PARA SİBER GÜVENLİK/ ÜRÜN DİRİER Son dönemde e-ticaret sektörü stealer'ların hedef tahtasında. Stealer'lar, bilgisayar sistemlerinden veri veya kaynak çalmayı amaçlayan kötü niyetli yazılımları ifade ediyor. E-posta hesaplarını stealer yazılımlar ile ele geçiren bilgi hırsızları, darkweb üzerinden bunları satışa çıkarıyor. Hedefledikleri türdeki e-posta bilgilerini darkweb üzerinden satın alan korsanlar ise, e-ticaret şirketinin satış panelini ele geçirerek satışlardan elde edilen kazancı kendi banka hesaplarına yönlendiriyor. Bunun için de genellikle cezaevinde bulunan suçluların banka hesaplarını kiralıyorlar. Darkweb üzerinden hedefledikleri türdeki mail bilgilerine ise çok cüzi fiyatlara ulaşabiliyorlar. Popüler bir pazaryerinde yer alan satıcı hesaplarından istedikleri adette satın alabiliyorlar. Sadece e-ticaret satıcılarının değil, müşterilerin de mail hesap ve şifreleri tehdit altında. Siber korsanlar, tarayıcılara kaydedilen şifreleri ele geçirerek kurbanın finansal bilgilerine ulaşılabiliyor.
Bugün tüm sektörler bilgi hırsızları yani stealer'ların hedefinde. Ancak e-ticaret, perakende ve tüketici hizmetleri, sağlık kuruluşları, finans ve hukuk firmaları, pazarlama ajansları, danışmanlık hizmetleri, genellikle hassas verilerle çalıştıklarından, bilgi hırsızları için öncelikli hedef haline geliyor. Örneğin, sağlık sektörü, bilgi hırsızları için birincil hedef durumunda.
Marketsandmarkets'in araştırmasına göre, küresel sağlık siber güvenlik pazarının 2028 yılına kadar 35,3 milyar dolara ulaşması öngörülüyor ve bu da sektörün zaaflarının giderek daha fazla farkına varıldığını gösteriyor. Deloitte'un araştırmasına göre ise, finans sektörü siber saldırılar için sürekli bir savaş alanı olmaya devam ediyor ve bankacılıkta yapay zekanın yükselişi ve gerçek zamanlı ödemelerdeki büyümenin, finans sektörünü 2024'te siber saldırılara karşı daha savunmasız hale getireceği öngörülüyor.
Palo Alto Networks'ün yaptığı açıklamaya göre, özellikle son dönemde e-ticaret sektörü de büyük miktarda müşteri verisine erişmek isteyen bilgi hırsızlarının gözde hedefi. E-ticaret platformları için, önemli mali kayıplara ve itibar krizine yol açabilecek veri ihlallerine karşı savunmalarını güçlendirmeleri giderek daha kritik bir ihtiyaç haline geliyor. Bunların yanı sıra telekomünikasyon, ulaşım ve enerji gibi stratejik sektörler de bilgi hırsızları tarafından düzenli olarak hedef alınıyor.
E-postalar hassas bilgiler arasında yer alıyor. Bilgi hırsızları çaldıkları e-posta bilgilerini başka bir kişinin kimliğini çalmak, yeni hesaplar açmak veya yetkisiz satın alımlar yapmak gibi dolandırıcılık faaliyetlerinde bulunmak için kullanabiliyor. Bu durum da finansal kayba, marka kimliğinin zarar görmesine, müşteri güveninin olumsuz etkilenmesine ve çeşitli yasal sorunlara yol açıyor.
Palo Alto Networks'ten yapılan açıklamaya göre, çok fazla müşteri verisi toplamamak bilgi hırsızlığına karşı önleyici bir tedbir olarak öne çıkıyor. Sonuçta bir 'hırsız', sizin sahip olmadığınız bir şeyi çalamaz, bu yüzden sakladığınız müşteri verisi miktarını sınırlamak önemli. Yalnızca fatura kesmek için gerekli olan bilgi aslında yeterli.
