Siber suçlular hedefli kimlik avı için nasıl bilgi topluyor?

Şubat 20, 2019

Son on yıldaki hedefli saldırıları analiz ettiğimizde, neredeyse tüm vakaların aynı cümleyle başladığını fark ettik: “Her şey, kurbanın bir kimlik avı e-postasını açmasıyla başladı.” Peki kimlik avı e-postaları neden bu kadar etkili? Çünkü bu e-postalar, uygun bir bağlamda kullanılıyor ve her kurbana özel olarak hazırlanıyor.

Kurbanların sosyal ağlardaki hesapları, bilgi kaynağı olarak sıklıkla kullanılıyor. Bu da doğal olarak şu soruyu akla getiriyor: Nasıl? Siber suçlular bu hesapları nasıl buluyor? Bu çoğunlukla, kurbanın “herkese açık” olma derecesine bağlıdır. Bir kullanıcının bilgileri kurumsal bir web sitesinde, özellikle de detaylı bir biyografi ve LinkedIn profili de eklenerek yayınlanmışsa, kurbanın hesaplarını bulmak aslında oldukça kolaydır. Ancak siber suçlunun elindeki tek şey e-posta adresiniz ise o zaman bu iş daha karmaşık bir hal alır. Saldırganlar, yalnızca hedef şirketin ofisine girerken çekilen bir fotoğrafınıza sahipse sosyal ağlarda profilinizi bulma şansları çok daha düşüktür.

Veri atıklarını temel alarak bilgi aramak için küçük bir deney gerçekleştirdik. Deneyde, sosyal medya kullanımı farklı düzeylerde olan çok sayıda meslektaşımızı, herkes tarafından erişilebilen arama araçlarını kullanarak bulmaya çalıştık.

Fotoğrafla arama

Birisini, fotoğrafını kullanarak bulmaya çalışmak pek yaygın bir senaryo değil. Bu senaryoda siber suçlunun, hedef şirket binasının girişinde konuşlandığını ve geçiş kartlarında özel bir logo olan herkesin gizlice fotoğrafını çektiğini, ardından kimlik avı saldırısı için uygun bir kurban aramaya başladığını varsayıyoruz. Peki bu arama nerede başlıyor?

İki yıl önce (zaman ne kadar da hızlı geçiyor), FindFace hizmeti üzerine bir yazı yazmıştık. Saldırganların elinde hedef kişinin yüksek kaliteli fotoğrafları mevcutsa bu hizmet, belirli şartlar altında elinizdeki görüntüyü hızlıca bir sosyal medya hesabıyla eşleştirebilir. Bununla beraber, geçtiğimiz yılın Haziran ayında bu hizmet standart kullanıcıların erişimine kapandı. Hizmetin yaratıcıları kendilerini devletler ve şirketler için yeni çözümler geliştirmeye adadı ve FindFace artık ücretli bir hizmet olarak sunuluyor. Dahası hizmetin yaratıcıları, bu hizmetin herkese açık versiyonunun yalnızca “yapılabileceklerin bir ön gösterisi” olduğunu açıkça belirtmiştir.

Ancak bu hizmet yine de yabana atılmamalı. Siber suçlular bazı durumlarda, hedefli bir saldırı gerçekleştirmek için ekstra araçlara yatırım yapmaya gönüllü olabilirler. Bu, tamamen saldırının hedefine bağlıdır ancak bu hizmetin kullanılması arkada istenmeyen izlerin bırakılması anlamına gelebilir.

Fotoğraf ile arama, Google üzerinden ücretsiz olarak kullanılabilen bir hizmet olup çok sayıda arama hizmetini otomatik olarak tarayan bir fotoğraf-ile-ara eklentisi de sunmaktadır. Ancak bu yöntem, halihazırda çevrimiçi olarak yayınlanmış fotoğraflarda işe yaramaktadır. O yüzden elimizdeki fotoğraf, bir web sitesinden resmi bir fotoğraf olmadığı sürece bu senaryomuzda pek işe yaramasa da web sitesindeki fotoğraflar, çoğunlukla ekstra bilgiler (ad ve soyad) eklenerek yayınlanır.

