sıra diğer safhalarında da kullanılabilir.Bu teknik sosyal mühendisin veya saldırganın güvenilen bir yeri taklit ederek gönderdiği sahte e-posta ile başlar. Teknolojik dolandırıcılar olan sosyal mühendisler bu e-postalarda, cezaya kalacak bir fatura ödemesi, bir sipariş veya ücretsiz bir çekiliş gibi konularla hedefte tehdit, korku, heyecan, açgözlülük gibi duyguları tetiklemeye çalışırlar.Ardından MS Office dosyaları veya resim gibi gerçek görünümlü dosyalar şeklindeki e-posta eklentisi içine gizledikleri zararlı yazılımları hedefin bilgisayarına bulaştırırlar ya da hedefin kendileri tarafından taklit edilmiş sahte bir siteye yönlendirecek bir linke tıklamasını sağlarlar.Kurbanın bilgisayarına yükleyecekleri zararlı yazılımlarla veya taklit edilmiş web sayfalarına kurbanlar tarafından girilecek bilgilerle, sosyal mühendisler hedef şahıs ya da işletmeler hakkında banka hesap detaylarından, kimlik veya oturum açma bilgilerine (login credentials) kadar birçok hassas bilgiyi toplarlar.COVID-19 salgınıyla uğraştığımız bugünlerde eve hapsolmuş saldırganlardan gelen bu tür yemleme e-postalarında aşırı artışlar olduğunu hatırlatıp, güvenmediğiniz veya bilmediğiniz kişilerden gelen e-postalara karşı dikkatli olmanızı, e-posta eklentilerini açmadan veya e-postalar içinde yer alan linkleri tıklamadan önce bir kez daha düşünmenizi tavsiye ederek üzerimize düşen görevi yerine getirelim.

Phishing

Hedefli Yemleme (Spear phishing)

Hedefli Yemleme tekniğinde normal yemlemede olduğu gibi e-posta kullanılır, ancak rastgele şekilde çok fazla hedefe e-posta göndermekten ziyade önceden hedef olarak belirlenmiş bir kullanıcıya veya kullanıcı grubuna e-posta gönderilir. Takip edeceği hedefi belirlemek ve kısmen tanımak için kapsamlı bir ön çalışma gerektirdiğinden hedefli yemleme daha yorucu bir faaliyettir.Hedef hakkında toplanan ön bilgilerin ardından saldırgan hedefin ilgisini çekebilecek özenle hazırlanmış bir e-posta gönderir ve yemleme (phishing) tekniğinde anlatıldığı şekilde e-posta eklentisi şeklindeki zararlı yazılımı bilgisayarınıza yükler veya hedefini kendi oluşturduğu sahte siteye yönlendirir. İstatistiksel olarak, yemleme saldırısının başarı oranı %3 iken, hedefli yemleme saldırısının başarı oranı %70 civarındadır.

Balina Avı (Whaling)