EN YAYGIN STEALER'LAR
Trend Micro Avrasya Bölgesi Yönetici Direktörü Hasan Gültekin'in verdiği bilgilere göre, perakende sektörü, özellikle e-ticaret platformları ve fiziksel mağazalar arasındaki büyük veri akışı nedeniyle dolandırıcılık faaliyetleri açısından açık bir hedef olarak öne çıkıyor. Bir şirketin e-posta bilgilerini çalmak, ciddi mali ve itibar kayıplarına yol açıyor. "Öncelikle, dolandırıcılar çalınan e-posta bilgilerini kullanarak kimlik avı (phishing) saldırıları düzenleyebilir. Bu tür saldırılarla şirket çalışanlarının veya müşterilerinin hassas bilgilerini ele geçirmek mümkündür. Ele geçirilen bilgilerle mali dolandırıcılıklar yapılabilir, sahte ödeme talepleri oluşturulabilir veya şirket hesapları boşaltılabilir. Bu da doğrudan mali kayıplara neden olur ve şirketin güvenilirliğini sarsar" diyen Gültekin şunları aktarıyor:
"Bunun yanı sıra, çalınan e-postalardaki bilgilerin ifşa edilmesi, şirketin itibarına büyük zarar verebilir. Müşteri ve iş ortakları, bu tür bir güvenlik ihlali sonrasında şirkete olan güvenlerini kaybedebilirler. Ayrıca, veri ihlali durumunda yasal yaptırımlar ve ağır cezalarla karşılaşılabilir. Özellikle Kişisel Verilerin Korunması Kanunu (KVKK) ve GDPR gibi düzenlemeler çerçevesinde, şirketler ciddi para cezaları ve hukuki sorumluluklarla karşı karşıya kalabilir. Bu nedenle, e-posta güvenliği her şirketin öncelikli gündem maddelerinden biri olmalıdır"
ÖNCELİK ÖDEME SİSTEMLERİNİN GÜVENLİĞİ
E-ticaret sitesi sahipleri ve pazar yeri satıcılarının güvenlik konusunda hassas olması gerektiğine dikkat çeken Gültekin, "İlk olarak, ödeme sistemlerinin güvenliğini sağlamalılar. Bu, SSL sertifikaları kullanmak, güvenli ödeme ağ geçitleri tercih etmek ve PCI-DSS uyumluluğunu sağlamak gibi önlemleri içerir. Ayrıca, müşteri verilerinin korunması için güçlü şifreleme yöntemleri kullanılmalı ve düzenli güvenlik taramaları yapılmalıdır. Bu sayede, dolandırıcıların ödeme bilgilerine erişimi zorlaştırılmış olur. Bunun yanı sıra, kimlik doğrulama süreçleri de sıkı tutulmalıdır. Kullanıcıların giriş yaparken iki faktörlü kimlik doğrulama (2FA) kullanmaları teşvik edilmelidir. Ayrıca, sahte ürün ve dolandırıcılık girişimlerini engellemek için satıcıların kimlik bilgileri doğrulanmalı ve ürün listeleri düzenli olarak gözden geçirilmelidir. Müşteri şikayetleri ve geri bildirimleri dikkate alınarak, sahte ürün veya satıcılar hızlı bir şekilde tespit edilip platformdan kaldırılmalıdır. Bu tür önlemler, hem müşterilerin hem de platformun güvenliğini artırır" diyor.
Günümüzde en yaygın olan stealer'lar arasında RedLine Stealer, Agent Tesla ve FormBook gibi zararlı yazılımlar bulunduğunu ifade eden Gültekin, u bilgileri paylaşıyor:
"RedLine Stealer, özellikle tarayıcı parolalarını, kredi kartı ve kripto para cüzdanı bilgilerini çalmak için kullanılan kötü amaçlı bir yazılımdır. Bu tür yazılımlar, kullanıcılar farkında olmadan sistemlerine yüklenir ve arka planda çalışarak hassas bilgileri toplayıp saldırganlara iletir. Agent Tesla ise, e-posta kimlik bilgilerini, tarayıcı verilerini ve çeşitli uygulamalardan elde edilen bilgileri çalmak için kullanılan bir truva atıdır (Trojan). Bu yazılım, özellikle kimlik avı (phishing) e-postaları ve kötü amaçlı ekler aracılığıyla yayılıyor. FormBook ise, keylogger (tuş kaydedici) ve ekran görüntüsü alma özellikleriyle bilinen bir zararlı yazılımdır. Kullanıcıların klavye vuruşlarını kaydederek, oturum açma bilgilerini ve diğer hassas verileri elde eder. Bu tür zararlı yazılımlar, genellikle sahte e-postalar ve kötü amaçlı web siteleri aracılığıyla yayılır ve ciddi veri ihlallerine neden olabilir."
STEALER ENFEKSİYONU
Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) Güvenlik Araştırmacısı Mert Değirmenci, stealer olarak kategorize ettiğimiz zararlı yazılımların, hedefine şahısları alarak, çalışmakta oldukları sistemlerden tarayıcıda kayıtlı parolalar, kredi kartı bilgileri gibi hassas ve kritik bilgileri toplayıp tehdit aktörlerine aktardığını belirterek, "Bu gibi saldırıları gerçekleştirirken genel itibariyle amaç hedefli olmaktan çok maksimum sayıda bilgisayara bulaşmak ve ilgili bilgileri çalmaktır. Bu veri içerisinde e-posta, sosyal platformlar gibi internet servislerine ait giriş bilgileri olabilir. Eğer ilgili bilgisayar bir firma çalışanına ait ise, ilgili firmaya ait sistemlerin giriş bilgilerinin de bulunma olasılığı oldukça yüksektir. Bütün olarak değerlendirdiğimizde çok yüksek bir veri boyutundan söz ediyoruz. Bu verinin içerisinde çöp diye nitelendirebileceğimiz değersiz bilgilerin yanında bir kişi veya kurumu ciddi derecede etkileyebilecek bilgiler azınlıktadır. Bu sebeple stealer enfeksiyonu sonrasındaki süreç de daha kompleks bir yapıdadır ve birçok aktörü barındırmaktadır "diyor.
