Selamün Aleyküm degerli CW ailesiHi-Tech Suç Trendleri HaberciÖnemli BulgularRansomwareFidye yazilimlari , Group-IB’nin 2016 yillik raporunda özetlenen tahminleri dogrulayarak dünya genelinde ilerleyisini sürdürdü.
Hackerlar, NSA cephanelerinden araçlar ve exploitler ele geçirdiler. Bu araçlarla fidye yazilimi özelliklerini birlestirip kurumsal
aglarda kendini yayarak küresel salginlara yol açtilar. WannaCry ve NotPetya en basta gelen örnekler.
Sifreleme tabanli fidye yazilimlari suan hem bagimsiz hacker gruplari tarafindan, hem de saldiri izlerini sürmek ve dikkat çeken
hedefli saldirilarda dikkati dagitmak için devlet destekli siber suçlular tarafindan kullanilmakta.
Kisisel bilgisayarlari ve mobil cihazlari hedef alan fidye yazilimlari büyük ölçüde degismedi.
Casusluk ve Sabotaj için Kritik Altyapilara yapilan SaldirilarAmerika ile Kuzey Kore, Hindistan ile Çin, Pakistan ile Hindistan, Rusya ile Ukrayna arasindaki jeopolitik uyusmazliklar, sabotaj
savaslari ve siber casuslukta artisi da beraberinde getirdi. Inaniyoruz ki bu sadece saldiri sayisinda artisa degil ayni zamanda
bu yeni çatismalar saldirganlarin hedeflerinde degisikliklere neden oldu.
Bazi ülkelerde, bankalar ulusal kritik altyapinin bir bileseni olarak görülüyor. Devlet destekli hackerlarin banka sektörüne
saldirmasinin iki sebebi; istihbarat bilgileri toplamak ve hedefteki bankalarin çalismasini aksatmak. Örnegin bu yilin basindan
beri Ukrayna, banka bilgilerinin yok edilmesi ve banka operasyonlarinin aksatilmasina yönelik iki saldiriya maruz kaldi. Lazarus
Kuzey Kore hacker grubu, casusluk ve hirsizlik için dünya çapinda en büyük ve merkezi bankalari hedef aldi.
BlackEnergy isimli grup finans ve enerji sirketlerine saldirilarina devam ediyor. Bu grup, elektrik hatlarinin fiziksel olarak açilip
kapanmasindan sorumlu Uzak terminal birimlerine (RTU) uzaktan kontrole izin veren yeni araçlar kullaniyor. 2017 yaz
döneminde Ingiltere ve Irlanda merkezli enerji üreten sirketlere yönelik test saldirilari görüldü.
The NotPetya saldirisi Haziran 2017’de basladi, ve petrol gaz sirkeleri ve finansal kurulaslarinda iç isleyislerin kesintiye
ugramasiyla sonuçlandi. Bu saldiri bazi rafinerilerde geçici olarak üretimi durdurdu.
Donald Trump’un süpriz seçim kazanmasi, bilgisayar korsanlarinin siyasi kampanyalarin sonuçlarini etkileyebilme yetenegi
üzerine tartismalar baslatti. Politikacilar ve devlet kurumlarina yapilan saldirilarin yani sira casusluk ve istihbarat toplama
herzaman var olmus olsa da, günümüzde bu saldirilar, seçimleri ve diger siyasi süreçleri etkilemek için medyaya yapilacak
potansiyel girisimlerle baglantilidir. Bu, güvenlik uzmanlarinin seçim süreçlerinin güvenilirligini ve güvencesini saglamak için
kullanilan sistemleri ve teknolojileri iyice kontrol etmelerini saglamistir.
Banka ve Ödeme Sistemlerini Hedef alan SaldirilarGeçmiste Rusya bankalarina saldiran tüm yasadisi gruplar, kademeli olarak dikkatlerini diger ülkelere yönelttiler: ABD, Avrupa,
Latin Amerika, Asya ve Orta Dogu ile birlikte Rusya’da finansal kurumalara yönelik basarili saldirilara tanik olduk.
Dünya çapinda finansal kurumlari hedef alarak saldirilar yapan, Rusça konusan bir hacker grubu olan MoneyTaker isimli grup,
Kuzey Amerika’daki küçük bankalari hedef aldi. Hatta bu bankalardan birini iki defa soydu.
Cobalt en saldirgan ve aktif gruplardan biri. Sürekli degisen ilgi alanlari ile bankalar, ödeme sistemleri ve bilisim sirketleri gibi
genis bir hedef yelpazeleri var. Bir dizi uluslararasi saldiri ile önce BTD ülkelerine odaklandilar fakat sonra belirli bir bölgeye
odaklanmaksizin saldirilarina devam ettiler.
Bu yil MoneyTaker ve Cobalt öncelikli olarak ATMleri daha sonra kart isleme sistemlerini hedef aldilar. Saldirilari sirasinda,
uluslarasi finansal iletisim sistemi SWIFT’e bagli bilgisayarlara erisim sagladilar fakat bu bankalar arasi fon transfer sistemi
üzerinden para çalmak için hiçbir girisimleri tespit edilemedi.
Bir hacker grubu, SWIFT’e benzer bir sistem olan AWS CBR (Rus Merkez Bankasi otomatik is istasyonu istemcileri) üzerinden
para çalmak için otomatiklestirilmis bir sistem gelistirdi. Fakat bu sadece bir kere kullanildi.
Kurumsal aglarda kontrolü ele geçirmek için, Siber suçlular öncelikle pentestler için mesru araçlari kullaniyor - Metasploit ve
Cobalt Strike.
Hackerlar tespit edilen tüm saldirilarda gizli iletisim kanallarini kullandi. Bu kanallari kurmak için çogunlukla Plink ve
AmmyAdmin gibi mesru araçlari kullandilar.
DNS protokolü simdi kötü niyetli yazilimlari kontrol etmek için ve siber suçlularin ag trafigi analiz sistemlerini bypass etmelerine
izin veren payloadlar sunmak için daha siklikla kullanilmaktadir.
Self servis ödeme terminallerinin isleyis sistemleri, hedefli saldirilarla ilgilenen hackerlar için baska bir yeni bir hedef haline
geldi. ATM, kart isleme ve SWIFT istasyonlarinda geçerliligi kanitlanmis tekniklerle bu ödeme terminali isleme sistemlerine
erisim sagladilar. Ancak para aklamak için farkli kanallar kullaniyorlar.
ATM’lere ve kart isleme sistemlerine odaklanilmasi, bir siber saldiridan kaynaklanan ortalama kayip miktarini azaltti. Ancak
saldirganlarin nakit para çekme islemlerini gerçeklestiren ‘money mules’ için daha güvenli olan saldirilari gerçeklestirmelerini
sagladi.
Saldirganlari bir sehirde, saldirilan banka baska bir sehirde ve nakit çekilme islemi üçüncü bir konumdan gerçeklesiyor.
E-posta kimlik avi, finansal kurumlarin aglarina ilk giris için kilit rol olmaya devam etmektedir.
Bazi bankalar güvenilir anti-phishing araçlari kullanmasina ragmen, çalisanlar is istasyonlarinda genellikle kurumsal güvenlik
araçlari tarafindan korunmayan kisisel e-postalarini kontrol eder. Bu kusur, suçlular tarafindan kullanilir. Bilgisayar korsanlari,
bir dizi bankaya saldirmak için, mesai saatleri içerisinde zararli eklenti içeren postalar göndermek üzere banka çalisanlarinin
kisisel e-posta adreslerini topladi.
Group-IB kadrosu, bankalara yönelik hedefli saldirilar sirasinda takibi ve olay tepkisini karmasiklastirmak için yeni bir yöntem
tespit etti. Saldirganlarin disklerdeki verileri sifrelemek ve izlerini örtmek için fidye yazilimlarinda kullandiklari yöntemde budur.
Banka Müsterilerine SaldirilarGrup sayisi ve buna bagli olarak Rusya sirketlerinden hirsizlik yapmayi amaçlayan saldiri sayisi, önceki döneme kiyasla
neredeyse %50 azalmistir. Ancak, ortalama kayip artmistir ki bu da hackerlarin kurbanlarini artik daha dikkatli seçtiklerini
göstermektedir.
Önceleri dünya çapinda siber saldirilarda kullanilan, Corebot ve Vawtrak pazardan ayrildi. Corebot gelistiricileri desteklerini
durdurdular. Vawtrak’in bas gelistiricisi tutuklandiktan sonra bu zararli yazilim ortadan kayboldu.
Her ay, Rusça konusan bilgisayar korsanlari para çalmak için tasarlanmis 1-2 yeni kötü amaçli yazilim üretiyor. Uzmanlar 6 yeni
PC Trojani tespit etti. Bunlardan en çok duyulani TrickBot. Android için 12 adet yeni bankacilik trojani ortaya çikti. Ayrica POS
terminallerini hedef alan, mevcut eski sürümleri halen gelistirilmekte ve gelistirilmis özellikleri ile yaygin sekilde kullanilmakta
olan 3 adet yeni trojan tespit edildi.
Fon çalmak için ortaya çikan 22 adet yeni zararli yazilimdan 20 tanesi, yani %91’i Rusça konusan bilgisayar korsanlari
tarafindan üretildi ve kontrol ediliyor.
Bu yilin basinda, SS7 protokollerini kullanarak hirsizlik için yeni bir yöntemin ilk vakalari görüldü. Almanya’daki banka
hesaplarina yapilan saldirilar sirasinda, SS7’de bulunan çagri yönlendirme özellikleri sömürülerek, SMS mesajlarina bagli iki
asamali kimlik dogrulama mekanizmasini atlatildi.
Rusya’da, tüzel kisileri hedefleyen bankacilik botlarinin sahipleri, uzaktan denetim araçlari ve 1C muhasebe sistemleri yoluyla
otomatik tranferler lehine, tarayici tabanli saldirilari kullanmayi tamamen birakti.
Bazi bilgisayar konsanlari, web injectionlarda kullanmak üzere verileri yakalamak ve manipule etmek için trafigi C&C
sunucularina yönlendirmeyi tercih etmektedir.
Buhtrap Trojaninin sahipleri, botnetlerinin üzerindeki kontrolü diger tehdit unsurlarina devretti. Daha sonra devralan
saldirganlarin taktigi degisti, artik onlarin ana zarar verme yönelimi, spam göndermek yerine finansal ve hukuk firmalari
kaynaklari da dahil olmak üzere yasal websitelerine saldirmak.
Rusya’da Android bankacilik trojanlarinin yol açtigi kayip miktari %136 artti ve kisisel bilgisayarlardaki trojanlarin yol açtigi
kayip miktarini %30 asti.
Android bankacilik trojanlari sahislara yönelik saldirilarina hala devam ediyor. Bu yönelimde sirketlere yönelik saldiri tespit
edilmedi.
Android Botnet sahipleri banka hesaplerindan para çalmak için Apple Pay sistemini kullanmaya basladi.
Bankalar ve ödeme sistemleri üzerinde Kimlik Avi otomatiklestirildi ve gerçek zamanli yürütülüyor. Bu da saldirganlarin SMS
onaylarini atlatarak imkan sagliyor. Rusya’da her gün 900 den fazla müsteri finansal Kimlik Avi kurbani oluyor ki bu da günlük
zararli yazilim kurbani sayisinin 3 kati. Ancak kimlik avinin yol açtigi kayip miktari zararli yazilimlarin yol açtigi kayip
miktarindan onlarca kat daha düsük.
Ortalama olarak, finansal kimlik avi sitelerini ziyaret edenlerin %10-15’i bilgilerini giriyor.
Durumlarin %80’inde kimlik avcilari topladiklari bilgileri için Gmail hesaplarini kullaniyor, Rus arama motoru Yandex ve Mail.ru
hesaplari ise sadece %6 oraninda kullaniliyor.
Cryptocurrency Servislerine SaldirilarCryptocurrency ve Blockchain teknolojilerinden sikça söz edilmesiyle ICO’lari (Initial Coin Offering) yeni bir dijital altina hucum
ilgisi görmesi, saldirganlarin bu yönde olan saldirilari katlanarak artmasina sebep oldu. 2017’de cryptocurrency platformlari ve
kullanicilarina yönelik pek çok basarili saldiri gerçeklesti.
Cryptocurrency alisverislerine yönelik saldirilar, bankalara yönelik hedefli saldirilarda kullanilanlara benzer veya bazen ayni
yöntemler ve araçlar kullanilarak yapilir.
