Kötü amaçlı yazılımsız siber saldırılar

Siber suçlular kötü amaçlı yazılım kullanmadan şirketlere nasıl saldırıyor

Her şirket siber tehditlere karşı güvenilir bir korumaya ihtiyaç duyar, ancak antivirüs yazılımlarının her derde deva olmadığını da unutmamalıyız. Şirketlere yönelik saldırıların büyük çoğunluğu insan hatasından kaynaklanır. Örneğin, bir çalışan kötü amaçlı bir bağlantıya tıklar, bir makroyu etkinleştirir veye virüslü bir dosya indirir. Bazı durumlarda siber suçluların kötü amaçlı yazılım kullanması bile gerekmez. Bir şirketin altyapısına yalnızca sosyal mühendislik ve yasal yazılım çözümleri kullanarak da erişim elde etmeyi başarabilirler. İşte birkaç örnek.

Fidye yazılımı olmadan fidye istemek

Kısa süre önce kurumsal veri çalarak şantaj yapma konusunda uzmanlaşan Luna Moth grubunun faaliyetleri hakkında bazı haberler çıktı. Luna Moth’un benzersiz yanı, bilgileri kötü amaçlı yazılım kullanmadan ele geçirmeleri.

Bir şirkete yönelik saldırı, tipik bir dolandırıcılık e-postasıyla başlıyor. Suçlular çevrimiçi bir servisin temsilcileri gibi davranarak alıcıları bir aboneliğe imza attıklarına ve ödemenin ertesi gün çekileceğine inandırmaya çalışıyor. Çalışan, ödemeyi iptal etmek veya daha fazla bilgi almak isterse e-posta ekindeki dosyada bulunan bir telefon numarasını araması gerekiyor.

İşler burada sarpa saracak gibi duruyor, değil mi? Ama hayır, beklenenin aksine dosya kötü amaçlı yazılım içermiyor, dolayısıyla antivirüs yazılımı kullanıcının dosyayı açmasına büyük olasılıkla izin veriyor. Burada suçluların işi yalnızca çalışanın numarayı aramasını sağlamak.

Başarılı olurlarsa kurbanı cihazına bir uzaktan erişim aracı (RAT) kurmaya ikna ediyorlar, bunu büyük olasılıkla kafası karışmış kullanıcının aboneliği iptal etmesine yardımcı olma kisvesi altında yapıyorlar. Teknik olarak RAT’ler kötü amaçlı yazılımlar değil, bu yüzden antivirüslerin çoğu bunları engellemiyor ve yalnızca bazıları kullanıcıları potansiyel tehlikeler hakkında uyarıyor. Bunun sonucunda suçlular cihaza uzaktan erişim sağlıyor ve cihaz üzerinde kontrol sahibi oluyor.

Birçok örnekte dolandırıcıların cihaza birden fazla RAT yüklediğini de belirtelim. Dolayısıyla içlerinden biri kaldırılsa bile kontrolü ellerinde tutmak ve kaldırılan RAT’i tekrar yüklemek için bir başkasını kullanabiliyorlar. Suçlular kurbanın bilgisayarının kontrolünü ele geçirdikten sonra genellikle altyapıya daha fazla sızmak, daha fazla kaynağa erişmek ve veri sızdırmak için başka araçlar da yüklüyor.

Şirket düzeyinde telefon dolandırıcılığı

Amerikan telekomünikasyon şirketi Verizon kısa süre önce daha da saçma bir şantaj oyununun kurbanı oldu. Anonim bir hacker, Motherboard’a sadece kendisini şirket içi teknik destek ekibinin bir üyesi olarak tanıtarak Verizon çalışanlarından birini kendisine bir şirket bilgisayarına uzaktan erişim vermeye ikna ettiğini anlattı. Söylediğine göre bilgisayarda çalışan bilgilerini işlemeye yönelik şirket içi bir aracı çalıştırmış ve özel bir kod kullanarak yüzlerce kişinin adını soyadını, e-posta adresini, şirket kimliklerini ve telefon numaralarını içeren bir veri tabanı oluşturmuştu.

Verizon hacker’ın şirketle iletişime geçerek 250.000 USD istediğini ve çalınan verileri yayınlamakla tehdit ettiğini doğruladı, ancak önem taşıyan bilgiler ele geçirmeyi başardığını reddetti. Öte yandan Motherboard’da çalışan gazeteciler, bilgileri veri tabanında bulunan kişilerden bazılarıyla temas kurdu. Bunlardan bir kısmı cevap verdi ve isimlerini, e-posta adreslerini ve Verizon’da çalıştıklarını doğruladı.

Bu hikayeden ne ders çıkarmalıyız?

Hikayeden çıkarılması gereken ders basit: Şirketiniz en son teknoloji ürünü güvenlik ürünlerine sahip olsa da çalışanlar bu tür sosyal mühendislik saldırılarına karşı hazır değilse verileriniz güvende değil demektir. Bu yüzden, eksiksiz bir siber güvenlik stratejisi yalnızca teknik güvenlik araçlarını yüklemeyi değil, aynı zamanda en yeni siber tehditler ve siber suçluların oyunları hakkında çalışanların farkındalığını arttırmayı da kapsar. Bunun için örneğin çevrimiçi bir eğitim platformu kullanabilirsiniz.

İpuçları