UZAKTAN ÇALIŞMA, RİSKİ ARTIRDI
"Genellikle toplanan bu bilgiler kategorize edilerek, bilinen önemli kurumlara ait olanlar daha yüksek fiyatlandırılırken, kişisel bilgiler daha düşük fiyatlarla illegal ortamlarda satışa çıkmakta" diyen Değirmenci şu bilgileri aktarıyor:
"Daha sonrasında kadraja başka tehdit aktörleri dahil olup ilgili bilgileri kendi amaçları doğrultusunda hedefli olarak satın alıp kullanmaktalar. İlk aktörün de bu verileri kendi menfaatince kullandığı durumlar mümkünken, özellikle bütün dünyayı etkileyen saldırılarda verinin çeşitliliği ve hacmi oldukça yüksek olduğundan ilk senaryo veya daha karma senaryolar olasıdır. Firma çalışanlarına ait giriş bilgilerinin cüzi bir ücret karşılığı elde edilebiliyor olması ciddi tehditler doğurur. Normal şartlar altında, ilgili kuruma yönelik olarak dışarıdan gelecek siber tehditlere karşı çeşitli koruma önlemleri mevcut durumdadır. Fakat şirket çalışanına ait doğru hesap bilgileriyle ilgili koruma yöntemlerinin çoğu atlatılabilmektedir. Bu durum bir de pandemi sonrasında uzaktan çalışma alışkanlıklarının yaygınlaşması ile birleşince durumun ciddiyeti oldukça yükselmekte. Geçtiğimiz yıllarda LAPSUS$ isimli tehdit aktörü, bahsi geçen teknikleri kullanarak uluslararası teknoloji firmalarında ciddi problemlere yol açmıştır."
Bu saldırılardan e-ticaret müşterileri, satıcıları ve platform sağlayıcılarının etkilendiğinin altını çizen Değirmenci, "Müşterilerin kayıtlı kredi kartları ve varsa platform dahilinde kullanılabilen sanal paralar akla ilk gelen hedeflerdir. Satıcılar düşünüldüğünde ise saldırının etki çapı daha da artmakta çünkü faaliyetlerine devam edebilmeleri için telefon numarası, ev adresi gibi kişisel veriye erişmeleri gereken durumlar olabilmekte. Bunun dışında satıştaki ürünlerin içeriği, açıklamaları gibi detaylara müdahale ederek repütasyon anlamında zarar verilebilecekken ürün fiyat bilgileri ve satıcı banka bilgisi manipülasyonu ile finansal zarar da verilebilmekte. Çalışan hesapları üzerinden gerçekleştirilen siber saldırılar şirketleri ciddi olarak tehdit etmesinin yanında, e-ticaret firmalarının ayrıca müşteri ve satıcıları korumasının hem itibar hem de mali kayıpların önüne geçeceğini söyleyebiliriz. İlgili platformlarda satış yapan satıcıların ise eğer mevcutsa çok faktörlü doğrulama gibi özelliklerin aktifleştirmesi, özellikle hesap bilgisi çalınma durumlarına karşı doğru bir adım olacaktır. Yeraltı marketlerinde veri satış oranlarına göre kıyasladığımızda en popüler stealer'lar; Racoon, Vidar ve RedLine'dır" diyor.
ANINDA HESAP ERİŞİMİ SAĞLAYABİLİR
ESET Türkiye Ürün ve Pazarlama Müdürü Can Enginkurban, InfoStealers'ların (Bilgi hırsızları) bilgi çalmak için bilgisayar sistemlerine sızmak üzere tasarlanmış bir kötü amaçlı yazılım türü olduğunu ifade ederek, "Oturum açma kimlik bilgileri, oturum çerezleri, finansal bilgiler ve kişisel olarak tanımlanabilir bilgiler dahil olmak üzere çeşitli verileri sızdırarak siber suçlular tarafından kontrol edilen uzak bir sunucuya gönderirler. Infostealer kötü amaçlı yazılımların yalnızca kayıtlı kimlik bilgilerini değil, aynı zamanda tehdit aktörlerinin çok faktörlü kimlik doğrulamayı (MFA) atlamasına yardımcı olabilecek oturum belirteçlerini de çaldığı bilinmektedir. Sonuç olarak, infostealer'lar tehdit aktörlerine daha sofistike araçların kullanılmasını veya bir ortamda uzun süre aktif kalmayı gerektirmeden anında hesap erişimi sağlayabilir" diyor.
