Siber Suçlular Hedeflerini Nasıl Belirler?

Kurum ve kuruluşlara her yıl milyonlarca maliyet çıkaran siber saldırganlar, aslında hedeflerini seçmeden önce kapsamlı araştırmalar yapıyorlar. Bir hedefin açıklarını araştırmadan önce, kişisel ve kurumsal bilgileri hakkında bilgi topluyorlar.

Bir güvenlik danışmanlığı şirketi olan SurfWatch Labs, siber suçluların kullandığı araştırma kaynakları hakkında bir rapor yayınladı. Bu raporun asıl yayınlanma amacı ise saldırıya maruz kalabilecek kurum ve kuruluşların bu saldırılardan korunmasını sağlayabilecek bir araç geliştirebilmek. Rapor, siber suçluların araştırma yaparken kullandıkları kaynakları ele alıyor. Bu kaynakların bilinmesi, gelebilecek saldırılara karşı önlem alınmasını sağlayabilir.

SurfWatch Labs’in güvenlik stratejileri başında olan Adam Meyer’a göre farkındalık eğitimleri oldukça önemli. Fakat çoğu şirket çalışanlarına sadece bir çalışan olarak kendilerini nasıl koruyacaklarını öğreten eğitimler aldırıyor. Fakat çalışanların özel hayatlarında kendilerini nasıl savunacaklarını bilmemeleri, çalıştıkları kurum veya kuruluş için de oldukça tehlikeli sonuçlar doğurabilir.

Bilinçsizlik

Çoğu şirket ve birey dışarıya ne kadar bilgi verdiklerinin farkında değiller. Siber tehditlere maruz kalabilecekleri durumlar hakkında bilgileri yok dolayısıyla risk yönetimi konusunda oldukça başarısızlar. Birçoğumuz teknolojiyi günlük hayatımızda oldukça aktif kullanıyoruz, hatta bağımlısıyız bile diyebiliriz. Fakat çoğumuz siber güvenliğimiz konusunda yeterli ilgiyi göstermiyoruz. Her ne kadar çok az kullanılıyor olsa da, siber saldırı gelmeden önce alınabilecek önlemler ve güvelik bilinçlendirme programları yaşanabilecek maddi/manevi kayıpların en aza indirgenmesini sağlayabilecek en ucuz yollardır.

SurfWatch Labs, siber suçluların aktivitelerini takip edebilmek için İnternette ve Dark Web’te araştırmalar yapıyor.

Siber Suçlular Güvenlik Web Sitelerini Kullanıyor

Raporda bahsedilen şeylerden biri de şu: insanları siber saldırılardan korumaya yönelik tasarlanmış web siteleri aslında siber saldırganların kaynaklarından biri.

Çoğu araç hem negatif hem de pozitif amaçlar için kullanabilir. Aradaki farkı kişilerin amaçları yaratacaktır.

En Önemli 3 Açık Kaynak

Siber saldırganlar tarafından bilgi toplamak için kullanılan kamuya açık kaynaklardan ilk üçü Shodan.io, virustotal.com ve hedef şirketlerin kendi web siteleri.

  • Shodan.io

2009 yılında John Matherly tarafından kurulan Shodan.io, siber saldırganların kullandığı bir numaralı sitelerden biri haline geldi. Shodan.io interneti düzenli olarak tarar ve herkesin erişebileceği şeyler bulmaya çalışır. Rapor Shodan.io’dan “IoT’ların Google’ı” diye bahsetmektedir.

image-shodan-malware

Kendisini bir güvenlik arama motoru olarak tanıtan Shodan, içerisinde birçok cihaza ait bilgi bulundurmakta. Ayrıca sitede güvenliği olmayan sunuculardan, çalışma alanlarından ve web kameralarından ekran görüntüleri de mevcut.

Shadon dünya gelenelinde sunucuları olduğunu ve bu sunucuların en son çıkan internet istihbaratını aramak için kullanıldığını kendisi belirtiyor. Site tanıtımlarında “Kim akıllı TV alıyor? En çok hangi ülkeler rüzgardan elektrik üretiyor” gibi ifadeler görebilirsiniz.