Balina avı hedefli yemlemenin (spear phishing) bir üst kategorisidir. Bu teknikte de bilinçli olarak seçilmiş hedeflere yönelik özel çalışma ve hazırlıklar yapılır, ancak burada hedefler şirketin en üstündeki yönetici grubudur. Sizin anlayacağınız küçük balıklardan ziyade balina avlanmaya çalışılır.Balina avına çıkan sosyal mühendisler hedefteki kurum veya şirkete ait parayı ve hassas bilgileri çalmak amacıyla iki taktik kullanabilir. Birincisi konumları gereği genellikle sorgulanamayan üst düzey bir yöneticinin hesabını taklit ederek onun yerine geçip talimatlar göndermek, ikincisi ise direk olarak üst düzey yöneticiyi hedef tahtasına koyup saldırıyı onun üzerinde gerçekleştirmektir.SMS Yemleme (Smishing)İsminden de anlaşılacağı üzere SMS yemleme cep telefonlarımızda kullandığımız kısa mesaj hizmetinin araç olarak kullanıldığı bir sosyal mühendislik saldırısıdır. Genellikle insanlar teknolojik dolandırıcılarda telefon numaralarının olabileceği gerçeğini göz ardı ettiklerinden cep telefonlarına gelen SMS’leri özellikle kendilerine gelmiş bir mesaj olarak kabul edip, e-postalardan daha fazla güveniyorlar.Aslına bakılırsa birine ait telefon numarasını bulmak e-posta adresini bulmaktan daha kolaydır. Gartner tarafından yayımlanan bir rapora göre insanların %98’i cep telefonlarına gelen SMS’leri okuyor ve %45’i ise yanıtlıyor. Aynı raporda e-maillere verilen cevap ise sadece %6. COVID-19 ile gözümüzün korkutulduğu günümüzde insanları rahatlıkla ikna edebilecek gibi görünen güncel bir SMS yemleme mesajı aşağıdaki resimde sunulmuştur.SmishingSosyal mühendis veya siber saldırgan SMS ile göndereceği linke tıklamanız neticesinde, sizi zararlı bir yazılımın olduğu sahte web sitesine yönlendirebilir, o, sitede size sunulacak formu doldurmanızı sağlayabilir, direk olarak zararlı bir yazılımı yükleyebilir ya da SMS içerisinde göndereceği sözde müşteri hizmetlerine ait numarayı aramanızı sağlayarak şahsi bilgilerinizi veya kredi kartı detaylarınızı sizi ikna ederek almak suretiyle bilgi hırsızlığı yapabilir.Sözü fazla uzatmamak adına diğer sosyal mühendislik tekniklerini yazı dizimizin devamında ele almak üzere burada bir es verelim. Alanlarında sayılı uzmanlardan olan Erdal OZKAYA ve Şükrü DURMAZ’la beraber yakında yayınlamayı düşündüğümüz Sosyal Mühendislik kitabımızda, konunun bütün yönleriyle ve gerçek hayattan alınmış birçok örnekle beraber ele alındığını belirtmek istiyorum.Yazı dizimizin devamında görüşmek dileğiyle sağlıcakla kalın.

Raif SARICA – Ankara, Turkey | Professional Profile | LinkedIn

https://www.linkedin.com/in/sadakra/

The post Sosyal Mühendislik first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.

Fidye İsteyen Zararlılar (CryptoLockers)

Şükrü Durmaz — Mon, 29 Mar 2021 08:57:27 +0000

Fidye zararlıları bulaştığı sistemlerde, sistem kullanıcıları için kritik ya da önemli değere sahip verileri erişilmez kılmak suretiyle menfaat elde etmeyi hedeflerler. Bu veriler çoğu zaman telafisi mümkün olmayan mali, muhasebe, lojistik işlemlere ait veriler olabileceği gibi üretim ya da projelere ait veriler ve diğer ticari gizli veriler olmaktadır.

İlk geliştirilen zararlı yazılımlar (özelinde virüsler) sadece sisteme ve verilere zarar verme amacı taşırken, zaman içerisinde amaç farklılaşmış ve verilerin erişilemez kılınacağı tehdidi ile menfaat teminine yönelmiştir.

İlk fidye zararlıları kullanıcının verilerine ulaşmasını basit şekilde zorlaştırırken (örneğin ekranın açılır pencere sayısını sınırlamak, dosya adını değiştirmek veya sistemin çalışmasını engellemek gibi), yazımıza konu olan CryptoLocker zararlıları güçlü şifreleme algoritmaları kullanarak hem dosya içeriğini hem de klasörleri şifreleyerek erişilmez hale getirmekte ve sonrasında ise başta BitCoin olmak üzere kendi hesabına eMoney talep ettiği bir notu bırakarak sistemden çıkmaktadır.

CryptoLocker (Ransomware)

Burada en önemli konu saldırganların kurbanların sistemine nasıl sızdıkları ve sızmak için nasıl çalıştıklarını anlayarak bilişim sistemlerimiz üzerinde gerekli güvenlik tedbirlerini almak ya da mevcut güvenlik tedbirlerini sıkılaştırmaktır.

Peki bu saldırganlar kimler? Bu işleri nasıl ve ne şekilde yapıyorlar? Ne kazanıyorlar?

Öncelikle saldırganların profillerinden bahsetmek istiyorum. Karşılaştığım pek çok CryptoLocker vakasında saldırganlar ile sızdıkları sistemlere bırakmış oldukları notlardaki iletişim bilgileri ile haberleşme olanağı buldum. Saldırganların çoğunluğu Türkiye dışında yaşamakla beraber birkaç grup Türkiye’de yaşamaktadır. Saldırganlar bir günün büyük kısmını -uyku hariç- internette geçiren kişiler. İnternette sistem açığı tarama, sosyal mühendislik ve phishing (oltalama) saldırısı konusunda uzman ve sabırlı kişilerdir. Sistemlere sızarak, sızdıkları sistem içerisindeki değerli verileri şifrelemek suretiyle maddi menfaat elde etmeyi kendine meslek edinmiş kişilerden oluşmaktadır.