Dolandiricilarin, ICO sirketlerinin sitelerini kopyalayarak kimlik avi için sahte siteler olusturmalari siklikla kullandiklari bir
yöntem. Kullanicilarin dijital cüzdanlarinin sifrelerini bu tür bir siteye girmesi sonucunda dijital paralari otomatik olarak
zahmetsizce çalinabiliyor.
Yeni kurulan ICO sirketleri website güvenligine gereken özeni göstermiyor. Saldirganlar bazi web sitelerine erisim saglayarak,
bir cüzdan adresini dolandiricinin cüzdan adresiyle degistirerek ICO’nun bir parça olarak aktarilan parayi topluyor.
Hackerlarin zararli yazilim kullanarak dijital cüzdan bilgilerini çalmasi ve para çekmesi olaylarinin sayisinda bir artis görüyoruz.
Yöntemler bankacilik uygulamalari kullanicilarina yönelik saldirilar için kullanilan yöntemlerle ayni.
Cryptocurrency-mining trojanlari Siber suçlular tarafindan bir süredir kullaniliyor. Fakat farkedilir sekilde sistemleri
yavaslatmasindan dolayi günden güne kullanimi azaliyor.
Hack Araçlarinin GelistirilmesiBirçok suç çetesi ve devlet destekli hackerlar Amerikan Devleti Kurumlarindan sizintilari nedeniyle cephanelerini zenginlestirdi.
CIA ve NSA araçlari WikiLeaks tarafindan yayinlandi ve Shadow Brokers tarafindan hizla malware ve pentest araçlarina
eklendi.
Zararli yazilim gelistiricilerinin çogu, programlarinin kaynak kodunu yayinlamaya basladi. Bu rapor döneminde TinyNuke isimli
bankacilik sektörünü hedef alan PC trojani, yine bankacalik sektorünü hedef alan android trojani Maza-in, Telegram
protokolünü kullanan RATAttack araç seti, Miria isimli DdoS trojani ve çesitli ransomwareler yayinlandi.
Geçen sene hackerlarin sadece bilgisayarlar ve mobil cihazlarla degil, IoT cihazlari ve routerlarla da ilgilendigi apaçik belli oldu.
Bu sene Android Trojanlarinin ve Exploit Kitlerinin, LAN üzerindeki routerlara eriserek kullanici trafigni manipule etmeye
odaklandigi tespit edildi. Az bir süre sonra da CIA’in Cherry Blossom aracini ayni amaç için kullandigi ögrenildi.
CopyCat, Gooligan ve Dresscode isimli Android trojanlarinin analizi neticesinde, Güvenlik uzmanlari, en büyük botnetlerin
asyada konumlandigini ve reklam göstermek üzere tasarlandigini tespit etti.
TahminlerKritik Altyapi Saldirilari ve AraçlariIddiaya göre devlet deslekli hackerlar tarafindan organize edilen WannaCry ve NotPetya saldirilari, kendini kurumsal aglarda
yayabilen etkili bir ransomwarenin ne kadar kolay yapilabildigini tüm dünyaya gösterdi. Maddi çikarlari için hareket eden hiçbir
grup bu sekilde bir saldiri gerçeklestirmedi. Salginin ölçegi, bulasma hizi ve kurbana verilen zarar, taklitçilerinin ile ardillarinin
ortaya çikmasina ve geleneksel, maddi çikarlariyla hareket eden siber suçlular tarafindan yeni saldirilar düzenlenmesine sebep
olacaktir. Baslangiçtaki ag girisimi vektörünü degistirerek daha ciddi zararlar verilmesine sebep olabilirler.
NotPetya, bir sablon olusturmanin bir sirket agi üzerinde kontorlü ele geçirmek için yeterli olabilecegini gösterdi. Gelecekte, pek
çok siber saldirinin keza hazir yapim basit araçlarin, kurumsal domainler üzerinde otomatik olarak konrolü ele geçirebilecegini
beklememiz gerekiyor. Eger bazi araçlar umuma açilirsa veya hackerlar tarafindan satisa çikarilirsa, bu kurumsal sektörde
yapilan saldirilarin artisinda bir çig etkisine neden olabilir. Öncelikle ,ransomware, gizli bilgilerin çalinmasi ve ifsa edilmemesi
için fidye istenmesi, para hirsizligi, maddi beklentisi olmayan hackerlar tarafindan halkin maruz kaldigi durumlari içeren daha
fazla olay bekliyoruz.
Zararli yazilim gelistiricilerinin, yazdiklari programlarin kaynak kodlarini yayinlamaya devam etme konusunda daha aktif
olmalarini bekliyoruz. Ek olarak, The Shadow Brokers ve onlarin potansiyel takipçileri tarafindan yayinlanan sizintilar, hemen
dogrudan dogruya zararli yazilim üretmek ve gelistirmek için kullanildi. Bu tür olaylar siber suç endüstrisini gelismesine güçlü
bir destek olacak.
Ransomware iliskili saldirilar öncelikli olarak, gizli bilgilerinin ifsa edilmesi için yüksek para cezalari uygulanan ülkelere
odaklanacak.
Bankalara Yönelik Hedefli SaldirilarGeçmiste finansal kuruluslar, maddi çikar gözeten hackerlar tarafindan saldiriya maruz kalmaktan endise duyuyorlardi, simdi
devlet destekli hackerlarin yaratacagi yeni ve daha tehlikeli bir tehditle yüzlesmek zorunda kalabilirler. Bu hackerlar para akisini
izlemeye odaklanacak, dahili altyapi performansini aksattigi gibi banka müsterileri hakkinda da bilgi toplayacak. Dahili altyapi
performansini hedef almak özellikle siber saldirilardan birbirini suçlayan ülkeler için önemli. Bu sabotaji bir karsi önlem olarak
kullanabilirler.
Sonraki yil bankalar için bir siber saldiridan alacagi esas darbe, para çalinmasi degil, saldirinin son asamalarinda bankanin IT
altyapisinin yok edilmesi olacak.
Olasi senaryolardan biri de, döviz kurlarini etkilemek ve zararlara neden olmak için kurban banka adina döviz ticareti yapmak
olabilir. HFT ticaret algoritmalari döviz kurlarindaki dalgalanmalara tepki verecegi için, bu tür bir senaryo bir çig gibi ani
çökmelere neden olabilir.
Maddi çikar gözeten bilgisayar korsanlari kart isleme sistemleri üzerine odaklanmaya devam edecek, çünkü bu salgirganlar için
en güvenli alan, nakit çekme prosedürü nispeten basit ve mule operasyonlari düsük risklidir.
Bu egilim, SWIFT ile ilgili saldirilara kiyasla, daha az deneyimli saldirganlar için firsatlar sunar, çünkü kart isleme saldirilari nakit
çekim yapan kisiler için güvenlidir, uygulamak kolaydir ve saldirganlarin kara para aklamak için üçüncü kisilerle irtibat kurmasini
gerektirmez.
Bankalar, yetkili çalisanlarin sirket aglarina baglanmasina özel dikkat göstermelidir, çünkü bu tür yetkilliler, bankacilik
altyapisina nüfuz etmede önemli bir vektör olarak birçok saldirida kullanilmislardir.
Çesitli ülkelerdeki sirketlerin siber saldirilari için kullanilan Vawtrak (Nevequest) isimli bankacilik trojaninin gelistiricisi tutuklandi.
Ancak, onun büyük ölçekli hirsizlik deneyimine sahip olan son derece profesyonel ekibinin, güvenilir kara para aklama
programlarina erisim halen devam etmektedir. Onlarin bankalar ve müsterileri için hedefli saldirilar düzenlemeye baslamalarini
bekliyoruz.
Hedefli Hirsizlik SaldirilariEger, kisisel bilgisayarlar için bankacilik ve POS trojanlarini gelistirilenler, bu yazilimlara kendini yayma özelligi ve online online
bankacilik için aga bagli bilgisayarlari arama özelligi eklerse, bu hem ticari hem de özel banka hesaplarinda basarili siber
saldirilarda önemli bir artisa neden olacaktir. Çünkü kurumsal ag kullanicilari is istasyonlarindan çevrimiçi bankacilik yapiyor.
Kurumsal sektörde mobil bankaciligin yaygin kullanimi ile Android Trojanlari bu uygulamalarin kullanicilarina saldirmaya
baslayacak. Mevcut sartlar altinda bu tip trojanlarin yayilma yöntemi ayni kalacaktir.
Rusya’da Android bankacilik trojanlarinin hirsizlik ile yol açtigi kayip miktari, kisisel bilgisayardaki bankacilik trojanlarinin yol
açtigi kayip miktarini geçmis durumda. Mobil bankacilik kullaniminin yayginlastigi diger ülkelerde de ayni durumun ortaya
çikmasini bekliyoruz.
Maliyeti azaltip islevi artirmak için, hackerlar trafik verilerini yakalamak ve yönlendirmek amaciyla sunucularina trafik
yönlendirme için web enjeksiyonlarini kullanmaktan uzaklasmaya devam edecek. Bu, trafik veri islem manipülasyonunun
otomatiklestirilmesi için servislerin olusturulmasina neden olabilir.
Routerlar üzerinden trafik satilmasi, siber suçlularin kimlik avi saldirilarinin sayisini önemli ölçüde artirabilmesine olanak
saglayan yeni bir hizmetin ortaya çikmasina sebep olabilir. Kullanicilar basitçe belirli sürelerde kimlik avi sayfasina yönlendirilir.
Bu kosullar altinda, daha kaliteli kurbanlar sunan hizmetler özellikle popüler hale gelecektir.
Cryptocurrency Servislerine SaldirilarAndroid trojanlari, hackerlarin cryptocurrence/sanalpara kullanicilarina daha etkili saldirilar düzenlemelerine olanak saglayacak.
Sanal cüzdan kullanicilarini tanimak ve sanal cüzdanlara erisim saglamak için kullanilan yöntemler, banka hesaplarina yapilan
saldirilanda kullanilan yöntemlerle ayni olacak. Android bankacilik trojanlari mevcut haliyle çogunlukla uyum saglamis olacak.
Android trojanlarina ek olarak, hackerlar sanalpara kullanicilarina saldiri için PC trojanlarini daha aktif kullanacak. Buda demek
oluyor ki, özel bankacilik trojanlari yerine kamuya açik olanlari da içeren, evrensel trojanlar daha yaygin kullanilacak.
Sanal para degisimine hedefli saldirilar, yalnizca maddi odakli hackerlar tarafindan degil devlet destekli hackerlar tarafindan da
uygulanmaya baslanacak.
Sanalpara hizmetine karsi düzenlenen kimlik avi saldirilari bu hizmetlerin kullanicilari için asil sorun olacak. Devam eden
basarili saldirilar, servislerin güvenlik seviyelerini yükseltip aktif olarak kimlik avi denetimi yapincaya kadar onlarin güvenilirligini
etkileyecek.
Web alaninda uzmanlasmis hackerlar için cryptocurrency ile ilgili hersey ana hedef olacak. Bu web sitelerinden trafik satmak,
Android, PC Trojanlari’ni kontrol eden bilgisayar korsanlarinin yüksek talepleri nedeniyle ana itici güç olacak; buna karsilik
tehlikeye atilan kullanici temaslari, kimlik avi, brute-force saldirilar da dahil olmak üzere hedefli saldirilarda aktif olarak
kullanilacaktir.
Finans endüstrisi, uzun süredir gasp saldirilarinin ana hedefi olmustur. Ilk basta, sanalpara hizmetleri sahiplerinden para çekme
girisimlerinin sayisi artacak. Bu artis hem gerçek tehdit olusturan hackerlar, hem de sofistike siber saldiri yürütme kapasitesi
olmayan taklitçiler tarafindan gerçeklestirilecek.
Bitcoin döviz kurunda yükselis, bunun yanisira yeni kripto para birimleri ve ICO’lar hakkindaki reklamlar, daha genis kitlelerce
bu konuya olan ilginin artmasiyla sonuçlandi. Çok daha fazla insan kryptopara birimlerine yatirim yapmak istiyor. Bunun sonucu
olarak, birçok dolandirici, "yatirimlar", "varlik yönetimi", "piramit semalari" vb. Ile ilgili halihazirda etkin olmayan tasarimlarla
ortaya çikacak.
Son Teknoloji Suç Marketi DegerlendirmesiSaldiri sayisinin ve çalinan miktarlarin artmasi, bilgisayar korsanlarinin finansal faaliyetlerinin, taktik ve hedeflerinde
degisikliklerin önemli bir göstergesidir. Saldirganlari çogu parayi takip eder. Para kazanmak için daha güvenli ve etkili bir
yöntem bulurlarsa, ona yatirim yaparlar, yeni araçlar , servisler, saldiri planlari olustururlar.