Bilgi hırsızları tarafından çalınan gizli verilerin daha sonra darknet veya diğer siber suç forumları aracılığıyla satışa sunulduğunu aktaran Enginkurban, "Bu bilgiler bir kez satın alındığında, daha fazla kötü niyetli faaliyet için kullanılabilir. Tehdit aktörleri tarafından gerçekleştirilen faaliyetlerin niteliği, çalınan bilginin değerine göre değişir. Ele geçirilen kredi kartları veya banka hesaplarının hileli işlemler gibi bireysel sonuçları olsa da kullanıcıların kimlik bilgilerini tarayıcılara kaydetmesi alışılmadık bir durum değildir. Bir saldırganın bakış açısına göre bu tür veriler kurumsal ağlara hızlı erişim sağlayabilecek düşük değerli hedeflerdir ve fakat fidye yazılımı bulaşması gibi ciddi sonuçlara yol açabilir" diye konuşuyor.
ÜRETKEN YAPAY ZEKAYI TAKLİT EDİYOR
ESET'in son Tehdit Raporuna göre yaygın InfoStealers yazılımları, Midjourney, Sora ve Gemini gibi üretken yapay zekâ araçlarını taklit etmeye başladı. Ayrıca finansal veri içeren e-ticaret gibi çeşitli platformlar için tehdit oluşturmaya devam ediyorlar. Daha önce ESET'in 2014 yılında yayımladığı Operation Windigo adlı beyaz bültende incelenen Ebury botnetinin, 10 yıl sonra bile tehlikesini koruduğunu görüyoruz. ESET araştırmacıları tarafından yapılan son araştırma, bu tehdidin 2009 yılından bu yana yaklaşık 400.000 sunucuyu tehlikeye attığını ortaya çıkardı. Her ne kadar Ebury'nin araç seti ilk araştırma sırasında zaten önemli olsa da bu son bulgular botnet'in daha çok kripto para ve kredi kartı hırsızlığı gibi para kazanma yöntemlerine odaklanan genişletilmiş işlevlerini ortaya çıkardı. Ebury, başlangıçta web yönlendirmeleri, Windows kötü amaçlı yazılım dağıtımı ve spam gönderimi için kullanılan bir sunucu tarafı tehdit kümesinin çekirdeğini oluşturan bir OpenSSH arka kapısı ve kimlik bilgisi hırsızıydı. Ebury botnet günümüzde ayrıca işlem yapılan web sitelerinden finansal bilgileri çalmak için sunuculara yapılan HTTP POST isteklerinde de araya girebilmektedir.
AĞ TRAFİĞİNİ DİNLİYORLAR
Kredi kartı hırsızlığına gelince, botnet ağ trafiğini gizlice dinleyerek kurbanların kredi kartı bilgilerini ele geçirilmiş bir çevrimiçi mağazaya gönderdikleri anı beklediklerinin altını çizen Enginkurban süreci şöyle özetliyor: "Veriler gönderildikten sonra, Ebury bilgileri ele geçirmek için çeşitli araçlar kullanabilir. Ebury'nin arkasındaki tehdit aktörleri, kredi kartı verilerini ve kripto para fonlarını çalmanın yanı sıra, para kazanma çabalarını daha da desteklemek için başka araçlar da geliştirdi. Bunlar arasında HTTP isteklerini sızdıran veya trafiği proxy'leyen Apache modülleri, yeniden yönlendirmeler gerçekleştiren Linux çekirdek modülleri ve güvenlik duvarı kurallarını enjekte eden değiştirilmiş Netfilter araçları yer alıyor. Bildiğiniz gibi son zamanlarda AI ve çeşitli AI araçları gündemin önemli bölümünü oluşturuyor. Bu da saldırganların ve dolandırıcıların da dikkatinden kaçmıyor ve ortamı istismar etmek için yeni yöntemler keşfediyorlar. ESET telemetri, kötü amaçlı yazılımları yaymak için üretici yapay zekâ asistanlarının adlarını kullanmaya yönelik çeşitli girişimler kaydetti. 2024'te gözlemlenen en ilginç vakalar, Rilide Stealer olarak bilinen kötü amaçlı bir Chrome tarayıcı uzantısı ve AI yazılımı için bir masaüstü uygulaması sağladığını iddia eden ancak bunun yerine Vidar bilgi hırsızı sunan kötü amaçlı bir yükleyici."
Enginkurban tarafından aktarılar diğer bilgilere göre, 2022 yılında yeraltı suç dünyasında yaklaşık 750 milyon kimlik bilgisi tespit edildi ve bunların neredeyse yarısı infostealer kötü amaçlı yazılım bulaşmış cihazlardan sızdırıldı. Bu veriler, tehdit aktörleri tarafından hesap ele geçirme, kimlik hırsızlığı ve finansal dahil olmak üzere çeşitli suç faaliyetleri için kullanılabilir ve sistemlere ve ağlara yetkisiz erişim sağlamak için kullanılabilir, bu da bir veri ihlaline veya fidye yazılımına yol açabilir. Bilgi hırsızları ile ilgili bir başka zorluk ise oldukça kolay kullanılabilir olmalarıdır genellikle saniyeler içinde kendilerini çalıştırır ve kaldırabilirler, bir saldırı izi bırakmazlar ve kurbanın cihazında karşılaşılan saldırı türü hakkında bilgilendirecek hiçbir adli iz bırakmazlar.