Shodan ayrıca kuruluşlara internete bağlı olan bütün bilgisayarları izleme olanağı da sağlıyor. Bir uygulama sayesinde Shodan verilerine kolayca ulaşılabiliyor.
Shodan çevrimiçi bilgi paylaşımının ne kadar tehlikeli olduğuna dair en iyi örnektir. Günümüzde Shodan’dan kaçabilecek veri neredeyse bulunmamaktadır. Bunun anlamı şudur ki; kurum ve kuruluşlar çevrimiçi olarak paylaştıkları bilgilerin Shodan gibi sitelere düşmesini engellemenin bir yolunu bulmalıdır.

  • Virustotal.com

Virustotal kendisini şüpheli URL adreslerini analiz eden ve malware tespit eden ücretsiz bir servis olarak göstermektedir. Fakat bu sitenin negatif kullanılabileceğini de düşünürsek, aslında zararlı yazılımları yazan kişilerin yazdıkları malware’ı test etme yeri de diyebiliriz. Bu site sayesinde saldırgan, yazdığı yeni zararlı yazılımın 56 farklı anti-virüs tarafından yakalanıp yakalanmayacağını kontrol edebilir.

image-virustotal-malware

Web sitesinin malware’ı fark etme süresi oldukça kısa, yani hızlıca kullanılmalı. Diğer türlü olsaydı, malware’ı anti-virüslere yakalanmayan bir saldırgan yazdığı bu zararlı yazılımı daha sonraki saldırılarında kullanabilirdi.

Web sitenin açıklamasına göre, herkes şüphelendiği dosyayı gönderebilir ve o dosya hakkında anti-virüs tarama sonuçlarının yazılı olduğu bir rapor alabilir. Ayrıca anti-virüs programları da bu web sitesinden faydalanıyor çünkü karşılaştıkları her yeni zararlı yazılımı kendi programlarının veri tabanını geliştirmek için kullanıyorlar. Sitenin asıl amacı birçok yerle birlikte çalışıp, genel internet güvenliğini arttırmak.

  • Kendi Web Siteniz?

Bir saldırgan için hedefinin bilgilerini öğrenmenin en iyi olur hedefin kendi web sitesidir. Çoğu kurum ve kuruluş çalışanları hakkında bilgileri web sitesinde barındırmaktadır. Örneğin çalışanlarının, özellikle yöneticilerinin isimleri, e-posta adresleri, fotoğrafları, LinkedIn profilleri vb.

image-own-website

Ayrıca rapor PDF, Word yada Powerpoint dokümanlarının metadata barındırdığını ve şirket hakkında ekstra bilgi içerebileceğini de ekliyor. Bahsi geçen ekstra bilgiler dosyanın hazırlandığı programın hangi sürüm olduğu gibi hassas verileri içerebilir.

Google gibi büyük bir arama motorunu da bir kenara atmamak gerek. Bir şirket hakkında bir şey öğrenmek isterseniz size Google’ı kullanabilirsiniz. Çünkü kimse farkında olmasa da Google çoğu şey hakkında gereğinden fazla bilgiye ulaşabiliyor.

Dark Web Kaynakları

Açık kaynaklar gibi, Dark Web’te saldırganlara oldukça güzel kaynaklar sunuyor. Bunlardan en önemlileri AlphaBay Market ve Forum, TheRealDealMarket ve HANSA Market.

  • AlphaBay

Son zamanlarda Dark Web’te oldukça popüler hale gelen AlphaBay, binlerce şeyin satıldığı bir site. Satılan şeylerin içinde çalınmış kredi kartı bilgileri, uyuşturucu, sahte eşyalar, banka giriş bilgileri, kişisel bilgiler, hack araçları ve daha birçok şey bulunuyor. 2014 yılında “alpha1” tarafından kurulan AlphaBay, Amazon ve eBay gibi sitelere oldukça benziyor. Kullanıcılar satılan şeyleri anonim olarak alabilmek için bitcoin kullanıyor.

image-alphabay-malware-darkweb

AlphaBay’e ulaşmak için Tor tarayıcısı kullanılıyor. Normalde Tor tarayıcısını indiren kişileri devlet görüntüleyebiliyor. Fakat günümüzde yaygınlaşan VPN kullanımı, bu tarz işlemlerin izlenmesini zorlaştırıyor.