Yine de bu arama yöntemini denedik. Aradığımız kişi Facebook ve diğer sosyal ağlarda aynı fotoğrafı kullanıyor olmasına rağmen Google, sadece gönüllümüzün “erkek” olduğunu bulmayı başardı. Sonuç olarak, fotoğrafınızı çeken siber suçluların, ücretli bir yüz tanıma hizmeti kullanmadan, fotoğrafı sizin profilinizle eşleştirmesinin pek olası olmadığını düşünüyoruz.

Ad ve soyad

Birini internette ararken, yapılacak ilk şey genellikle o kişinin adını ve soyadını aramaktır. Elbette, aramanın başarılı olup olmayacağı, büyük oranda aranan ismin yaygınlığına bağlıdır. John Smith adını taşıyan belirli bir kişiyi bulmak kolay bir iş olmayabilir. Ancak Google, “Lurie” (pek yaygın olmayan bir soyad) soyadlı bir kişiyi hızlıca bulabilir.

Lafı gelmişken, bazı sosyal ağların, herhangi bir hesap açmadan, başka bir kişinin profilini görmenize izin verdiğini biliyor muydunuz?

E-posta ve telefon numarası

Peki ya birisinin e-posta veya telefon numarasını biliyorsak? Bu bilgilere sahip olduğumuzda kestirmeden gidebilir ve tek tek sosyal ağlarda arama yapabiliriz. Ancak gerekli verileri otomatik olarak toplayan toplayıcı hizmetleri de mevcuttur. Bunların en popüleri olan Pipl, telefon numarası veya e-posta adresiyle sosyal ağlardaki kullanıcı sayfalarının bağlantısını bulabilir ve doğrum tarihi, eğitim ve iş durumu gibi bilgileri de içeren kısa bir biyografiyi size sunabilir. Pipl’ın geliştiricilerine göre, sundukları hizmet 3 milyardan fazla insanın bilgisine sahip!

Bu hizmeti kullanarak on gönüllümüzden beşi için en az bir kullanıcı hesabı bağlantısı elde ettik; bazı durumlarda çevrimiçi takma adları ve kullanıcı adlarını dahi bulmayı başardık.

Kullanıcı adı

Bazı kişiler hem kişisel hem de kurumsal e-posta adresleri için tek bir kullanıcı adı kullanmaktadır; kimisi ise internetteki özel yaşamları için ayrı bir kullanıcı adı kullanırken aynı zamanda kurumsal bir adres de edinmektedir. Siber suçluların eline geçen bir kullanıcı adı, hedeflenen kurban hakkında daha fazla bilgi elde etmek için kullanılabilir.

Bu, namechk veya knowem gibi kaynaklar kullanılarak yapılabilir. Bunlardan birincisi, 100’den fazla hizmette bir hesap adını tespit edebilirken ikincisi ise 500’den fazla kaynağı kontrol edebilir. Elbette, aranan kullanıcı adı yaygın olarak kullanılıyorsa istenilen kişiyi bulmanın garantisi yoktur. Öyle olsa bile, bu tür bir hizmet, siber suçlular için oldukça kullanışlı bir araçtır.

Ne yapmalısınız?

Gördüğünüz gibi, potansiyel kurbanlar (nerede yaşadıkları, nelerden hoşlandıkları vs.) hakkında veri toplamak, büyük bir teknik ustalık veya kompleks hizmetlere erişim gerektirmiyor. O yüzden, kimlik avı yöntemlerini öğrenmek dışında çalışanlarınıza şu birkaç basit kuralı anlatmanızı öneriyoruz:

  1. Sosyal ağlara, kayıt olduğunuzda herkese açık hale gelecek, e-posta veya telefon numaranızla kaydolmayın.
  2. Kişisel ve resmi iş hesaplarınız için aynı fotoğrafı kullanmayın.
  3. Bir profiliniz bulunduğunda diğerinin de açığa çıkmaması için farklı kullanıcı adları kullanın.
  4. Sosyal ağlarda kendinizle ilgili gereğinden fazla bilgi paylaşıp siber suçluların işini kolaylaştırmayın.

En önemlisi, bütün çalışan iş istasyonlarınız, Kaspersky Endpoint Security for Business gibi etkili kimlik avı koruması özelliğine sahip güvenilir ve tam özellikli bir güvenlik çözümü ile korunmalıdır.