Duygu ÖZDEN / dozden@havelsan.com.tr
HAVELSAN Siber Güvenlik Uzmanı
Gün geçtikçe değişen ve gelişen teknolojinin en popüler başlıklarından biri olan siber uzayda, siber saldırganların motivasyonları da içinde bulunduğumuz döneme göre şekillenebiliyor. Bu noktada, son yıllarda yapılan araştırmalar, oltalama (phishing) saldırılarının artış gösterdiğini ve saldırılar arasında başı çektiğini gösteriyor.
Oltalama saldırıları, kişilerin ilgisini çekecek; merak, heyecan, panik gibi duygularını manipüle edecek içerikler kullanılarak hazırlanmış birtakım metotlar barındıran saldırı türüdür. Bu saldırıların, e-posta ile oltalama (e-mail phishing), hedefli oltalama (spear phishing), üst düzey hedefli ya da balina avı (whaling) da denilen oltalama, sesli ya da kısa mesajla (smishing and vishing) yapılan oltalama, sosyal medya yardımıyla yapılan (angler phishing) oltalama gibi türleri bulunmaktadır.
Bunların arasında en yaygın olanı, neredeyse herkesin az ya da çok karşılaştığı e-posta ile yapılan oltalama saldırılarıdır. Bu saldırı türünde, kurban olarak seçilen kişi ya da kişilere, içerisinde saldırganın kontrolünde olan sahte bir URL, e-posta ekinde bulunan zararlı bir dosya, meşru görünen bir e-posta adresi ya da kurum bilgisi gibi veriler barındıran e-postalar gönderilir. Böylece, hedefin ilgisini çekmek amaçlanır. Zararlı içeriğe tıklanması sağlanarak kritik verilerin ele geçirilmesi, zararlı yazılımın hedef sisteme yayılması, fidye istenerek maddi kazanç elde edilmesi gibi çeşitli saldırı yöntemleri kullanılır.
COVID-19, Siber Dünyada da Tehlikeli Hale Geliyor
Oltalama saldırılarında kullanılan konuların, hedefi daha çok yanıltmak amacıyla güncel olaylardan seçildiğini söyleyebiliriz. Bu konuda karşımıza çıkan en çarpıcı örneklerden biri, yalnızca ülkemizin değil, tüm dünyanın içinde bulunduğu bu zor günlerde savaştığımız COVID-19 virüsünün ismi kullanılarak yapılan oltalama saldırılarıdır. Bilindiği üzere, şu anda tüm dünyanın konuştuğu belki de tek gündem maddesi, bu virüs. Belki de hayatımızda, birçoğumuzun yaşamadığı ve bir daha yaşamayacağı kadar çarpıcı tecrübeler edindiğimiz bir dönemden geçiyoruz. Günlük hayatımıza, iş hayatımıza, maddi-manevi yaşantımıza, psikolojimize, fizyolojimize etki eden bu virüsün, biyolojik bir virüs olmanın ötesinde, siber saldırı aracı olarak kullanılmaya da başlanması, siber dünyanın, hayatımızın ne kadar içinde olduğunun en çarpıcı göstergelerinden biri oldu. Hâl böyle olunca da siber uzayın siber-fiziksel etkileri kavramını da hayatımızda daha çok hissedeceğimiz bir dönem ile karşı karşıya bulunuyoruz.
COVID-19 virüsü ismiyle yapılan oltalama saldırılarına örnek olarak verilebilecek Şekil 1’de, Dünya Sağlık Örgütü (World Health Organisation / WHO) tarafından hazırlandığı ve bu virüse karşı alınabilecek önlemleri içerdiği iddia edilen bir dosyayı ekinde barındıran oltalama e-postası yer alıyor. İlgili e-postanın konu başlığına bakıldığında, “Coronavirus disease (COVID-19) Important Communication” yazısını ve ekli dosyaya bakıldığında ise “COVID_19- WORLD HEALTH ORGANIZATION CDC_DOC.zip.arj” ismini görüyoruz. Böylelikle, söz konusu e-posta, dünyada sağlık alanında güvenilir olarak bilinen WHO’nun adını da içermesiyle birlikte, hedef seçilen kişiler için merak uyandırıcı bir e-postaya dönüşüyor.
İlgili e-postayı dikkatle incelediğimizde ise bunun oltalama amaçlı gönderilmiş bir e-posta olduğuna dair belirtileri görebiliriz. Örneğin, e-posta içeriğinde bazı dil bilgisi ve noktalama hataları bulunuyor. ABD’de bulunan Centers of Disease Control and Prevention (CDC / Hastalık Kontrol ve Önleme Merkezleri) organizasyonunun açılımının yanlış verilmesi, bu yapının, WHO ile herhangi bir bağlantısının bulunmaması gibi bilgiler de bize, bunun bir oltalama olduğunu gösteren veriler. Ayrıca, ekte yer alan dosya indirilerek, 7zip gibi bir arşiv uygulaması ile açıldığında, içerisindeki dosyanın zararlı bir çalıştırılabilir (.exe) dosya olduğunu görüyoruz. Bu dosya çalıştırıldığında, kritik bilgileri ele geçirme özelliği ile bilinen popüler bir zararlı yazılım türü olan Lokibot’un sistemimize yüklendiğini anlıyoruz. Truva atı (trojan) türündeki Lokibot; kimlik bilgileri, parolalar, uygulamalardaki kullanıcı giriş bilgileri gibi birçok hassas veriyi ele geçirebilen, oldukça ciddi zararları olan bir yazılımdır. Fortinet tarafından yapılan bir araştırmada, Türkiye’nin, hedeflenen ve bu saldırıdan etkilenen ülkeler arasında, %29 ile en yüksek orana sahip olduğunun belirlenmesi, ülkemiz için durumun kritikliğini gözler önüne seriyor.
Pandemi, Siber Dünyaya Sıçrayabilir
COVID-19 virüsünün pandemik hastalık olarak ilan edilmesinin ardından karşılaşılan bu ilginç oltalama saldırıları, bu virüsün siber dünyada da pandemik bir virüs olarak ilan edilebileceğini gösteriyor. Zira bu saldırılara, her gün bir yenisi ekleniyor. Bu tür oltalama saldırılarına karşı alınabilecek teknik önlemler arasında; açık kaynak tehdit istihbarat kaynaklarında yayımlanan ihlal semptomlarının (IoC), güvenlik cihazlarında, düzenli olarak engellenmesi sayılabilir. Öte yandan, oltalama saldırılarına karşı alınabilecek en önemli önlemler arasında;
- E-posta adreslerinin ve içerisindeki linklerin kontrol edilmesi,
- Dil bilgisi ve yazım hataları olup olmadığının ve içerisinde yer alan bilgilerin kontrolü,
- Varsa ekte yer alan dosyanın güvenilir olduğuna emin olunmadan açılmaması,
- Genelleştirilmiş ifadelerin olup olmadığının kontrolü,
- Panik ve heyecan yaratan açıklamalara karşı dikkatli olunması gibi basit bazı önlemler yer alıyor.
Tüm bunları kapsayan ve siber güvenliği sağlamada en temel tedbir olan siber güvenlik farkındalığı kazanmak, herkesin sorumluluğudur. Sağlık yetkililerince yapılan açıklamalarda, COVID-19 virüsünün yayılmasına sebep olan temel unsurun insanlar olduğu açıklanmıştır. Unutulmamalıdır ki, siber dünyada en zayıf halka olarak kabul edilen insanın, oltalama e-postalarından etkilenmemesi ve yayılmasının önüne geçmesi, yine insanın farkındalığı ile mümkün olacaktır.