Rusya’da sirketlerden çalmaktan kaynaklanan zarar miktari hala düsüstedir, ancak Android trojanlarinin neden oldugu kayip
miktari halen artistadir. Bankalara ve ödeme sistemlerine yönelik hedefli saldirilarin sayisi yükseliste, ancak geçen yil tahmiz
ettigimiz gibi, hackerlar kazançlarinin çogunu Rusya disindan elde ettiler.
Banka müsterileri ve ödeme sistemlerine yönelik kimlik avi saldirilari tam otomatik sisteme dönüstükten sonra, Rusya’daki
faaliyetlerinden kaynaklanan zarar miktari çok önemli hale geldi. Her gün bankacilik trojanlarindan çok daha fazla kullaniciya
saldiriyorlar, ancak net zarar miktari hala daha küçük. Bununla birlikte, yöntemin sadeliginden dolayi, artan sayida suçlu onu
kullanmaya basliyor.
2016 H2 – 2017 H1 ‘nin Temel Trendleri ve GerçekleriRansomwareRansomware kendini yayma özelliklerini kazandiGeçen sene, ransomware trojanlarinin yerel alan aglarinda kendiliginden yayilma için kendi basina bir özellik kazanacagini ve
dosyalara erisimin kurtarilmasi karsiliginda fidye almak için büyük sirketleri hedef alacaklarini tahmin etmistik. Bu, bilgisayar
korsanlarinin fidye miktarlarini artirmasini ve fidye alma sanslarini yükselmesini saglayabilir. Ancak, bu firsat maddi çikarlari
için hareket eden hackerlardan daha çok devlet destekli hackerlarin ilgisini çekti.
14 Nisan 2017 tarihinde Shadow Brokers isimli hacker grubu, SMB v1 protokolündeki bir zaafiyeti istismar eden
EternalBlue’nun çalistirilabilir kodunu ve zaafiyet hakkindaki bilgileri yayinladi.
12 Mayis 2017 tarihinde, WannaCry isimli fidye yazilimi ortaya çikti ve 27 Haziran 2017 tarihinde NotPetya isimli fidye yazilimi
büyük çapta yayilmaya basladi.
Uzmanlar WannaCry saldirilarini hükümet yanlisi Kuzey Kore Lazarus grubu ile iliskilendilendirdiler ve NotPetya saldirisi
devlet destekli Black Energy grubuna atfedildi.
Her iki saldirida da magdurlarin ödeme yapmalari gerektigi halde, saldirilarinin hiçbirinin maddi kazanç saglamak amaciyla
ortaya çikmadigi gayet açiktir.
Devlet destekli fidye yaziliminin sebep oldugu kayip.WannaCry salgininin hedefledigi amaç tespit edilememistir. Saldirilarin devlet eliyle yürütüldügü düsünülürse, etkinliginin
azaltilmasi istenen özel tesisleri hedef almis olabilirler. Diger tüm kurbanlar tesadüfen saldiriya maruz kaldilar. Sadece isletim
sistemleri güncellenmemis olan ve internete dogrudan erisimi bulunan sirketler saldiridan zarar gördü.
NotPetya saldirisinin hedefi daha belirgindi. Bu saldiri sadece, Ukrayna’li bir doküman yönetim sistemi gelistiricisi tarafindan
yapilmis olan M.E.Doc yazilimini kullanan firmalari vurdu. Bu yüzden, saldirinin Ukrayna tüzel kisiliklerini hedef aldigi
görünüyor.
Her iki durumda da ilk girisim vektörünün degistirilmesi ve ilgili segmentteki kurban sayisinin daha fazla olmasi için yeterli
olurdu.
Saldirilarin izlerini örtmeAyrica fidye yazilimlarinin hedeflenen saldirilarin izlerinin örtülmesi için kullanilacagini da tahmin etmistik. 2017’nin baslarinda,
bir banka soygununun izlerini gizlemek için fidye yaziliminin ilk örneklerinin kullanimini tespit ettik. Bir bankaya yapilan soygun
amaçli bir saldiri sirasindan hackerlar bankanin domaininin kontrolünü ele geçirdiler. Soygundan sonra tüm ag
bilgisayarlarindaki etki alani yöneticisinin adina Petya’nin degistirilmis bir versiyonunu kullandilar. Sonuç olarak bilgisayarlarin
çogu sifrelendi ve siber saldirinin arastirilmasini çok daha zor hale getirildi.
PC ve Android Fidye yazilimlariFidye yazilimi kullanan hackerlar giderek daha fazla kurumsal sektöre odaklaniyor. Maddi çikar amaçli hareket eden
hackerlarin yeni teknikler gelistirdigini veya benzersiz araçlar kullandiklarini tespit etmedik. Locky ve Cerber en yaygin fidye
yazilimi oldular. Her ikisi de Rusça-konusan hackerlar ve isbirlikçleri kanaliyla dagitildi. Spam hala dagitimin en etkili yolu
olmaya devam ediyor. Ancak, bazi isbirlikçiler, fidye yazilimlarini savunmasiz bilgisayarlara aktarmak için ayrica exploit kitleri
de kullandilar.
Mobil cihazlar için fidye yazilimlari popülerligini kaybetti. Rusça konusulan forumlarda, son 12 ayda bu tür yazilimlari satin
alinmasi için hiç talep olmadi.
IoT için tahmin edilen ransomware saldirilari gerçeklesmedi, ve simdiye kadar hackerlar tarafindan önümüzdeki yil bu tür
saldirilar yapacaklari konusunda herhangi bir belirti yok. Kurumsal sektöre saldirilar hala daha kazançli, ve yerel aglarda
kendini kendini yayma yetenegi, bu alana yönelik çalismalar için genis imkanlar sagliyor. Iste bu yüzden, is sürekliligini bozan
ve kendini yayma özelligi olan fidye yazilimlarinin en büyük zararlara sebep olmasini bekliyoruz. WannaCry ve NotPetya’dan
farkli olarak, ileriki saldirilar belli hedeflere yönelik olacak.
NotPetya, kurumsal aglarda kontrolü ele geçirmek için basit birkaç adim uygulamanin yeterli olacagini gösterdi. Gelecekte,
basit hazir yapim araçlarin yanisira betik yazilimlar seklindeki siber saldirilarin, kurumsal domainler üzerinde otomatik olarak
kontrolü ele geçirmek için daha fazla kullanilmasini bekliyoruz. Eger bazi araçlar açik olarak yayinlanirsa veya hackerlardan
ücret karsiligi satin alinabilmeye baslanirsa, kurumsal sektöre yönelik her türlü saldirinin çig gibi büyümesine yol açacaktir.
Öncelikle fidye saldirilari, gizli bilgilerin çalismasi ve santaj tehdidi gibi daha fazla olayin ortaya çikmasini bekliyoruz. Bu tür
siber saldirilarin, güvenlik önlemlerine uyulmamasi, veri sizintilari veya sunulan hizmelerin aksamasindan dolayi yüksek bedel
ödeyecek ülkelere yönelik olmasini beklenmelidir. Özellikle bankacilik sektörü, sigorta sirketleri ve saglik kurumlari için
geçerlidir.
Kritik Altyapilara Yönelik SaldirilarDevelopmenEndüstriyel tesislere yönelik saldirilar, zaafiyetlerin tespit edilmesi, ve ICS (Endüstriyel Kontrol Sistemleri)’nin kontrol
terminallerine uzaktan erisimin saglanmasi giderek daha fazla rapor edilmeye baslandi.Ancak ICS’lere fiziksel müdahaleye yol
açacak basarili bir saldiri için uzaktan erisim ve oturum açma kimlik bilgilerinden daha fazlasi gereklidir. ICS’lere müdahale
edebilmek için fiziksel isleyislerini çok iyi bilmek gereklidir. Bu fiziksel isleyislere etki edebilmek için gerekli mantik,
saldirganlarin kullandiklari araçlara yerlestirilmelidir.
Fiziksel isleyisleri gerçekten etkileyebilen ve ekipmani devre disi birakan ilk kötü amaçli yazilim Equation Grup (Five Eyes /
Tilded Team) tarafindan kullanilan Stuxnet virüsü idi. Stuxnet’in en önemli özelligi, Iran’in uranyum zenginlestirme
santrifüjlerinin döndürme oranini kontrol etmek için kullanilan Siemens ekipmani üzerinde yikici bir etkiye sahip olmasiydi.
Stuxnet virüsü, Siemens ekipmanina saldirarak, önceden belirlenmis bir mantik dogrultusunda, bu ekipmanin tahrip edilmesine
neden olacak olan santrifüjlerin dönüs hizini belirsiz bir sekilde degistirecekti. Stuxnet hikayesi 2010’da yeni bir siber savas ve
siber güvenlik çaginin habercisi oldu. Bu saldiriyi, hackerlarin ICS etki edip devre disi birakmanin yollarini aradigi, birkaç yil
süren bir sükunet izledi. Bu hedefe en çok yaklasan Sandworm olarak bilinen BlackEnergy grubuydu.
Enerji firmalarini hedef alan The Black Bear savasi (Drogonfly / Crouching Yeti), 2000’den fazla aga yüklendigi iddia edilen
Havex aracini ortaya çikardiginda, bir miktar telasa neden oldu. Ancak Havex fiziksel isleyisleri etki edemedi. Bu asil amaci
enerji sirketlerinde kullanilan teçhizatlar hakkinda bilgi toplamak olan bir kesif asamasiydi. Bu bilgiyi toplayarak otomasyon
neslerini ve teknoloji akislarini kontrol etmek için kullanilan OPC(Açik Platform Iletisimi) protokolünü açiklarini bulmayi
saglamakti. Basitçe ifade etmek gerekirse, SCADA ve donanim arasindaki etkilesimleri analiz ederek belirli herbir konumda
hangi ekipmanin yüklenmis oldugunu kaydetti. Bu süreç gelecekteki saldirilan için çok büyük önem tasiyor.
Bir diger önemli hazirlik asamasi ise SCADA (HMI) Human Machine Arayüzlerine erismekti. (Sandworm veya) The Black
Energy 2 isimli grup tarafindan kullanilan The Black Energy 2 malware yazilimi üç firmaya ait HMI’leri hedef almistir ki bu
firmalar: General Electric’s Cimplicity HMI, Siemens’ SIMATIC WinCC ve BroadWin’s WebAcces’tir. Black Energy 2, bu
ürünlerdeki güvenlik açiklarindan faydalanarak firmalarin sunucularina yüklenmistir.
Aralik 2015’de, Stuxnet benzeri bir ikinci saldiri, kritik bir altyapi tesisinde gerçeklestirildi. Bu gerçek bir hasar ve servis
darbesine neden oldu. Bu saldirida Black Energy 3 isimli malware kullanildi. Saldirganlar bu yazilimi Ukrayna’daki üç enerji
sirketinin networküne asiri yükleme yapmak için kullandilar. Alt istasyonlardaki Serial-to-Ethernet cihazlarinin firmwarelerini
degistirerek, cihazlari çalisamaz hale getirdiler. Akabinde, KillDisk isimli basit bir araç kullanarak, enerji firmalarina ait
networklerde bulunan kesintisiz güç kaynaklarinin baglantilarini uzaktan kestiler, HMI’ye sahip olanlar da dahil olmak üzere
Windows bilgisayarlari devre disi biraktilar.
Gelisimin SonuçlariAralik 2016’da, bir Ukrayna istasyonuna hedef alan ve tüm sehri 75 dakikaligina karanliga gömen bir test saldirisi
gerçeklestirildi. Bu zor farkedilir saldiri, yeni Black Energy araç setinin kapasitesini gösterdi. Bu araç seti ESET tarafindan
Industroyer veya CRASHOVERRIDE olarak rapor edilmistir.
Industroyer ICS’lere saldirmaya yarayan tas tesekküllü bir frameworktür. Saldirganlar, geçmis deneyim ve kesiflerinden
faydalanarak bir takim islemleri otomatiklestirdiler.
Havex olayinda oldugu gibi, yeni malware ICS agi üzerindeki endüstriyel ekipman ve aygitlari haritalamak için OPC
protokolündeki geçerli islevsellikten yararlaniyordu.
Black Energy 2’ye benzer olarak, bu araç da enerji agindaki diger konumlara baglanabilmek için ve ekipmani anlayabilmek için,
HMI kütüphanelire ve yapilandirma dosyalarina saldirdi.