TAHMİN EDİLEMEYECEK ZARARLARA YOL AÇABİLİR
Laykon Bilişim Operasyon Direktörü Alev Akkoyunlu, e-ticaret sitelerine yönelik bu tür saldırıların perakende, finans ve elektrik-elektronik sektörlerinde daha yaygın olduğuna işaret ederek, "Perakende sektörü, müşteri ve ödeme bilgileri gibi değerli verilerin hedeflenmesi nedeniyle sıkça saldırıya uğrarken, finans sektörü hassas finansal verilerin korunması gerektiği için yüksek risk altında oluyor. Elektrik-elektronik sektörü ise özellikle Ar-Ge bilgileri, patentler ve hassas teknik verilerin hedef alınması nedeniyle saldırıya en çok saldırıya uğrayan sektörler arasında. Bu sektörlerde faaliyet gösteren işletmelerin veri güvenliğini sağlamak için çeşitli önlemler alması kritik önem taşıyor" diyor.
Bir şirketin üst düzey bir yöneticisinin veya çalışanının e-mail bilgilerini ele geçiren siber saldırganların, tahmin edilemeyecek boyutta zararlara yol açabileceğinin altını çizen Akkoyunlu, "Şirket mailinde yer alan kurum için gizli verilere, finansal bilgilere ya da müşterilerin kimlik numarası, kredi kartı bilgileri, ev adresleri gibi önemli bilgilere erişim sağlayabilirler. Bir üst düzey yöneticinin e-posta adresinden finans departmanına kendi hesabına para göndermesini talep edebilir, potansiyel adaylara sahte iş teklifleri yaparak kişilerin kimlik bilgilerini ve sosyal güvenlik numaralarını ele geçirebilir. Bu tür saldırılar şirkette büyük finansal kayıplara, oluşan itibar kaybıyla birlikte mevcut ve potansiyel müşterilerin markaya karşı güvensizlik duymasına yol açabilir" diyor.
E-POSTA GÜVENLİĞİ EĞİTİMİ ŞART
E-ticaret sektöründe şirketlerin ve işletmelerin çalışanlarına e-posta güvenliği eğitimi vermesinin, kimlik avı saldırılarına karşı riskleri azaltacağına değinen Akkoyunlu şunları aktarıyor:
"Saldırganlar çoğunlukla, şirket çalışanlarının ya da işletmelerin e-posta bilgilerini ele geçirmek için tıklandığında kişinin bilgilerini açığa çıkaran kötü amaçlı linkler gönderir. Bir e-posta geldiğinde gönderen kişiden teyit alınması, yazım hatalarına dikkat edilmesi ve içeriğin şüpheci bir göz ile incelenmesi gerekir. Link adreslerinde yapılan harf değişikliklerine benzer şekilde e-posta adreslerini de kontrol etmeniz, siber saldırıya uğramamanız noktasında önemli. E-posta içerisinde yer alan şüpheli URL linklerine tıklanmamalı ve tanımadığınız kişilerin e-postaları dikkate alınmamalı. Çünkü saldırganlar, adreslerini resmi sitelere çok benzer isimlerle belirler. Bağlantı linkinin adres çubuğunda kilit işaretinin olması, URL'nin https ile başlaması ve internet sitelerindeki pop-up'lara temkinli yaklaşılması gerekir. Ek olarak, e-posta güvenliği çözümleri sunan uygulamaları kullanarak şüpheli linklerden ve eklerden gelecek risklerin önüne geçebilirsiniz. Ayrıca bankacılık uygulamalarından aşina olduğumuz 2FA özelliği, giriş yapılan tüm platformlarda aktif hale getirilmeli. Giriş şifresinin yanı sıra telefonunuza gelecek yeni şifreyle birlikte parolaların kullanılması, güvenlik seviyesini maksimuma çıkaracaktır."