  • TheRealDeal Market

2015’te kurulan TheRealDeal Market, kod ve exploit satmaya yönelik çalışıyor. TheRealDeal Market’ten sağlık kuruluşlarının veri tabanları, Yahoo, LinkedIn ve MySpace gibi sitelerin veri tabanları satın alınabilir. Ayrıca siteden kaynak kodları, zero-day açıkları ve benzer başka şeyler de satın alınabiliyor.

image-the-real-deal-market-malware-darkweb

Sitenin kurucuları olduğu iddia edilen kişiler yakalandıktan sonra site bir süreliğine kapatılmıştı. Site 2015’in sonunda yeniden açıldığından beri erişimi eskiye göre daha zor.

  • HANSA Market

HANSA Market Dark Web kullanıcılarının güvenliğini arttırmak için kurulduğunu iddia eden bir web sitesi. Site çok imzalı bir ödeme sistemi süreci sağlayarak, yaşanabilecek hırsızlıkları engellemeyi amaçlıyor.

image-hansa-market-malware-darkweb

HANSA sağlayıcıları birçok bilgi ve araç sunmaktadır. Bunlar video oyunları, yazılımlar, filmler ve bunlarla bağlantılı hesap bilgilerini içerebilir.

Peki, Saldırganlar Hangi Kanalları Kullanır?

Saldırganlar yarattıkları malware’ı yaymak için birçok farklı kanal kullanır. Bunlardan en çok kullanılanları sosyal medya, e-posta ve reklamlar.

Sosyal medya, saldırganların kurbanlarına ulaşmaları için en kolay yollardan biri. Kullanıcılara Twitter, Facebook gibi sosyal medya sitelerinde kullanabilecekleri uygulamalar gibi gözüken kötü amaçlı yazılımlar, kurbanlara oldukça kolay ulaşabiliyor. Ayrıca sosyal medyanın kendisi kurban hakkında detaylı bilgi edinmek için kullanılabilecek oldukça kolay bir yol.

E-posta, saldırganların saldırı için kullandığı kanallardan biri. E-posta ile yapılabilecek saldırıların başarılı olabilmesi için, kurbanın kendisine gelen e-postada ki link’e tıklaması veya e-postada ki dosyayı bilgisayarına indirmesi gerekir. “Aman, hala bunlara kanan var mı?” sorusunu soruyorsanız, evet var. Geçtiğimiz yıl yapılan saldırıların birçoğu bu yöntem ile yapıldı. Bu saldırıları engellemenin tek yolu ise bilinçlenmekten geçiyor.

Kötü amaçlı reklamlar, yani malvertising, kötü amaçlı yazılım yaymanın yollarından biri. Malvertising günümüzde hala oldukça yaygın çünkü görünürde oldukça normal ve legal gibi görünüyor. Ayrıca kurbanın ilgi alanlarına yönelik reklamlar gösteriyor. Reklam sağlayıcılarının ağı oldukça geniş, bu da saldırganların kimseye fark ettirmeden zararlı yazılımlarını bu reklamlara yerleştirmelerini kolaylaştırıyor.

Yararlı İpuçları

Şüpheli ve zararlı domainlerin bulunduğu bir kara liste zararlı yazılımı engelleme konusunda yardımcı olabilir. Kullanan kişilerin ve kuruluşların bu kara listeyi süreli güncellemeleri gerekmektedir.

Kişiler ve şirketler kullandıkları legal yazılımları sık sık güncellemelidir. Güncellenmemiş yazılımlar bulunan zero-day açıkları ile kolayca hacklenebilir.

Kullanıcılar ve şirketler, kullandıkları tarayıcılarda ve uygulamalarda verdikleri izinleri gözden geçirmeli ve eğer mümkünse bu izinleri minimuma indirmelidir.

Tabi, yazının en başında belittiğimiz gibi 'bilinçlenme' siber güvenliğin en önemli anahtarıdır. Bilinçlendirme için verilen eğitimleri hem şirket yöneticilerinin, hem çalışanların, hem de interneti aktif olarak kullanan kişilerin alması gerekmektedir. Eğitimler ve diğer hizmetletimiz için Cyberage web sitesini ziyaret edebilir ve bizimle iletişime geçebilirsiniz.