Black Energy 3 saldirisinda oldugu gibi, enerji agina nasil asiri yükleme yapilacagini, güç kaynaginin restorasyonunu ve tepkiyi
zorlastirmak için bazi unsurlari devre disi birakmayi ögrendiler.
Hepsinden önemlisi, IEC 60870-5-101, IEC 60870-5-104 ve IEC 61850 gibi bazi protokolleri yönetecek yeni modüller
gelistirdiler. Bu protokoller, networklere fiziksel baglanti/kesintiden sorumlu RTU’lari uzaktan kontrol etmek için kullaniliyor.
Ilginçtir ki, bazi unsurlar sadece enerji firmalarinda degil, su ve gaz tedarik sistemleri gibi diger sehir hizmetlerinde de
kullaniliyor.
Bir diger ekleme de, servis denial baslatan ve cihazi kullanim disi birakan Siemens SIPROTEC ekipmanindaki eski
CVE-2015-5374 güvenlik açiginin sömürülmesine yarayan bir modüldür.
Black Energy’ye ait diger Yeni GelismelerBlack Energy, enerji firmalarina yaptigi saldirilarla taninir. Bu yil, Grup-IB, bankacilik altyapisina yönelik saldiri çabalarini
artirdiklarini dogruladi.
Esas Black Energy zararli yazilimlarinin yani sira, güvenli bir Telegram protokolünü kullanan bir arka kapi kullaniyorlar. Bu
sistemin biri Rust ile digeri Python ile kodlanmis iki versiyonu mevcut.
Daha önce özgün yardimci uygulama olan KillDisk’i kullandilar, simdi ise kendi bilgisayarlarda ve bankacilik agindaki sunucular
üzerinde kendi kodladiklari ransomwareleri kullaniyorlar. Bu ransomware Win32/Filecoder.NKH olarak tanimlandi ve etkiledigi
dosyalara .xcrypted uzantisi ekleyip bu dosyalari RSA-1024 ve AES algoritmalarini kullanarak sifreliyor.
Haziran ayinda NotPetya ile bir saldiri baslattilar. Ticari kuruluslarin yerel aglarini devre disi birakmak için hem özgün
ransomware yazilimi hemde Notpetya kullanildi.
Banka ve Ödeme Sistemlerini Hedef Alan SaldirilarDevlet destekli hackerlar bankalara yeni bir tehdit olusturuyor.Bazi ülkeler, kullandiklari bankacilik sisteminin, önemli savunma sisteminin bir parçasi oldugunu fark ettiler. Devlet tarafindan
finanse edilen veya kiralanan hackerlar iki amaç için bankacilik sektörüne pekçok kez basarili saldirilar düzenlediler; Istihbarat
bilgileri toplamak ve hedef bankalarin performansini aksatmak.
Equation Group (US)15 Nisan’da, The Shadow Brokers üyesi hackerlar, muhtemelen NSA disinda faaliyet gösteren Equation Group’a ait, bir dizi
hacker aracina ait bilgileri yükledi. Sizdirilan belgelere göre, Ortadogu ve Latin Amerika’daki bir kaç finans kurulusunun
bankacilik islem verilerine erismek için SWIFT Servis Bürolarina iki saldiri gerçeklestirdiler.
SWIFT Servis Bürolari, sebekeye baglanmak isteyen fakat yine de bu islemleri dis kaynakli olarak yapmak isteyen finansal
kuruluslar için SWIFTNet’e baglantilari organize eden ve tahsis eden üçüncü taraf hizmet saglayicilardir. SWIFT’e göre hizmet
paketi, SWIFT ile baglanti kurmak için bilesenlerin ayrilmasi , tahsisi ve kullanilmasini içeriyor, bunun yanisira sisteme erismek,
iletisim oturumlarini yönetmek ve SWIFT kullanicilarinin güvenligini saglamak için mekanizmalar sagliyor.
SWIFT ile iliskilendirilmis arsivler JEEPFLEA olarak adlandirilir ve Orta Doguda bulunan en büyük SWIFT servis bürosu olan
EastNets’in tasarim detaylarini ve kayit islemlerini içerir. Ikinci servis bürosu muhtemelen Panamadaki Business Computer
Group (BCG)’dir.
Bankacilik islemleri SWIFT yazilimina dayali Oracle veritabanina loglanmasi sebebiyle, sizdirilan arsivler, veritabanindan veri
almak için NSA tarafindan kullanilan araçlarin tanimlarini ve bunun yaninda SWIFT mesaji formundaki sorgulari ve kullanici
listelerini içeriyor.
Shadow Brokers tarafindan sizdirilan arsiv dökümanlari içerisinde tanimlayicilar, muhasabe kayit bilgileri ve yönetici hesap
verileri bulunur.
Lazarus (Kuzey Kore)Subat 2016’da Banlades Bankasi tarafindan 1 milyar dolar çalmak için bir girisim oldugu bildirildi. Kötü amaçli yazilimin
kodlarinin analiz edilmesiyle, siber güvenlik uzmanlari daha önce baska saldirilarda kullanilmis olan bazi kod parçalari belirledi.
Kodlarin benzerligini ve bulastigi bilgisayarlarda sistem yerlesimindeki benzerlikleri baz alan uzmanlar, saldirilari Lazarus grubu
ile iliskilendirdi.
Subat 2017 gibi erken bir sürede, Polonya’daki birkaç bankanin güvenliginin ihlal edildigi bildirildi. Yapilan sorusturmayla,
bankacilik sistemlerinin nasil bozuldugunu ve kötü amaçli yazilimin nasil kullanildigini, ayrica hedeflenen diger bazi bölgelerin
ve web kaynaklanini belirlendigini ortaya çikarildi. Kötü amaçli kodlarin analiz edilmesi neticesinde, uzmanlar yine saldirilari
Lazarus grubuyla iliskilendirdiler.
The Lazarus grubu çesitli ülkelerde merkez bankalari ve en büyük uluslararasi bankalari hedef aliyorlar. Ancak Banglades’te
gerçeklesen olay dikkate alindiginda, saldirganlar burada para aramiyordu.
Kaspersky Lab, Lazarus grubunun karistigi bir olaya verilen tepki hakkinda bir rapor yayinladi. Tepki operasyonlari sirasinda,
SWIFT ile ilgilenen araçlar tespit edildi. Araçlarin öncelikli amaçlarindan biri islemler hakkinda bilgiler toplamakti; Alici ve
Gönderici, Hesap ve Bilanço numaralari ve bazi diger bilgiler.
Ayrica, bu grubun faaliyetlerinin analizinde aylar boyunca birkaç banka sebekesine eristigi ancak hiçbiri hirsizliga maruz
kalmamisti.
Black EnergyBlackEnergy grubu her zaman, bankalar da dahil saldirdiklari tüm hedeflerinin performanslarini aksatmaya odaklanmistir.
Örnegin, bu yilin basindan beri Ukrayna, bankalardaki bilgiyi yoketmeye yönelik iki girisim tecrübe etti.
2016’nin sonlarinda, Ukrayna’daki finansal kuruluslari hedef alan saldirilar tespit edildi. Python ile kodlanmis TeleBot isimli bir
backdoor, RUST’da bulunan bir indirme kodu sayesinde hedef bilgisayarlara yüklendi.
2017 Ocak-Subat döneminde, bu suç
örgütü, Ukrayna’daki büyük bir BT entegratörünün agina sizmayi basardi. Sonuç olarak suçlular dört Ukrayna bankasina
erisim saglayarak, bu bankalara TeleBot benzeri ancak RUST ile kodlanmis bir Trojan yüklediler.Erisim sagladiktan sonra, kendi kodladiklari bir RAT ve Telegram backdoor yükleyeceklerdi. Daha sonra agdaki deger
bilgisayarlara erismek için yönetici giris bilgilerini ve sifreyi almak için Mimikatz kullanacaklardi. Etki alani denetleyicisi için
yönetici kimlik bilgilerini elde ettikten sonra, bankacilik agindaki bilgisayarlar ve sunucularda bulunan dosyalari sifrelemek için
fidye yazilimi çalistiracaklardi. Bu fidye yazilimi Win32/Filecoder.NKH olarak belirlendi ve etkiledigi dosyalara .xcrypted uzantisi
ekleyip bu dosyalari RSA-1024 ve AES algoritmalarini kullanarak sifreliyor. Tüm dosyalari C:\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\Windows dizininden ayri bir
konuma sifereler. Sifreleme tamamlandiktan sora bu yazilim içeriginde “Lütfen bize ulasin:
[email protected]”
yazili readme.txt isimli bir dosya olusturur.
27 Haziran 2017’de dünya NotPetya fidye yaziliminin kullanilmasi ile gerçeklestirilen büyük bir saldiriya sahit oldu.Bu saldiri,
Ukraynali bir gelistiriciye ait hesap ve döküman yönetim yazilimi olan M.E.Doc.’u kullanan sirketleri hedef aldi.
Saldirganlar M.E.Doc.’un kaynak kodlarina ve güncelleme sunucusuna eristiler, böylece kendi kodlarini asiladiklari
güncellemeleri dagittilar. NotPetya bulastiktan sonra, dosyalar sifrelendi ve trojan kendini kurumsal ag üzerinde kopyaladi. Ag
üzerinde kendini dagitma islemini Eternalblue benzeri exploitin kullanarak ve bir uzaktan kontrol saglayici araci olan PsExec ile
yaptilar.
Devlet destekli ve finansal olarak hareket eden hackerlar, bir kurumsal ag üzerinde tam kontrolü saglamak için, önceki raporda
belirttigimiz gibi basit bir senaryo izlemesi yeterlidir. Bunu birkaç adimda belirtmek gerekirse.
Ag üzerinde bulunan herhangi bir bilgisayara erisim saglamak.
Ilk bulasilan bilgisayardaki giris bilgileri ve sifreleri almak.
Ele geçirilen bu giris ve sifre bilgileriyle komsu bilgisayarlara baglanmak ve domain yönetici sifresini bulmak için
tekrar bu bilgisayarlardaki sifreleri taramak.
NotPetya saldirisinda, hackerlar sadece basit bir saldiri modeli kodladilar, bu sekilde sadece MEDoc kullanan sirketlere
basariyla saldirmakla kalmayip, ayni agda bulunan tüm bilgisayarlara da bulasarak ayni basariya ulasti. Gelecekte, basit hazir
yapim araçlarin yanisira betik yazilimlar seklindeki siber saldirilarin, kurumsal domainler üzerinde otomatik olarak kontrolü ele
geçirmek kullanilacagi gerçegine hazir olmaliyiz. Eger bazi araçlar umuma açilirsa veya hackerlar tarafindan satisa çikarilirsa,
bu kurumsal sektörde yapilan saldirilarin artisinda bir çig etkisine neden olabilir. Öncelikle ,ransomware, gizli bilgilerin
çalinmasi ve ifsa edilmemesi için fidye istenmesi, para hirsizligi, maddi beklentisi olmayan hackerlar tarafindan halkin maruz
kaldigi durumlari içeren daha fazla olay bekliyoruz.
Maddi Çikarlari için Hareket Eden HackerlarBeklendigi gibi bu tip hackerlar dünya çapinda finans kurumlarina saldirma konusunda daha aktif oldular. Phishing (Kimlik Avi)
emailleri hedef bölgeden bagimsiz olarak bankacilik aglarina nüfüz etmek için kullanilan temel hack yöntemi olmaya devam
ediyor.
Saldirganlar, bazi bankalarin e-posta kimlik avina karsi koruma saglamak için gerçekten ise yarar güvenlik araçlari
kullandiklarinin farkindalar. Ancak banka çalisanlari bazi durumlarda hala is yerlerinde, kurumsal güvenlik araçlari tarafindan
korunmayan kisisel e-postalarini kontrol ediyorlar. Iste bu sebeple, bazi bankalara saldirmak için, hackerlar, banka
çalisanlarinin kisisel e- posta adreslerini, onlara çalisma saatleri içerisinde zararli yazilim eklentileri içeren e-postalar
göndermek için ele geçirdi.
Kimlik Avi e-postalarinda zararli eklentiler olusturmak için kullanilan en yaygin araçlar, Microsoft Word Intruder (MWI) by Objekt
ve OffensiveWaree Multi Exploit Builder (OMEB)’dir.
The MoneyTaker grubu Kuzey Amerika’daki küçük bankalari odaklandi ki bu bankalardan birini iki defa soydu. Kuzey
Amerika’nin yani sira Rusya dahil pek çok bölgeye de aktif olarak saldirilar düzenledi. Sunu da belirtmek gerekir ki MoneyTaker
grubunun bazi banka saldirilari (Carbanak, FIN7 Navigator, Teleport Crew, Digital Plagiarist olarak bilinen) Anunak ile
iliskilendirildi ancak biz Anunak grubunun üyeleriyle yakin iliskide olan ayri bir grup oldugunu düsünüyoruz.