EN ÇOK MARUZ KALINAN SALDIRILAR
E-ticaret sitelerinde satış yapan işletmelerin en çok maruz kaldığı siber saldırılar arasında kimlik avı (phishing) saldırıları, kötü amaçlı yazılım (malware) saldırıları ve veri ihlallerinin yer aldığını belirten Akkoyunlu, "Kötü amaçlı yazılımların işletmeler tarafından indirilmesi, sistemlere zarar verebileceği gibi işletme e-posta bilgilerinin açığa çıkmasına neden olabiliyor. Veri ihlalleri ise müşteri bilgileri ve ödeme detayları gibi hassas verilerin çalınmasına neden oluyor. Bu durum işletmenin itibarını etkileyerek müşteri kaybına yol açıyor ve finansal kayıpların oluşmasını sağlıyor. Türkiye'nin en çok maruz kaldığı siber saldırı türü zaman zaman çeşitli faktörlere bağlı olarak değişebiliyor. Ancak, genellikle fidye yazılımı saldırıları ve kimlik avı (phishing) saldırıları gibi yaygın siber tehditlerin, Türkiye'deki kurumlar ve bireyler için önemli riskler oluşturduğunu görüyoruz. 2024 yılının ilk çeyreğinde, 3 kıtada 7.335 katılımcı ile gerçekleştirdiğimiz araştırma, ülkemizde sıklıkla karşılaştığımız saldırı çeşitlerinin dünyada da yaygın olduğunu ortaya koyuyor. Elde edilen bulgulara göre SMS dolandırıcılıkları yüzde 45,4 oranında en yüksek saldırı yöntemi olarak öne çıkıyor. Bunun yüzde 44'lük kısmını da dolandırıcılık girişimleri takip ediyor. Dolandırıcılık girişimlerinin yüzde 42'sini kimlik avı e-postaları, yüzde 27,5'ini veri ifşası, yüzde 16,4'ünü kötü amaçlı yazılım bulaşması, yüzde 9,2'sini doxxing oluşturuyor" diye konuşuyor.
ÇALINTI E-POSTALAR İLE SOSYAL MÜHENDİSLİK YAPABİLİRLER
E-ticaret pazaryeri siteleri, finansal hizmetler, sağlık ve eğitim kurumlarının istismara en açık sektörler arasında olduğunu dile getiren Timus Siber Güvenlik Türkiye Genel Müdürü Artuğ Tikiç, "E- ticaret kanallarında satıcıların hesap bilgilerinin çalınması muhtemel risk taşırken, finansal hizmetlerde banka hesap bilgileri, kredi kartı bilgileri ve diğer finansal veriler hedeflenir. Sağlık kurumlarında hasta bilgileri, tıbbi kayıtlar ve sigorta bilgileri gibi hassas verilerin çalınması bir tehdit unsuru oluştururken, eğitim kurumlarında ise, öğrenci ve personel bilgileri hedef alınabilir. Stealer'lar genellikle kullanıcıların bilgisayarlarına ulaşarak veri toplamak ve çalmak için tasarlanmıştır. Bu nedenle, kullanıcıların dikkatli olması ve güvenlik önlemlerini güncel tutması önemlidir" diyor. Mail bilgilerinin çalınması halinde, şirketlerin kimlik avı (phishing), bilgi sızıntısı, finansal kayıplar ve itibar zedelenmesi gibi zararlar ile karşı karşıya kalabileceğine değinen Tikiç, "Öncelikle, e-posta adreslerini ele geçiren bir saldırgan, şirket içindeki veya dışındaki kişilere spam veya kötü amaçlı yazılımlar içeren e-postalar gönderebilir. Bu, şirketin itibarını zedeleyebilir ve müşteri güvenini azaltabilir. Buna ek olarak, e-posta adreslerini ele geçiren saldırganlar, sosyal mühendislik saldırıları düzenleyebilirler. Bu tür saldırılarda sahte e-postalar veya dolandırıcılık girişimleriyle, çalışanlar veya müşteriler kandırılarak hassas bilgiler ifşa edilebilir veya para transferleri gerçekleştirilebilir. Ayrıca, e-posta adreslerinin çalınması, hedeflenmiş bir saldırı için birinci aşamayı oluşturabilir. Saldırganlar, bilgisayar korsanlığı veya ağ penetrasyonu gibi daha sofistike saldırılar için de e-posta adreslerini kullanabilirler" diye konuşuyor.
GÜVENLİK DUVARI KULLANIN
E-ticaret şirketlerinin ve pazaryeri satıcılarının e-posta güvenliğine ve veri koruma politikalarına büyük önem vermeleri ve sürekli olarak güvenlik önlemlerini güçlendirmeleri gerektiğinin altını çizen Tikiç, şunları aktarıyor:
"Bu noktada, güvenlik duvarı (firewall) kullanmak, büyük önem taşır. Berqnet Firewall cihazları, interneti güvenli hale getirmek için kullanılır. Bu cihazlar, web ve uygulamaları filtreleyerek kötü amaçlı yazılımların sisteme girmesini engeller. Ayrıca, güvenli VPN bağlantısı sağlayarak verilerin güvenli bir şekilde iletilmesini sağlar. Bu sayede, kullanıcılar interneti daha güvenli bir şekilde kullanabilirler. Ayrıca çalışanlar tarafından güçlü parolaların kullanılması ve iki faktörlü kimlik doğrulamanın (2FA) etkin bir şekilde uygulanması, hesaplara yetkisiz erişimi önlemede etkili bir yöntem olacaktır. Siber güvenlik zafiyetlerinin yüzde 90'ı insan kaynaklıdır. Bu nedenle şirketlerde tüm çalışanların siber güvenlik konusunda bilinçlendirilmesi ve periyodik olarak eğitimlerin düzenlenmesi gereklidir. Genellikle bilgisayar korsanları tarafından kullanıcıların bilgisayarlarına bulaştırılarak kullanıcı bilgileri, kripto para cüzdanları, tarayıcı bilgileri ve diğer farklı türde verileri çalmak amacıyla tasarlanan stealer yazılımlar arasında çeşitli türler yer alıyor. Siber tehditler; kötü amaçlı yazılımlar (virüs, casus yazılım vb.), kimlik avı (phishing), hizmet engelleme (denial of service, DoS), veri sızdırma ve yetki çalma saldırıları gibi farklı başlıklarla örneklendirilebilir."
