2021 Kimlik Avı Saldırıları

5400 BT uzmanının katıldığı, kimlik avı saldırılarına karşı çalışanların durumlarını ortaya koyan bir güvenlik anketi gerçekleştirdi.

Kimlik avı saldırıları, bir diğer deyişle ‘’oltalama saldırıları’’ hala en etkili saldırı biçimlerinin başında gelmektedir.

Her Kimlik Avı Saldırısı Aynı Mıdır?

İlk olarak kimlik avı saldırıları nelerdir, buna bir göz atmakta fayda var. Zira yapılan anketlerde BT uzmanlarının arasında bile büyük görüş farklılıkları göze çarpmakta. %57 gibi bir oranla en çok kabul gören saldırı tipi, bir resmi kuruluşu taklit ederek gelen ve genellikle bir tehdit veya bilgi talebini barındıran e-postalardır.

İkinci sırada ise %46’lık bir oranla, uzmanlıkla hazırlanmış ve içerisinde zararlı içeriklerin bulunduğu e-postalar, bir kimlik avı olarak görülmektedir.

                Bir BT çalışanı ile BT dışındaki pozisyonlarda çalışanların kimlik avı saldırı algılarının farklı olması gayet normaldir. Her ne kadar tam anlamıyla farkındalık sağlanamasa da, BT çalışanlarının bu konudaki algılarının farklı departman personellerine oranla daha yüksek olduğunu anlamak çok da zor değil. Bilgi Güvenliği çalışanları olarak ilk hedefimiz, kurum içerisindeki eğitimleri ve denetimleri sıklaştırarak BT dışı çalışanların da algılarını açmak, yorum kabiliyetlerini geliştirmektir.

                Peki tek saldırı türü gerçekten e-postalar mıdır? Eğer konu güvenlik ise bu kadar keskin düşünmemelisiniz. Kültürel farklılıklar güvenlik algılarımız üzerinde oldukça büyük bir etkiye sahiptir. Bir örnek ile açıklamak gerekirse; Türkiye, içeriği markalardan gönderilmiş gibi duran her 100 SMS kimlik avı saldırılarının 56’sını açarak ikinci sırada yer almaktadır. Birinci sırada ise %60’lık bir oran ile İsrail yer alır.

Pandemi Sürecinde Kimlik Avı Saldırıları

                Pandemi sürecinin kurum içi haberleşmeyi büyük ölçüde etkilediğini bir çoğumuz kabul etmekteyiz. Uzaktan çalışma metodumuzda artık satış raporlarını telefon ederek veya kişinin masasının yakınından geçerken değil, e-posta ile talep eder olduk. Artık satış temsilcilerimizle sohbetimizi ayak üstü, birer kahve içerek değil, online bir etkinlikten sonra e-postamıza gelen bir Starbucks kuponundan evimize söylediğimiz kahvemizi içerken ya mailleşerek ya da telefonda konuşmasıyla gerçekleştiriyoruz.

Bu süreçte Mail kutumuzda okunmayı bekleyen ileti sayısı oldukça ürkütücü. İşte bu bağlamda ankete katılan katılımcıların %70’i pandemi başladığından bu yana kurumlarına karşı gerçekleştirilen kimlik avı saldırılarında ciddi oranda artış olduğunu bildirmekte. Bu artış tüm sektörlerde etkisini gösterirken, en yüksek artışın %77 oranla hükümet ve hükümet organlarında gerçekleştiği, bunu %76 oranla profesyonel hizmet veren kurumların ve %73 oranla sağlık hizmetlerinin takip ettiği rapor sonuçları arasında yer almaktadır.

Ülke bazında değerlendirecek olursak İsrailli katılımcıların %90’ı kimlik avı saldırılarının arttığını dile getiriyor. Bunu %88 ile Avusturya ve %87 ile İsviçre takip ediyor. Türkiye, %69 oranla listenin üst sıralarında yer alıyor.

                Birçok kurum COVID-19 pandemisinden önce zaten bir kimlik avı korumasına sahipti. Bu bir nebze de olsa iyi haber… Kötü haber ise bu sistemlerin birçoğunun eski ve güncelliğini kaybetmiş durumda olmaları. Saldırı tiplerinin hız kesmeden değiştiği bu şartlarda, bu eski ve güncel olmayan koruma sistemleri, sadece basit bir hacker adayının girişimini engelleyebilir.

Örnek Bir Hikâye

                Oltalama saldırıları, siber saldırılarının başlangıç kısmında yer alır. Saldırgan ilk olarak geniş bir tarama ve filtreler ile kurbanın iletişim adresini bulur ve tuzaklar kurarak avını beklemeye başlar. Burada ilk tuzağı kimlik avı saldırılarıdır. Örnek hikayemizde içeri sızmayı başaran saldırgan, sadece 3 ay içerisinde 2,5 Milyon USD değerinde bir saldırı gerçekleştiriyor.

                Saldırının geçmişine bakıldığında 3 ay öncesinde bir çalışana oltalama maili geldiği anlaşılıyor. E-posta incelendiğinde aynı kurumdaki başka bir çalışanın e-posta adresinin taklit edildiği fark ediliyor. E-postayı alan kişiye ilgili durum sorulduğunda, e-posta içerisindeki bağlantıya tıkladığını ama bir işlem gerçekleştirmediğini dile getiriyor.

                İlgili kişinin e-posta içerisindeki bağlantıya eriştiğinde sunucudan istemciye doğru çalışan bir saldırı komut dizisi ile hedef kişinin erişim bilgilerini ele geçirdiği, ardından gözlerini domain admin kullanıcısına çevirip ve çalışmaya başladığı görülmüştür.

                Ancak saldırganların, avlarının izini sürebilmesi için iç ağda kalıcı olmaları gerekmektedir. Bu süreçte çeşitli yöntemler ve yazılımlarla iç ağda kendilerini biraz gizledikleri aşikardır.

                Kurumun IT ekibi olayı fark etmesinin akabinde ilk olarak sızılan bilgisayarı kapatmıştır. Bu saldırganlar için işin sonu gibi gözükmektedir. Fakat 8 hafta sonrasında saldırganlar, hedef bilgisayara tekrardan erişim gerçekleştirerek iki farklı aracı uzaktan kurarak çalıştırmışlardır. Bunlardan biri iç ağın tüm haritasını çıkarmayı, diğeri ise ağda gizli olarak kalmalarını sağlayacaktır.

Saldırganların keşif hareketlerinden sonraki iki hafta boyunca hiçbir etkileşim gerçekleşmemiştir. Bu da BT çalışanları tarafında tehlikenin geçtiğine dair bir izlenim bırakmıştır. Bu algının gerçekleşmesinden sonra saldırganlar bir gece vakti tekrardan harekete geçmiş ve iç ağda erişebildikleri tüm makinelere sızmaya başlamışlarıdır. Düşünebileceğiniz gibi o saatlerde hala çalışmakta olan ve erişimi bulunan makinelerin hepsi kritik seviyedeki sunuculardır. Böylece saldırganlar asıl hedeflerine giden yolda gereksiz makineleri geçerek, hedeflerine daha hızlı bir biçimde erişim sağlamış olmaktadır.

Böylece basit bir kimlik avı saldırısından ortalama 3 ay sonra geceyi sabaha bağlayan saatlerde fidye yazılımını serbest bırakarak 2,5 Milyon USD’lik bir saldırıyı tamamlamışlardır.