The Cobalt grubu, çesitli bölgeleri deneyerek gelisigüzel olarak finansal sirketlere saldirdi. Farkli zamanlarda BDT ülkelerine
odaklandilar, daha sonra net bir odanlanma olmaksizin küresel saldiriya geçtiler. Magdur bankalar ve potansiyel bir hedef
haline gelenlerle çalisirken, bu finansal kurumlarin çogunlukla SWIFT ve ATM’lerin güvenligine odaklanmayi tercih ettiklerini
görüyüoruz, zira bu hedeflere yönelik basarili saldirilar medya tarafindan siklikla dile getiriliyor. Ancak, su anda saldirganlarin
bankacilik sistemlerinin daha farkli alanlariyla da ilgilendikleri görülüyor. ATM ve SWIFT olaylarina ek olarak, kart isleme
sistemlerine, ödeme ag geçitleri ve terminallerine, alim satim terminallerine yönelik saldirilar tespit ettik. Çevrimiçi bankacilik,
saldirganlarin ilgisi çeken tek sistem gibi görünüyor; bununla birlikte geçmiste diger finansal çikarlari için hareket eden gruplar
tarafindan sikça ve basarili bir saldiriya maruz kalip soyulmustu.
Script Kullanarak Dosyasiz Saldirilar.Zararli kodlar kullanilarak yapilan Dosyasiz saldirilar yeni ve suan için en popüler saldiri yöntemi. Hackerlar mümkün
oldugunca fark edilmemeye çalisiyor, ve bu nedenle yalnizca RAM üzerinde var olan ve yeniden baslatma sonrasi yok olan
‘bedensiz’ zararli yazilim kullaniyorlar. Sistemde kaliciligi saglamak ve bazi saldiri asamalarini otomatiklestirilmek için
PowerShell, VBS , Php betiklerinden faydalaniliyor.
Dosyasiz olmanin saldirganlara sagladigi bazi avantajlar:
- Standart antivirüs yazilimlariyla farkedilmeleri kolay degildir.
- Disk üzerinde dosya barindirmazlar, zararli aktivitelerine dair daha az iz birakirlar, bu sebeple gelecekteki suç arastirmalarini
ciddi bir sekilde karmasiklastirirlar. Dosyalar olmadan özelliklerini göremez veya kötü amaçli yazilimin sisteme ne zaman
girdigini, nasil etkinlestirildigini, sahip oldugu islevleri vs. anlayamazsiniz.
Scriptler de bir takim avantajlar saglar:
Kötü amaçli scriptler, antivirüs araçlari tarafindan neredeyse farkedilemez durumdadir. Bir binary dosyanin imzasini kodlamaya kiyasla, sahte bir etkinlestirme olmadan scriptlerin imzasini kodlamak, çok daha zordur.
Scriptlerin degistirilip güncellenmesi çok kolaydir ki bu da saldirganlarin isini oldukça kolaylastirir.
Devamliligi saglamak kolaydir. Scriptler genelde loglarda saklanir veya Window yönetim araçlari (WMI), Group Policy Objects (GPO) veya Zamanlanmis görevler vasitasiyla etkinlestirilir. Bu tür scriptler çok basittir, ve birincil görevleri genellikle harici bir kaynaktan ana yazilimi yüklemek ve etkinlestirmektir.
Bir banka hirsizligini içeren bir durum düsünün. Saldiri sirasinda bir bilgisayara , yasal bir bulut depolama servisinden bir dosya
yükleyip çalistiran bir zamanlanmis görev yerlestiriliyor. Bu görevi dogru tepki olmadan algilamak kolay degildir, ki bu nedenle
dokuz ay içerisinde bir bankanin iki kez soyuldugu bir duruma tanik olduk.
Hedef olarak ATM’lerTemmuz 2016’da, hackerlar Bank of Taiwan’a ait ATM’lere basarili bir dizi saldiri düzenlediler. Suçlularin 2.18 milyon dolar
çaldigi saldirilan birkaç ilde gerçeklestirildi. Olayda parayi çeken süpheliler yakalandi ancak gerçekte saldirinin arkasinda kim
oldugu asla ögrenilemedi.
Aralik 2016’da, Group-IB’den arastirmacilar, Bank of Taiwan’a saldirmak için kullanilan zararli yazilimi buldular. Daha önce
Cobalt grubu tarafindan gelistirilen ve kullanilan ATMSpitter isimli yazilama çok benziyordu. Cobalt grubu dünya genelinde
ATMlere yönelik saldirilarin çogunlugundan sorumlu olan gruptur. Bu grubun ATMlere saldirmak için kullandiklari strateji ve
araçlar hakkinda ayrintili açiklama ayri bir rapor düzenlenmistir. https://www.group-ib.com/cobalt.html
Avrupa bankalarina standard MSXFS.dll kütüphanesi ile olusturulmus ATMSpitter uygulamasi ile saldiri yapildi. Tayvan’da is
suçlular standart CSCWNG.dll kütüphanesini kullanmisti. Ilerleyen arastirmalar neticesinde, saldirinin Cobalt grubu tarafindan
gerçeklestirildigi tamamen dogrulandi. O tarihlerde grup agirlikli olarak ATM’lerden nakit vermeyi baslatan ATM kontrol agi
segmentleriyle ilgileniyorlardi. Kisa bir süre sonra da bankalardaki diger hedeflere yöneldiler.
Her iki kötü amaçli program da temelde ayri akislar olusturmadan sirayla yürütülen ana isleve sahiptir. Fonksiyonlar sirayla
finansal kütüphanelerden çagrilir ve nakit para dagitmak için komut verilir. Iki uygulama da bazi ortak ögeleri içerir.
- Kötü niyetli programlarin hedefi olan ATM’lerin çogunlugu gelismis koruma sistemleri ile donatilmistir, oturum sifreleri ve diger
suçlular tarafindan ters mühendisligi zorlastiran ticari koruyucular, loglarin silinmesi ve varliklarini gizlemek için geçici olarak
agdan ayrilmasi, alternatif NFTS akislarina kayit yapmak, servis dosyalari ve loglarin sifrelenmesi gibi. ATMSpitter sürümlerinin
hiçbiri bu özelliklerden hiçbirine sahip degildi.
- Her iki uygulama da sadece bir koruma teknigi kullaniyordu: çalisma ayinin dogrulanmasi. Eger geçerli tarih Temmuz 2016
(Tayvan) veya Eylül 2016 (Avrupa) ile çakismiyorsa, program özel bir hata mesaji görüntülüyordu. Cihaza baglanmak imkansiz
gibi görünüyordu.
Tablo 1. Avrupa ve Tayvan’da kullanilan zararli programlarin karsilastirilmasi
Hata mesaji:Avrupa: WFSOpen failed with error: WFS_ERR_INTERNAL_ERROR
Tayvan: CsCngOpen/CscCdmOpen failed with error: System Failure
Bu nedenle, gösterilen hata iletisi, yazilimin çalisma aninda basarisiz olmasinin gerçek nedenini göstermiyordu, ve sadece
yazilimin yazari bunun farkina varabilirdi. (bknz. Tablo 1 Satir 1)
Her iki sürüm de, nakit para çekme sonuçlariyla sifrelenmemis bir txt olusturan, özdes kod parçalari içeriyordu. (Avrupa’da
disp.txt ve Tayvan’da displog.txt) - (Tablo 1 - Satir 2)
Her iki ATMSpitter sürümünde kullanici arabirimi yoktur ve komut satiri üzerinden kontrol ediliyordu. Argümanlar, aktarilan
degerler olarak gösteriliyordu: hangi ATM kasetinden kaç tane banknot dagitilmali. Eger yanlis sayida argüman girilirse
ATMSpitter bir hata mesaji ve gerekli olan sözdizimine dair bir mesaj görüntüyordu. ( Tablo 1 - Satir 3)
Ayni zamanda, her sürüm iki sürüm, kaset numarasi ve banknot miktari için benzer parametreler kullaniyordu.
Hedef olarak Ödeme Ag GeçitleriÖdeme Aggeçitlerine saldiri nadir de olsa hala her yil gerçeklesiyor. Anunak grubu, bu tip saldirilari ilk gerçeklestiren gruptu.
Bunu Cobalt grubu ve bagimsiz hackerlar takip etti. Simdiye dek, ancak Rusya’da gerçeklesin bu tip saldirilarin farkindayiz. Bir
kez Rusya’da test edilen dolandirici planlari ve saldirilar, daha sonra diger ülkelerde uygulanmak üzere “ihraç edildi”. Sadece
bankalar degil ayni zamanda ödeme terminallerini kontrol eden sirketlerde hedef haline geliyor.
Saldiri stratejileri yalnizca son asamada farklilik gösterir:- Bankanin agina uzaktan erisim saglandiktan sonra, saldirganlar ödeme ag geçidini aramaya baslarlar.
- Alim-satim islemlerini gerçeklestirmede kullanilan mesaj aktariminin standart biçimini anlamak için, ag geçitlerinde komut
dosyalari ve log dosyalarini arar ve sonra hileli mesajlar olustururlar.
- Ödeme ag geçitlerine baglanmak için yerel sunucuda SOCKS proxy çalistirirlar veya diger uzaktan erisim imkanlarini kullanirlar.
- Yerel agda komut dosyalari kodlayip çalistirirlar, bu scriptlerle saldirganlarin kartlarina ve mobil telefon hesaplarina aktarilmak
üzere otomatik olarak binlerce küçük tutarli alim-satim islemi olustururlar.
- Baska bir script mobil telefon hesaplarindan banka hesaplarina para transferi yapar, bunu standart para aklama prosedürleri
takip eder.
Nakit çekme bu prosedürün en zorlu asamasidir. Ama ATM saldirilarindan farkli olarak, bir saldirinin sebep oldugu kayip
miktari 1-4 milyon dolardan fazladir.
Bu planin bir avantaji vardir. Gün içerisinde ag geçidileri üzerinden çok sayida küçük alim-satim islemi gerçeklesmektedir, bu
sebeple hileli alim-satim islemleri toplam akis içerisinde farkedilmez olur. Bu alicilarin hesaplarini belirlemeyi zorlastirir,
zamaninda nakit çekmi islemini bloke etmeyi imkansizlastirir.
Hedef olarak SWIFT ve AWS CBRSWIFT, finansal ve finansal olmayan kurumlarin finansal islemlerle ilgili bilgileri “finansal mesajlar” ile gönderip almasini
saglayan bir sistemdir. Rusya muadili ise AWS CBRC’dir. Her iki sistemin altinda yatan mantik, gelen veya giden iletiler
göndermektir. Saldirganlar para çalmak için yalnizca bu mesajlari manipüle etmerenini yeterli oldugunu fark ettiler. Sonrasinda
bankalara saldirilar gerçeklestirdiler.
- Mayis 2016, Hong Kong’daki bir bankaya saldiri.
- Haziran 2016, Ukrayna’daki SWIFT is istasyonuna saldiri. 10 milyon dolar çalindi. Saldiri medyada duyuldu.
- Kasim 2016, AWS CBR’ye saldiri.
- Aralik 2016, Türkiye’deki SWIFT is istasyonuna saldiri. Saldiri medyada yer aldi. 4 milyon dolar çalindi.
- Ocak 2017, Latin Amerika’da bir bankaya saldiri.
Saldiri Plani Basittir:- Hedef bir bankada SWIFT veya AWS CBR is istasyonuna sahip bir sunucu tespit edilmesi
- Giden mesajlarin takip edilmesi
- Giden mesajlarin ödeme detaylarinin degistirilmesi
- Islemler gelen mesajlarla dogrulanir, bu sebeple sistem operatörü tarafindan bildirilen orjinal mesajlar hileli mesajlarla degistirmek üzere yakalanip durdurulur.
Böyle bir plani manuel olarak yürütmek neredeyse imkansiz oldugundan islemleri otomatik olarak gerçeklestirmek için özel bir
yazilim kullanilmalidir.
Hong Kong ve Rusya’daki bankalara saldirmak için kullanilan bazi araçlari örnek olarak görelim.
AWS CBRC araçlari asagida yazildigi gibidir.
Ana modül yapilandirma dosyasinda belirtilen parametreler diger modülleri çalistirmasini sagliyor
AutoReplacer (XmlBin) giden finansal mesajlardaki ödeme bilgilerini degistiriyor.