Saldırganlar öncelikle hedef alacakları kurum ve kuruluşları araştırıyorlar ve bu araştırma neticesinde sisteme sızma yöntemlerini belirliyorlar. Araştırma ortamı olarak çeşitli arama motorları ve uygulamalarını kullandıkları gibi, şirket ve kurumlara ait bilgilerin yer aldığı çeşitli veri tabanları (TOBB şirket bilgileri, en büyük 500 sanayii şirketi listesi, çeşitli meslek odaları kayıtları) kullanılmaktadırlar.

Saldırı Öncesi Hedef Belirleme Yöntemleri

Hedef olarak belirledikleri bir sistemi haftalarca araştırıp, o kurum ve kuruluşa sızmak için en ideal yöntemi belirledikten sonra çalışmalarını konsantre bir şekilde sürdürmektedirler. Daha sonrasında buldukları bir açıklık ya da kurum içerisindeki bir kurbanın bilgisayarı üzerinden sisteme sızarak amaçlarına ulaşırlar.

Sisteme sızmak amacıyla çeşitli yöntemler kullanırlar. Bu yöntemlerin başında sistemini ele geçirmeyi planladıkları şirket ya da kurumdaki çalışanların e-postalarına phishing (oltalama) saldırısı yapma en başta gelir.

Oltalama Saldırısı Yaparak Hedefi Ele Geçirme

E-posta kullanıcısı çoğu zaman e-posta içerisindeki zararlı linki tıklar ya da ekindeki zararlı dosyayı açar. Saldırgan gönderdiği e-postayı özenle hazırlar (Fatura, kargo gönderimi, sigorta, ödül kazanma, dosya paylaşımı, sosyal medya aktivitesi v.b.) bu nedenle karşı taraftaki kurban bazen meraktan, bazen bir iş gereği açmak durumunda hisseder. İşte bundan sonra saldırgan önce kurbanın bilgisayarını ele geçirir, daha sonra ise kurbanın bilgisayarı üzerinde şirket ya da kurumdaki kritik ve önemli olan sunucu ve diğer bilgisayarları sıra ile ele geçirmeye başlar.

Örnek Bir Oltalama E-Postası

Saldırganların kullandığı bir diğer yöntem ise kurbanın bilgisayarını phishing (oltalama) saldırısı ile ele geçirdikten sonra, kurbanın şirket ya da kurum bilgisayarına erişmek amacıyla kullandığı uzak masaüstü (RDP, Teamviewer, AnyDesk v.b.) ve VPN uygulamalarını kullanarak şirket ya da kurumun önemli verilerinin bulunduğu diğer sunucu ve bilgisayarlara sızmaktır.

Uzak Masaüstü Uygulamarı Üzerinden Sistemi Ele Geçirme

Üçüncü örnek ise Türkiye’de son zamanlarda sık sık karşımıza çıkmaya başlayan önemli bir örnektir. Bu örnekte ise; saldırgan ele geçireceği hedefe yasal olarak bağlanmaya yetkili bir başka şirket üzerinden gelerek sistemi ele geçirmektedir.

Bu noktada özellikle ERP yazılımı kullanan kurum ve kuruluşları buradan uyarmak istiyorum. ERP yazılımınızın bakım ve güncellemesini yapan şirketlerin siber güvenlik yetkinlik ve etkinliklerinden muhakkak emin olunuz. Onlara verdiğiniz sisteme giriş yetkisini muhakkak iki faktöriyel doğrulama ile yaptırınız, unutmayınız ki ERP hizmeti sunan şirketler saldırganlar tarafından birinci hedeftir ve ERP hizmeti veren şirketler üzerinden çok kolay bir şekilde hacklenebilirsiniz.

ERP Yazılımı Bakım ve Desteği Veren Firma Üzerinden Hacklenme

Bir dahaki yazımda, sisteme sızan bir saldırganın adım adım sızdıktan sonra içeride neler yaptığını anlatacağım. Gelecek hafta görüşmek dileğiyle esen kalınız.

The post Fidye İsteyen Zararlılar (CryptoLockers) first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.