BULAŞMA RİSKİNİ AZALTMAK İÇİN NE YAPMALI?
ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban, stealer'in bulaşma riskini azaltmak için şunları öneriyor…
İsmail SAYGILI/ Seccops Siber Güvenlik Genel Müdürü
"Hassas verilere erişim sağladıkları için hedefteler"
Stealer'lar, genellikle finansal kazanç elde etmek amacıyla kullanıldıkları için e-ticaret, finans, sağlık ve teknoloji sektörleri yaygın olarak hedeflenmektedir. Özellikle e-ticaret siteleri ve pazaryeri platformları, kullanıcı bilgileri ve ödeme bilgileri gibi hassas verilere erişim sağladıkları için saldırganların hedefinde olmaktadır. Bir mail erişim bilgisi çalındığında, saldırganlar bu bilgileri çeşitli şekillerde kötüye kullanabilmektedir. Elde edilen e-posta erişim bilgileriyle; E-posta kutusuna erişim sağlandıktan sonra yazışmalar arasında önemli belgelere, sistem ve uygulamaların erişim bilgileri, kişisel bilgiler gibi çeşitli hassas bilgilere ulaşılabilir. Dolayısıyla ayrıca veri sızıntısı da yaşanabilir. Erişim sağlanan e-posta üzerinden phishing (kimlik avı) saldırıları gerçekleştirilebilir. BEC (Business Email Compromise) saldırısı organize edilerek finansal kayıp yaşanabilir. Genelde kurumsal şirketlerde merkezi kimlik yönetimi uygulandığı için saldırgan, elde edilen mail erişim bilgisiyle işletmenin VPN, CRM ve dosya paylaşım sunucusu gibi çeşitli diğer platformlarına da aynı bilgilerle erişim sağlayarak onlar üzerinden ilerlemek suretiyle Ransomware (fidye yazılımı) gibi sofistike saldırılar da gerçekleştirebilmektedir. E-ticaret yapan site sahipleri veya pazaryeri satıcılarının bu konuda dikkat etmeleri gereken bazı noktalar var. Güçlü parola seçimi ve sık sık parolaların yenilenmesi, platformların sağladığı iki faktörlü koruma özelliğinin kullanılması, işletim sistemini güncel tutmak, anti-virüs yazılımı kullanmak, bilinmeyen kaynaklardan yazılım indirilmemeli ve sadece güvenilir, güncel yazılımlar kullanılmalıdır. Stealer'lar, genel olarak benzer özelliklere sahip olmakla birlikte şu anda saldırganlar tarafından sıklıkla tercih edilen popüler Stealer yazılımları; RedLine, Lumma, Stealc, RisePro, Meta ve Vidar.
Avukat Özge Evci ERALP/ E-Safe Sözcüsü
"Kendilerini tedarikçi gibi gösterebilirler"
E-posta hesapları, birçok şirketin iletişiminin, ticari sırlarının, finansal bilgilerinin ve kişisel verilerinin tümünü içeren ve büyük miktarda değerli veri içeren yerler. E-posta hesabının ele geçirilmesi ile şirketin tüm işlerinin durma noktasına geleceği ve tüm bilgilerinin başkalarının eline geçeceği gerçeği bir yana dursun, hiç fark ettirmeden ciddi dolandırıcılıklar da yapılabiliyor. Örneğin, şirkette bir kişi kullandığı kurumsal e-posta adresinden her zamanki gibi yazışmalarını yapıyor. Bu sırada bir tedarikçiye ödeme yapılması için ödeme bilgileri isteniyor. O sırada, bir süredir e-postaları sinsice takip eden hackerlar araya girerek, kendilerini tedarikçi gibi gösterip kendi ödeme bilgilerini veriyorlar. Böylece ödeme gerçek tedarikçiye değil de, hackerlara gidiyor. Yazışmayı yapan kişi akışta, karşı tarafta kendisine ödeme bilgilerini veren kişinin hacker olduğunu fark etmiyor. Buna ortadaki adam saldırısı (man in the middle) deniyor. Bu gibi çok sayıda yöntem var. E-ticaret sitelerine burada büyük bir görev düşüyor. Öncelikle kullanıcı güvenliği için gerekli tedbirleri almalılar. Bu noktada, Kişisel Verileri Koruma Kurulu'nun 15.02.2022 tarihinde yayınladığı kullanıcı güvenliği için alınması gereken tedbirlere ilişkin kamuoyu duyurusu dikkate alınmalı. Buna göre, veri sorumluları, iki faktörlü doğrulama, captcha, hesap doğrulama, farklı IP'den girişleri bildirme, şifre denemelerini sınırlandırma, güçlü şifreleme gibi tedbirleri almak zorunda. Bunlar, kullanıcının tercihine bağlı değil zorunlu kullanılan tedbirler olmalı. Bunun yanı sıra, e-ticaret sitelerinde, ödemelerin geçeceği banka hesaplarının satıcı bilgileri ile eşleşmesine dikkat edilmeli, kötüye kullanımları ve sıradışı hareketliliği tespit eden uyarı sistemleri kurulmalı.