Sonuçlar, XML dosyasina kaydedilir. toplanan veri alanlari, saldirganinin yakalanilmamasi için degistirilmemistir.
Gizleme (EdBin) onay mesajlarini kontrol eder. PayeePersonalAcc i denetlemesi icin çalisir ve XML Sonuç dosyasindaki HackAcc ile karsilastirir. Degerler eslesirse, gizli modül dosyasi orijinal PayeePersonalAcc i geri yükler ve islem tamamlanir.
• Giden Ileti Dosyalari D:\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\WIN32APP\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\SWIFT\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ALLIANCE\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SERVER\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\Batch\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\Outgoing\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\HK\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\HKAcksBak\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
• Dosya 102400 sayisini asiyorsa, C:\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\Temp\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\Msg\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\log.txt dosyasina, büyük dosyasina:> 102400\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\r\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n"eklenir; ve alt baglantilari OTTC605384, OTTC605385, OTTC601386, OTTC601387, OTTC605381, OTTC605382 aramak için okuma modunu acar.
• OTTC, "Pasif Telgraf Nakil Komisyonlari ve Ücretleri" anlamina gelir.
• Dosya bu komutlari içeriyorsa, C:\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\Temp\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\Msg\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\günlügünde ’Bulunan dosya ile komut verilir, alt çizgi>\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\r\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n’satiri algilar. txt dosyasi kopyalanir ve dosyayi C:\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\Temp\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\Msg\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\klasörüne aktarir.
• 2,5 saniye boyunca bekleme muduna geçer ve sonra o alt grubun arama sürecini tekrarlar.
Kart isleme Bu yöntem, suçlularin kolaylikla güvenli bir sekilde büyük miktarda para transferlerini gerçeklestirmesine sebep oldugu için, korsanlarin kisitlamali operasyonlari bu yil ana hedef haline geldi.
Rusya’da test edilmis ve devlet disindaki bütün büyük sivil suç örgütlerine birkaç kez eski Sovyetler Birligi ülkeleri ABD’de olmak üzere yer verilmistir. Kart islemesine erisim, bir bankadaki diger finansal sistemle herhangi bir farki bulunmamaktadir
Islem çok basit: • Bir bankacilik agini kontrol ettikten sonra, saldirganlar kart sistemine baglana biliyor mu kontrol eder.
• Bilgisayari açan bankacilik sisteminde yasal olarak mevcut olan kartlar kontrol edilir. Genellikle saldiri basina yaklasik 30 kart kullanilir.
• Paralari ATMler den çeken suçlular - Daha önce harekete geçerler, kartlarla yurt disina seyahat ettikleri görüldü ve büyük operasyonlar için biraz beklediler.
• Kart isleme sistemine girdikten sonra, saldirganlar kaldirilan nakit çekme gibi kartlari sinirlarlar.
• Bu kartlari kullanarak ATMler den direk para çektiler. Bir saldiri sonucu ortalama kayip yaklasik 500.000 dolari buldu.
Bu yöntemin kullanilmasina yol açan pek çok avantaj vardir:• Kart sistemleri SWIFT gibi degildir, bu nedenle saldirganlar algilanmazken sinirlari kolayca degistirirler. Bununla birlikte, saldiri, Lazarus veya MoneyTaker tarafindan SWIFT is istasyonlarina yönelik saldirilar için kullanilan özel programlar olmadan gerçeklestirilebilir.
Bir defalik toplu miktar temiz para • Para kazanmak için banka kartlari edinmek veya satin almak yeterlidir.
• Baska bir ülkede para toplama, bankanin güvenlik servisi, hemen yerel polise ulasamayacagi için, gözetleme kameralarindan video kayitlari alamadigi ve failleri tutuklayamadigi için bilgisayar korsanlarinin kurtarilmasini sagladi. Fakat, saldiri bankasinin bulundugu ülkede mantik saldirisi ile hirsizlik meydana geldiginde, para hirsizlari genellikle tutuklanir. .
Saldiri yollarini gizlediler Bankalara yapilan basarili saldirilardan sonra, saldirganlar sorusturmasini gizlemek ve gelecekteki saldirilarda olabildigince uzun süre fark edilmemek için sirket agindaki varlik izlerini gizlemeye çalistilar. Hirsizlik izlerini kapsamak için SDelete, MBRKiller yani kendi kendine sifreli araç uygulamalari gibi araçlari kullanarak verileri kaldira bildiler .
Saldiri parçalarini gizlemek için fidye yaziliminin kullanilmasi sadece bir meseleydi.
2017 yilin basinda, bir banka hirsizliginin ardindan izleri gizlemek için kullanilan fidye yaziliminin ilk vakalarini tespit ettik. Bir bankayi soymak için bir bankaya saldirirken, bilgisayar korsanlari alan adlarini kontrol altina aldi. Soygundan sonra, PetyaWrap, Petya - PetrWrap degistirilmis bir versiyonu, agdaki tüm bilgisayarlarda alan adi yöneticisi gibi çalisti.
PetrWrap C’de kodlanmis ve MS Visual studyo da derlenmistir. Hedef bilgisayarlari bulastirmak için kullanilan Petya rantomware üçüncü sürümü, PetrWrap kendi sifreleme içerir ve operasyon sirasinda Petya kodunu degistirir ve suçlularin enfeksiyon sürecinde Petya kullanimini gizlemelerine saglar. .
sifreleme ile ilgili olarak, sifrelemenin talimatlari için e-postayla
[email protected] yoluyla cezaevine basvurusunu saglayan bir mesaj gönderildi. Olayin yalnizca verileri geri yüklemeyle mümkün kilan MFT’nin (NTFS tablosu sifrelemeleri içerdigini belirti.
Bununla birlikte, bankanin agindaki bilgisayarlarin çogu devre disi birakildi; böylelikle olayi bir ölçüde kapatmaya çalistilar.
Rusya da Bilgisayar Trojenleri 2012 yilinin ortalarinda baslayan, Rusya’daki kisisel bilgisayarlari hedef alan banka trojanlarini belirte biliriz. Geçtigimiz yil, Rusya’daki kullanicilari hedef alan yeni bazi banka trojanlar bulundu.
2012’den bu yana, banka botnet sahipleri, istismarlari kullanmaktan ve dagitim için spam kullanmaktan uzaklasmaya baslamislardir. Bir önceki dönemde, Rusya’da banka truva ati sayesinde en önemli yöntem oldugunu belirtmek isteriz.
Simdi durumun tekrar degistigini ve suçlularin Driveby yöntemlerini tekrar kullanmaya basladigini görebiliriz - yani. mesru sitelere saldirmak ve kullanicilari istismarlarla sunuculara yönlendirmek popüler bir hale geldi.
Sirketler Üzerindeki Saldirilar Para çalmak amaciyla Rusya da bazi sirketlere yönelik saldiri sayisi bir önceki döneme kiyaslarsak neredeyse yariya düstü.
Bu yil, saldirganlar yalnizca 10 milyon dolar çalmayi basardi, geçen yil bu miktar 16 milyon dolardi. Rakamlara göre sadece100de35 oraninda azalma görüldü, çünkü ortalama zarar miktari 200 bin dolara yükseldi.
Bu da saldirganlarin kurbanlarini daha dikkatli seçmeye baslamis oldugunu gösteriyor.
Ranbyus, RTM ve Buhtrap2, sirketlerinden para çalmak için sadece 3 tane suç grubu gözlemlendi. Buhtrap botu kullanildigini ve su anda en aktif yöntem oldugunu belirtmek isteriz.
finansal sektörler dahil olmak üzere mesru sitelerde saldiriya ugradi. 5 yil önce Carberp’in saldiriya ugramis finansal sitelerle ayni oldugunu belirtmek gerekir.
Rusya’da banka botnet hedefli isletmelerin sahipleri tamamen tarayici tabanli saldirilardan uzaklasti ve 1C muhasebe sistemleri araciligiyla uzaktan kumanda veya otomatik aktarmalar kullanmaya basladi.
Ayni zamanda da 1C yoluyla otomatik yükleme için bir modül kullanmaya basladilar, bunun adi Rus muhasebe yazilimi.
Kullanici Saldirilari kisisel bilgisayarlari hedef alan banka trojanler sayesinde geçtigimiz yil 106 milyon dolar, bu yil 262 milyon dolar çalmayi basardilar.
Ocak ayinda Proxy sayesinde , Rusya bankalarindaki müsterilere yönelik saldirilarin yani sira Kazakistan bankalarindaki müsterilere saldirmaya basladilar. Nisan 2017’de Rusya’daki saldirilar tamamen durduruldu.
Küresel sahnede yapilanlar küresel devlet üzerindeki banka trojan atlarinin önemli degisiklikler içerdigini söyleye biliriz.
Rusça konusan yazilimcilar tarafindan gelistirilen Corebot ve Vawtrak diger adiyla Neverquest dünya çapindaki firmalara yapilan küresel saldirilar nedeniyle havuzdan ayrildilar. Vawtrak yazilimci tutuklandi ve bu faaliyetler durduruldu.
Fakat bu saldirilar yeni Truva atlariyla devam etti: Trickbot, Sfenks 2, TinyNuke, Portal, Gnaeus ve Plan2016. Dridex, Qadars, Gootkit, Panda, Jüpiter, GozNym, Quakbot, Ramnit, Retefe, Atmos, Tinba, Kins, Citadel, Zeus, Sphinx, Shifu gibi yeni Truva atlariyla paralel olarak bazi yasli insanlar hedef alindi
Fon hirsizligi yapmak için tasarlanmis 22 kötü niyetli programdan 20’sinde yani 100de 91 oraninda ruslar tarafindan yaratildi ve yönetildi. Bazi saldirganlar internet trafik bilgilerini yakalamak ve degistirmek için sunucularina trafik yönlendirme enjekte etmek için kullanilan bu tip trojanlar Trickbot, Gnaeus, Portal, Quakbot, Dridex ve Retefe dahildir. Çok eski bir yöntem ama bir süredir saldirganlar tarafindan kullanilmiyor.
Rusya disinda, Spam küresel olarak diger bölgelerdeki en önemli dagitim yöntemi olmaya devam etmektedir, GozNym, Gootkit, Vawtrak ve Ramnit’in hepsi Driveby yöntemleri kullanilarak dagitildi, geriye kalani e-postayla yayginlastirdilar.
TinyNuke, yeni bir trendin en canli örneklerinden biridir: kötü niyetli kod gelistiricileri, programlarinda çevrimci olarak kendi inisiyatifleriyle kaynak kodlari yayimlamaya baslamislardi . TinyNuke yazari, bu banka Truva ve isletim sisteminin kaynak kodunu kamuoyuyla paylasti.
Bilgisayar korsanlarinin hackerlar tarafindan CCS7 (SS7) saldirisi yoluyla bir SMS kodunu yakalayarak iki faktörlü kimlik dogrulama ile Almanya’da yasadisi gaspçilik yapildigi tespit edildi.
Android Truva atlariAndroid bankacilik da beklendigi gibi trojan atlarinin pazari, en dinamik ve en yüksek büyüme oranina sahip oldugu kanitlandi. Android bankaciligi nedeniyle truva ati kayiplari rusya da bu sekilde.
100de 136 oraninda Rusya dayerini aldi ve Truva atlarinin bilgisayarlarimiza yaptigi zararlar 100de 30 oranini asti.
Isletmelere yönelik saldirilari hala gözlemlenemiyor, ancak saldirganlarin yakin gelecekte bunu gerçeklesmesini bekliyoruz.
Saldirganlar bir saldiri sebebiyle ortalama kayip miktarini artirmayi basardi ve hepsi de yeni gruplarin banka kart verilerini ele geçirmeye odaklandiklarini söyleye biliriz.
Metin mesajlari yine de en önemli dagitim kanali olmaya devam ediyor. Ve bu sekilde kullanilir 1. Kötü amaçli bir baglantiyi elde etmek.
2. Mesaj panolarini taramak ve gönderimini saglamak
Belirlenmis telefon numaralarina metin mesajlari gönderilir kötü amaçli baglantilar bu sekilde kurulur,
3. Android sistemine kötü amaçli yazilim göndermek.
telefonunuzda bulunan tüm iletisim numaralari kötü amaçli bir baglanti oldugunu biliyor musunuz, virüs bulasan uygulamalarin gayri resmi depolar içindeki dagilmalari bulunmaktadir.
Kural olarak, yöntem genellikle uzmanlasmis kisiler arasinda forumlarda bulunan daha fazla kisilerin katilimlariyla gerçeklestiriliyor.
Arama sistemlerinde içerige dayali reklamalar daha az popüler ancak yaygin olarak kullanilan en etkin hedeflenmis yöntemdir.
Alti tane yöntem vardir hirsizlik vakalarina yönelik. 1/ mesaj yoluyla banka bilgilerini çalmak
2/ bir kartan diger karta para transferi
3/ çalinti parayi internet üzeri kullanmak yada aktarmak
4/ Mobil bankacilik üzerinden erisim saglanmasi
5/ Sahte mobil bankacilik islemleri
6/ apple üzeri app satin almak ve ödemek.
Özelikle sms bankasiyla ilgili olarak icerikten bahsetmek gerekir. Rusya’daki bilisim kuvvetleri SMS bankasi araciligiyla bir hirsizlik semasini kullanan en aktif organizatörleri tutukladi ve Trojan kullanan iki grup ve Truva kullanan bir grup belirlendi .
Rusya hayla SMS banka hirsizligini takip ediyor. Her ay Android için yeni bir banka trojeninin ortaya çikmasina dikkat çekiliyor.
Limebot ve daha sonra yeni sürüm Lipton, UfoBot, Rello, Loke, red alarm, Vasya Bot, ExoBot ve sonrasinda yeni sürüm olan ExoBot 2.0), Aninda VBV, Maza-in ve Catelites Android Bot. Bunlarin hepsi Android banka truva atlari, Rusya’da bilgisayar korsanlari tarafindan hazirlandi.
Geçtigimiz yil, Catelite Android Bot adli bir Trojan yazari, Google Play’den 2,249 banka uygulamasi için evrensel bir sahte websitesi yaptigini açikladi. Yazara göre, ’banka’ ve para’ anahtar kelimelerine dayanan yazilim kullanilarak Google Play’den 2249 basvuru alindi.
kurbanin telefonunu bu programlardan birisi arar ve evrensel bir pencere görüntü olusturulur. Böylelikle bilgiler Google Play’den alinmaya çalisilir.
Maza-in adli bir kisi bir bankaya Trojan sizdirmasi bu yil önemli bir olay olmustu. Bu kötü amaçli yazilim programinin kurulmasindan hemen sonra sistemde küçük degisiklikler ortaya çikmaya basladi.
Android Truva atlarini kullanan hirsizlik, kapasite ve uygulamada muazzam bir artis görüldü.. Saldirganlar otomatik hirsizliga karsi iki senaryo kullanir: Trojan, sisteme girdikten sonra bir banka hesabinin durumunu kontrol eder ve kullaniciyi belirler ve para transferlerini SMS kodlarini otomatik olarak yapmaya calisir. Bugüne kadar otomatik hirsizligi yalnizca sms bankalarinda gördük.
"Tek tikla" saldiri yapmak, Trojan dengeleri tanir ve banka karti verilerini bir ön hesapta toplayarak çevrimiçi banka hesaplari için giris bilgileri ve sifreyi toplar bunun sonrasinda bilgilerin gerçekligini kontrol eder. Dolayisiyla saldirganlar, aktarimin yapilacagi cihazlari seçer iste bu tür yazilimlar kötü amaçli yazilimlar olarak adlandirilir.
Apple ödeme / Samsung ödeme cep ödemeleri, 2017 yilinin basinda bankalarda yapilmaya baslandi , hacker’lar bu olanlardan hizli bir sekilde haberdar oldu.
Bu sistemlere yönelik hirsizlik planlari söyledir: 1.Dolandiricilar bir Android cihazina saldiri hazirlamasi.
banka karti veya giris / sifre bilgileri online bankacilikta mevcut bakiye hakkinda bilgilerin alinmaya çalisilmasi.
2. Kullanicinin bakiyesi ilgi çekiyorsa hedef noktasi haline gele bilir.
Dolandiricilar magdurun banka hesabini iPhone’larinda bulunan Apple ödeme sayesinde ulasima açik olmasina bagliyor. Bunun için, ilk adimda aldiklari kart verilerine giris / sifre ve SMS onaylamalari gerektiriyor
Bir truva Android cihazina fiziksel bir kart olmadan alisveris yaptira bilirsiniz, bu nedenle Truva bu yolda en büyük anahtardir.
3 apple ödemede iki tane büytük avantaj bulunmakta .
Kartin fiziksel olarak tasinmasina gerek yoktur ve islemler için sinir yok. Kullanici ödeme islemi sirasinda parmak iziyle ödemeyi onaylatirsa, islem gerçeklestirilir.
4. büyük ücret içeren alimlar için
ödeme terminali bir PIN talep ediyor. Bununla birlikte, bazi bankalar PIN’lerin büyük bütçeli olmayan alimlar için talep edilmedigi tespit edilmistir.. Dolandiricilarin yalnizca bazi belirli yerlerde alisveris yapabilmelerinin nedeni budur.
Android bankasi için tespit edilen trojan’lar söyle:1.Truva atlari, SMS bankasina saldiri trojan isimleri bu sekildedir.
2.Trojan’in Rusya’daki Web sahteiklerinde kullanim isimleri bu sekildedir.
3. Rusyada kullanilan sahte kimlik avi trojanler
Kimlik avi Grup-IB uzmanlari 657.000 etki alanindaki 1,4 milyon benzersiz kimlik avi baglantisini kesfetti ve analiz etti. Bu baglantilarin 100 de 5’i HTTPS kullaniyordu.
Geleneksel olarak finansal kurumlar dolandiricilarin temel amacidir. Tüm kimlik avi kaynaklari neredeyse 100de 80’i mali (100 de 31), bulut depolamasi (100 de 24) posta hizmetler olmak üzere üç kategoriye ayriliyor.
Kimlik kaynaklari diyor ki saldiriya ugrayan ünlü siteler. Saldirganlar öncelikle Joomla ve WordPress içerik yönetimi kullanan sistemlerinde olusan zayif noktalari kesfedip kullaniyor.
Fakat Rusya’da durum biraz farklidir. Hack saldirisina ugramis web siteleri magdurlarin kaynagi olarak kullanilir. Potansiyel magdurlar saldiriya ugramis web sitelerini ziyaret ettiginde, belirli kosullar altinda korsan tarafindan çalistirilan sunucularda barindirilan bir kimlik sitesine yönlendirilir yada barindirma hizmetlerini ücretsiz yapar.
Tüm kimlik avi sitelerinin 100 de 60’i ABD’de, Ukrayna’ ikinci sirada (100 de 5), Rusya ve Almanya üçüncü ve dördüncü sirada (her biri 100 de 3) sorumludur.
Rusya’daki bankalar ve ödeme sistemleri için kimlik avi islemleri otomatik hale getirilmekte ve gerçek zamanli yapilir ve bu da SMS onaylarini banka fonlarina atlatmasini sagliyor . 900’den fazla banka müsterisi her gün Rusya’da mali dolandiricilik kurbani haline geliyor.
malware kurbanlarinin sayisi üç kati. Ancak kimlik avi siteleri nedeniyle kaybin miktari, kötü amaçli yazilimdan daha yüksek. kimlik avi saldirilari ve kayiplarindaki artisin baslica nedeni Rusya’da toplam 15 grup, finansal kurumlar için kimlik avi kullaniyor. Hasar miktari her zaman oldukça ufak olmakla birlikte günlük web sitelerine yönelen kurbanlarin sayisi binlerce. Ca. Finansal kimlik avi sitesi ziyaretçilerinin 100 de 10-15’ verilerini giriyor. Yaklasik 1 seneden daha uzun süre içerisinde saldirganlar 3,9 milyon dolar çalmayi basarmislar.
Kimlik avi, sahte bir web sitesidir. Örnek ayni facebook sitesine benzer. Siz Mail adresinizi ve sifrenizi girmek isterken. Sifreniz ve Mail adresiniz kimlik avi sitesini olusturan Hacker’in Mail adresine gönderilir. Bu nedenle buna kimlik avi denilir. Diger bölgelerde, birçok çevrim disi kimlik avina dikkat ediyoruz. Bu verilerin toplanmasi bir kimlik avi sitesinde yapilmasi, yerel olarak depolanmasi ve daha sonra dogrulugunu kontrol eden bir dolandiriciya göndermesi bir süre sonra bunlari kullanmaya çalismaya baslanmasi kimlik avidir.
Bu dolandiriciliga büyük bir ölçekte katilmakta olan bilgisayar korsanlari, kimlik avi site operasyonlarinin mantigini belirleyen yapilandirilmis dosyalarla ve kullanima hazir verilerin nereden gönderilecegini kimlik avi web siteleri icin hazir da bulunan Kimlik Avi Paketlerini kullanmakta.
12.000’den fazla benzersiz Kimlik Avi toplandi ve yapilandirma dosyalari analiz edildi. Davalarin büyük bir çogunlugunda, ele geçirilen veriler bir e-posta adresine gönderilmistir. Vakalarin 100de80’inde böyle olmustur.
Phishing’ler, Gmail / Yandex ve buna benzer tehlikeye atilmis verileri toplamak için kullanilir.
Rusça konusan siber suçlular, kötü amaçli yazilim, spam yazilimlarini. Yayginlastirmak için ortak programlar olusturur ve kullaniyor. Ortak çaba sarf ediyorlar, düzenleyicileri çok daha genis bir ölçüde çalisiyor. Ve ortaklarina ceza evinde ufak ödemeler yapiyorlar.
Phishing’i içeren durumlar da buna benzer.
Geçen yilin sonuna gelindiginde, suçlulardan birisi 26 phishing sitesi olusturdu ve bunu topluma sizdirdilari/ yayginlastirdilar.
ag kaynaklari, oyun kaynaklari e-posta ve kimlik avi web kaynaklariyla baglanti yayimladi, bu kimlik avi kaynaklarini kullanilmasi için , saldirmak isteyen saldirgan herkesin bilgilerine ulasmak için kimlik avi / sahte siteler hazirladi.
Kendi hazirladiklari yani kullanabilecekleri bir kimlik avi sitesi olusturuldu . Toplanan veriler tüm VIP kullanicilarla paylasildi.
VIP kullanicilar yalnizca diger kisilerin verilerine degil, ayni zamanda kimlik avi yoluyla toplanan tüm verilerin diger kullanicilar tarafindan erisime açilmayacagina dair güvence istedi.
Bu nedenle VIP erisimi gerçeklestirildi.. 30 günlük VIP erisimi sadece 3 Amerikan dolaridir.
Bu sekilde, katilimcilar birkaç gün içinde 90.000’den fazla oturum açmayi basararak erisim saglamistir.
Bu kadar güçlü olan bir çalismanin, tecrübesi olmayan kisilerin bile basit bir sekilde saldirilar düzenlemesine izin taniyan bir çalismadir.
POS Truva atlari bu verilerin en önemli kaynagidir.POS Truva Atlari Kart magazalarindaki verileri analiz etmek için en çok tercih edilen trojan dir, kimlik avi, e-ticaret sitelerinin kesilmesiyle , manyetik seritlerden gelen verilerle elde edilebilecek, kart bilgisi olmayan sunucuya erisim saglayan bir yazilimdir.
Saldirganlar iki kategoriye ayrilir: 1. genis bir kitle saldirganlari
küçük bir miktar’a odaklaniyorlar POS Trojan kullaniyorlar.
2. Hedef POS terminallerini hedefleyenler
Saldirganlar büyük ag kuruluslarina saldiriyor, aglara erisebilmek için çabaliyorlar ve daha sonra çok sayida aygitta enfeksiyon bulastirmaya çalisiyorlar .
Bankalar raporlarinda yeni POS trojan tespit etiklerini belirtiler.
:LockPoS, MajikPOS, FlokiBot, ScanPOS, FastPOS.
Bu yeni Truva atlari özel çalismaktadir. RAM islemini görmek için yazilmis, ve bellegi analiz ederek Banka kart verilerini hem manyetik seritten hem de çipten geçmesini sagliyor.
Yeni Truva atlari yaninda, eskileri hala aktif halde kullanilmaya devam ediyor.
Poseidon, AbaddonPOS, Alina, vb. Banka kartlari veri toplama araçlari olarak oldukça etkili bir yazilim haline geldi.
Saldirganlarin taktigi genellikle asagidaki gibidir:Ag tarayicilarini kullanarak, açik baglanti noktalari için bir arama gerçeklestiriyorlar, bu sekilde bir cihaza uzaktan kumanda yoluyla erisebilme imkani sagliyorlar ve aralarinda RDP ve VNC de bulunmakta.