Alper ONARANGİL/ WatchGuard Türkiye ve Yunanistan Satış Mühendisi
"Her yıl daha fazlası yaratılıyor"
Stealer'lar, genellikle finansal hizmetler, e-ticaret, sağlık sektörü ve eğitim gibi veri odaklı ve yüksek değerli bilgilerin yer aldığı sektörlerde yaygın olarak istismar edilir. Özellikle yapay zekanın desteği ile bu e-posta adreslerine ilgili e-ticaret veya finans kuruluşlarından iletilmiş gibi gösterilen e-postalar göndererek kullanıcılardan şifre sıfırlama, kimlik bilgisi girme gibi yanıltıcı e-postalarla diğer bilgiler toplanabilir. Bununla birlikte, sosyal mühendislik veya password stuffing gibi saldırılar ile kullanıcılara ait şifreleri tespit etmeye çalışabilirler. E-ticaret site sahibi veya pazaryeri satıcılarının tespit, önleme ve müdahaleye dayalı stratejiler, hırsızlık amaçlı kötü amaçlı yazılımların etkilerini önemli ölçüde azaltabilir. Kullanıcı hesap listelerinin düzenli olarak gözden geçirilmesi, Çok Faktörlü Kimlik Doğrulama (MFA) ve sıkı erişim kontrolleri saldırganların kalıcı erişim elde etmesini önleyebilir. Piyasada çok sayıda stealer mevcut ve her yıl daha fazlası yaratılıyor. Popüler olanlara bakacak olursak:
RedLine: Kayıtlı kimlik bilgilerini, otomatik doldurma verilerini ve bankacılık bilgilerini çalan bir kötü amaçlı yazılım.
Raccoon Stealer: Otomatik doldurma günlüklerini, kripto para cüzdanlarını ve daha fazlasını hedef alan bir Rus şifre hırsızı ve kripto hırsızı.
Vidar: Bir bilgisayar virüsü aracılığıyla hassas bilgileri çalabilen bir trojan zararlı yazılımı. Bu üç infostealer tehdidi arasında Vidar en eskilerinden biridir. Arkei stealer'ın bir klonu olarak kabul edilir ve 2018 yılından beri aktiftir.
Rhadamanthys, LummaC2, META stealer ve StrelaStealer gibi yeni türevler de karşımıza çıkmaktadır. Maalesef bu stealer'lar darkweb üzerinden 150-200 USD gibi cüzi ücretlere temin edilebilmekte ve bu sebeple yaygın bir şekilde karşılaşmaktayız.
Mehmet Ertan ERDOĞAN/ ITserv Technology CEO'su
"Saldırganlar için cazip hedef"
E-ticaret ve pazaryeri platformları gibi dijital ticaretin yoğun olduğu sektörler Stealer'lar tarafından yaygın olarak istismar edilmekte. Bu tür platformlarda yer alan satıcılar ve işletmeler hem müşteri bilgilerini hem de kendi ticari bilgilerini korumak zorunda olduklarından, saldırganlar için cazip hedefler oluşturuyor. Mail bilgileri, bir şirketin dijital varlıklarına erişim sağlamak için kritik bir öneme sahiptir. Saldırganlar, çaldıkları mail bilgilerini kullanarak şirket içi iletişimlere, müşteri ve iş ortakları ile yapılan yazışmalara erişebilir. Bu durum, hem maddi hem de itibar kaybına yol açabilir. Özellikle finansal bilgilerin ve ticari sırların ifşa edilmesi, şirketin rekabet avantajını kaybetmesine neden olabilir. E-ticaret site sahipleri ve pazaryeri satıcıları, güçlü şifre politikaları uygulamalı, iki faktörlü kimlik doğrulama kullanmalı ve düzenli olarak güvenlik yazılımlarını güncellemelidir. Günümüzde en yaygın stealer'lar arasında "RedLine Stealer", "Raccoon Stealer" ve "Vidar" gibi zararlı yazılımlar var. Bu tür yazılımlar, kullanıcıların tarayıcılarında saklanan şifreler, kredi kartı bilgileri ve diğer kişisel verileri çalarak, saldırganlara iletir. Bu nedenle, işletmelerin ve bireylerin siber güvenlik önlemlerini en üst düzeyde tutmaları önemlidir.