POS, nakit, ödeme yada buna benzer kelimeler içerisinde kombinasyonlu calisirlar
1. Sahtekarlik dogru yapilirsa islem ise yarar
kendisine erisen cihazin sahtekarin ilgisini çekip çekmedigini kontrol eder.
2. Sifre kurtarma araçlari Mimikatz, Fgdump, VNCPassView cihazina yüklenir.
3. Arka kapilar, genelde RAT (Remco,Netwire vb.) Bazi bilgisayarlara yüklenir
En son Terminaller Ammyy Yöneticisi , TeamViewer gibi yasal uzaktan baglanti tesislerine yönelir.
4. Uzaktan erisim sayesinde, bir POS Trojan manuel bir sekilde yüklenebilir.
Hedefli saldirilarla ugrasan gruplar daha zor bir çalisma sürdürüyor, ancak ayni zamanda ortaya çikan kayiplar ve kazançlari çok daha yüksek.
Temmuz 2017
B & B Tiyatrolari Amerika’nin en büyük tiyatro agina sahip olan ve bu sirketi yöneten kuruma saldiri gerçeklestirdi.
Ekim 2015 de baslayan kart verileri saldirganlari, Nisan 2017 yilina kadar süren bir saldiri gerçeklestirdi..
buckle Inc sirketi 450’den fazla magaza yönetiyor . Ekim 2016’da saldiriya ugradi ve kart verileri eke geçirildi.
Nisan 2017 yilina kadar saldirganlar saldirii düzenledi.
2014’te kmart saldiriya ugradi, saldirilardaki ana hedef POS terminaler oldu.
Mayis 2017
Sabre Corp Access, birçok otel tarafindan kullanilan SynXis santral rezervasyon sistemi hedef alindi bu saldiridaki amaç ödeme bilgileri ele geçirmek.
Nisan 2017
Shoney 150’den fazla maza sahibi olan bir sirkettir. Aralik 2016’da saldiriya ugradi bu saldirilar 2017 Martina kadar sürdü.
Mart 2017
POS saglayici, binlerce otellerde kredi karti ve bankamatik kartlariyla islemler yapti. Kart verisi, Poseidon adi verilen bir trojan kullanilarak toplandi.
Subat 2017
Arby, 1.000’in üzerinde magaza zincirine sahip olan bir sirkettir. Kart verileri özel bir kripto edilmis sistemlerde saklaniyor
Ekim 2006 dan Ocak 2017’ye kadar saldirganlar burayi da hedef aldi.
Aralik
Holiday Inn de dahil olmak üzere dünya çapinda 5.000’den fazla otel sahipleri, Eylül 2016’dan Aralik 2016’ya kadar 1000’den fazla saldiriya ugradi.
Agustos 2016
InterContinental Hotels Group
Eddie Bauer 350’den fazla magazanin zinciri ele geçirildi. Tüm dükkanlarin sistemlerine Trojan kuruldu
ve kart verileri Ocak-Temmuz 2016 kadar saldirganlarin elindeydi.
Agustos 2016
Oracle MICROS - bir Oracle is birimi, POS sistemleri satiyor, 330.000’den fazla kullanicisi bulunmakta ve saldiriya ugradi.
Temmuz 2016
Kimpton otel 62 sik dükkanlarin otel zinciri, saldiriya ugradi ve Subat-Temmuz 2016 yilina kadar kart verileri saldirganlarin elindeydi.
Kripto Hizmetlerine SaldiriKripto para birimleri ilgili hizmetler çok dinamik, karli bir pazar olusturmaktadir. Bu tür bir gelisim,. Hackerlarin ilgisini çekmektedir. Ve tabiki bundan yararlanmak isteyecektir.
Fintech baslangici ne kadar basarili olursa, ICO o kadar büyük olur ve saldirganlar için daha çekici bir hale gelir.
Sifreleme ve blok projelerine yönelik tehditler sayisi Grup-IB-Tehdit Istihbarat sistemi tarafindan izlenmekte ve bu durum Bitcoin döviz kuru ile artmaktadir.
Akilli sözlesmelerdeki kaynak kodu güvenlik açiklari sayesinde basariyla kullanilmistir. Uzmanlar hackerlar tarafindan erisilebilen kripto edilmis ticaret platformlarinda cüzdan anahtarlarinin durumunu gözlemledi.
Kullanici veritabanlarina sizdilar ve alan adi kaçirma konusunda çesitli olaylar tespit edildi. Botnet sahipleri, virüs bulasmis cihazlari, web ve mobil uygulamalar için cüzdan, borsa ve para birimi baglantilarini izlediler.
Kimlik avi dolandiriciliklarinda ki kayiplarin bu yil 225 milyon dolara yükseldigi hesaplandi.. 30.000’den fazla kisi, her yil ortalama 7,500 dolar kaybediyor, bunun arkasinda siber suçlular bulunmakta.
Rusya Federasyonu’nda çevrimiçi bankaciligin erken asamalarinda Grup-IB tarafindan saldiri aktivitesine benzer bir artis gözlemlendi. Bunu açiklamak kolaydir - bilgisayar korsanlari her zaman parayi takip eder.
Kaynak Kodlarinda buluna Güvenlik AçiklariKaynak kodlarinda bulunan güvenlik açiklari servis gelistiricileri için bir kabustur.
17 Haziran 2016’da, muhtemelen kripto saldirilari tarihindeki en büyük saldiri oldu - bu kabus DAO adi verilen gelecek vaat eden bir projedeki bir kod hatasindan kaynaklandi. Bu 60 milyondan fazla kayba neden oldu.
Hedeflenen saldirilar:Gizli anahtarlar islemleri dogrulamak için kullanilir, herhangi bir sifreleme hizmeti için en degerli varliktir.
Ve bu anahtarlari elde etme olasiligi bir bankada kritik sistemin kontrolünü kazanmasini çok farklilik yok ve bazi durumlarda çok daha kolaydir. Buradaki en büyük problem, bankalara saldirmak ayni yöntemleri kullanarak sirketin yerel agina erisim saglamak.
2 Agustos 2016 tarihinde üçüncü en popüler Hong Kong cryptocurrency degisimi Bitfinex (dünyanin en popüler cryptocurrency borsalarinda arasinda üçüncü sirada yer aliyor. saldiriya ugradigini ve bunun sonucunda yaklasik 120,000 Bitcoins kaybetti, döviz üzerinden 72 milyon ABD dolarindan bahsediliyor.
Degisim müsterilerin hesaplari imza teknolojisi ile korunmaktadir
13 Ekim 2016 tarihinde, yaklasik 1,5 milyon dolar yaklasik 2.300 Bitcoins Polonyali cryptocurrency alisverisi Bitcoin adreslerinden birinden birkaç islemlerle nakledildi.
borsa web sitesinde, bir hacker saldirisi yüzünden bazi fon kaybi yasadiklarini kabul ettiginde. 30 Kasim’da 2016 borsa operasyonu devam etti, fakat 2017 yilinda site çevrimdisi oldu ve degisim yüzünden çalismalar durduruldu.
16 Temmuz 2017’de, Israil’de çalisan CoinDash ICO ( Para Firsati) prosedürünü baslatti. ICO’dan üç dakika sonra, bilinmeyen hackerlar CoinDash’e saldirdi ve kendi cüzdan adreslerini i degistirdiler.
6.000.000 dolarin üstü hackerlerin cüzdanina transfer edildi.
29 Haziran 2017’de, dünyanin 4. büyük kitasi olan Bithumb, Güney Kore sifreleme alisverisi, saldiriya ugradigini açikladi.
Onlar kaynagin (tüm müsteri veritabaninin yaklasik 100 de 3 yaklasik 31.800 olan kullanicilar bilgilere erisimini sagladi ve sonra saldirganlar döviz çalisan birinin bilgisayar güvenligini asmasina basardi.
Alan adi kaçirma: Internetteki en popüler web cüzdanlarindan biri olan Blockchain.info’nun 12 Ekim, 2016’daki yönetiminde DNS kaçirma saldirisi ile ilgili uyarida bulunuldu: DNS verileri degistirildi: CloudFlare, Tulsa, ABD’den bir barindirma saglayicisi ile degistirildi. Web sitesi ziyaretçileri, her türlü saldiriya maruz kaldiklarini acikladilar
Haziran, 30, 2017’de bilinmeyen hackerlar klasik Ether Wallet alan adinin - Ethereum Classic (ETC) sifreleme cüzdaninin kontrolünü ele geçirmeyi basardi. Etki alani bilgisayar korsaninin kötü niyetli bir sekilde benimsenmesinden sonra web sitesini kullanicilari kendi sunucusuna yönlendiren bir sekilde degistirdi. Kötü niyetli sürüm deniliyor buna
web sitesinin kopyalanan özel anahtarlari, kullanicilar tarafindan girilerek hackerlara gönderildi.
Sonuç olarak yaklasik. 300.000 dolar çalindi.
Kimlik avi ICOSBu saldiri türü, basitligi ve etkinligi nedeniyle saldirganlar arasinda oldukça popüler hale geldi.
Saldirganlarin taktigi söyle: • Yeni saldirilarin takibini bir ICO baslatir.
• Bir kimlik avi sayfasi olusturulur.
• Tüm özel anahtarlar sahtekarlar tarafindan otomatik olarak e-para ile iliskilendirilir ve fonlar dolandiricilar tarafindan belirtilen hesaplara otomatik olarak gönderilir.
Bu yöntemi takip ederseniz bir grubun ayda 1,5 milyon dolara kadar kazanabildigini görebilirsiniz:
https://etherscan.io/address/0x68b0e0 db7918c0211ea1fb78292a879839137dd0
https://etherscan.io/address/0x0a5650 aba6473c48898f3d9366b52c21a4eec37b
https : //etherscan.io/address/0x1e80da d60d19fb8159af3f440a8ceaa0e5581847
https://etherscan.io/address/0x3681828 DA105fC3C44E212f6c3Dc51a0a5A6F5C6
https://etherscan.io/address/0x4a0d27a 1044dd871a93275de5109e5f5efc4d46e
https://etherscan.io/address/0x89C98C C6D9917B615257e5704e83906402f0f91f
Kimlik avi Kimlik avi erisimi için bilgileri fiziksel olarak elinizde olmasi gerekmiyor. Yani bir kimlik avi sayfasi yaratmaniz gerekli degil.
Erisimi saglamak için, bir e-posta adresi veya cep telefonu numarasi için bir sifre olusturmak yeterli olabilir.
E-posta kutularina erismek için, kimlik avi sayfalari popüler posta saglayicilarini Gmail, Yahoo, Outlook vb siteler Taklit edilerek sayfalar olusturulur.
Bir Avci’nin avini bekledigini düsünün. Ayni sekilde karsi tarafin bu dolandiricilarin oyununa gelmesi ve sahte siteler içerisinde bilgilerini yazmasi beklenir.
Ve yazdiginiz bilgiler Microsoft serverine degil saldirganin belirledigi Mail adresine indexlenir.
Kullanim Kisitlamalar su sekildedir: • Bu rapor, IB uzmanlari tarafindan üçüncü sahislarin finansmani olmaksizin hazirlanmistir.
• Yüksek teknoloji için suç pazarinin degerlendirilmesi, Grup-IB tarafindan gelistirilen özel dahili yöntemler temel alinarak gerçeklestirildi.
• Bu raporda tanimlanan siber tehditlerin teknik ayrintilari, gelecekte benzer olaylari önlemek ve olasi yaralanmalari en aza indirmek amaciyla bilgi güvenligine açiklik getirmek için hazirlanmistir.
• Hiçbir sekilde bu raporda yayinlanan tehditler ve saldirilar hakkinda teknik bilgi yer almamaktadir.
• Bu raporda sirketler ve ticari markalara yapilan tüm referanslar, bu tür sirketlerden kitle iletisim araçlarinda daha önce yayinlanmis bilgiler temelinde yapilan onaylara dayanmaktadir
Grup IBGrup IB yüksek güvenilirlige sahip tehdit istihbaratini saglama ve sinifin dolandiricilari önleme çözümlerinde en iyisi olan küresel liderlerden biridir.
Dünya Ekonomisi
IDC Gartner Forrester FORUM
Dünya Ekonomik Üyeleri,
Grup-IB Tehdit Istihbaratinin Forum çalisanlari bulunmakta
siber güvenlik konusunda en iyileri olarak kabul edilmistir
arastirmaci raporlar bunu gösteriyor.
Saygilarimizla Haberci:
Çevirinin Kaynagi:
https://owncloud.group-ib.ru/index.php/s/bOrNpXBp2R2Avft#pdfviewer
