Son dönemde yaşanan siber saldırılar nedeniyle bireyler ayrıca kurumsal yapılar çeşitli güvenlik tehditleriyle karşılaşıyor.
Son dönemde yaşanan siber saldırılar nedeniyle bireyler ayrıca kurumsal yapılar çeşitli güvenlik tehditleriyle karşılaşıyor. Saldırılardan etkilenen kişi ayrıca kurumlar büyük kayıplara uğruyor. Peki alanda öne çıkan başlıca siber saldırı yöntemleri neler? Brandefense Kurucu Ortağı Hakan Eryavuz konuya ilişkin görüşlerini paylaştı.
Siber alanda yürütülen faaliyetler günden güne artarken, birçok kişi ayrıca kurum siber saldırılar nedeniyle zarara uğruyor. Tehdit aktörlerinin saldırılarından etkilenen mağdurlar yalnızca maddi olarak değil manevi anlamda da itibar kaybı gibi kayıplar yaşayabiliyor. Tüm bu gelişmeler, siber alandaki kullanıcı güvenliğini önemli ölçüde tehdit ediyor. Tehdit aktörleri son dönemde artan saldırılarda çeşitli yöntemleri tercih ediyor. Brandefense Kurucu Ortağı Hakan Eryavuz, siber saldırılarda kullanılan yöntemlere dair değerlendirmelerde bulundu.
Oltalama
Oltalama, sosyal mühendislik uygulamalarının kullanıldığı bir aldatma yöntemi olarak öne çıkıyor. Bu tarz yöntemlerde, tehdit aktörleri genellikle herhangi bir markanın web sitesini taklit ederek kullanıcı adı, parola, kredi kartı gibi hassas bilgileri ele geçirmeyi hedefliyor. Orijinal web sitesinin sayfa ayrıca adresinin taklit edilmesine dikkat etmeyen kullanıcılar, kullanıcı bilgilerini sisteme girdiklerinde, sisteme giriş yapamadıklarına dair hata alırken, bilgilendirmeler tehdit aktörlerinin eline çoktan geçmiş oluyor. Bu tarz kullanıcı hesapları genelde darkweb’te satışa çıkarılırken, çok hızlı bir şekilde alıcı buluyor. Günümüzde Instagram hesaplarında sıklıkla bir kişinin kendisine çok fazla para kazandırdığına dair hikaye paylaşımları görüyoruz. Bu durum aslında çalınan bilginin orada kalmadığına dair güzel bir senaryo olarak öne çıkıyor. İnsanlar güvendikleri hesapların bu gibi hikayelerinde bulunan linklere tıklayarak, bilgisayar veya telefonlarına farkında olmadan zararlı yazılım indirmiş oluyor. Brandefense olarak gözlemlediğimiz bu tarz verilere örnek verecek olursak paralı müzik uygulamaları, video kayıt ayrıca düzenleme uygulamaları, web stream uygulamaları, metin ayrıca görsel efekt gibi popüler uygulamaları taklit eden içerikler oluyor.
Şirket hesapları ile e-ticaret, eğlence, müzik, oyun gibi platformlara kayıt olunduğunda veya bu tarz hesaplara şirket e-postaları ile giriş yapıldığında ele geçirilen bilgilendirmeler şirketin kendisine de zarar verebiliyor. Buna güzel bir örnek olarak, e-mail içerikleri ile gerçekleştirilen oltalama saldırıları verilebilir. Yukarıda bahsedilen yöntemlerle ele geçirilien hesaplar, tehdit aktörleri tarafınca kendilerini şirket çalışanı gibi göstermek amacıyla kullanılabiliyor. Amaçlarına göre farklılık gösteren zararlı yazılımlar aracılığıyla e-mail dosya eki bulunan içerikler diğer şirket çalışanlarının indirmesi için teşvik ediliyor. Böylece, organizasyonun içerisine sızan bu zararlı dosyalar aracılığıyla kurumdaki hassas verilerin ele geçirilmesi veya çalışan sistemlerin manipüle edilmesi mümkün oluyor. Amaçlarına göre farklılık gösteren zararlı yazılımlar; bilgisayarı bot makinelere dönüştürebiliyor. Kritik sistemlere erişmek ayrıca ağ içerisinde farklı cihazlara da bulaşmak için faaliyet gösteren yazılımlar nedeniyle çeşitli senaryolarla karşı karşıya geliniyor. E-mail oltalamalarına farklı bir örnek olarak tehdit aktörlerinin kendilerini yönetim, finans, muhasebe gibi kritik pozisyonlardan birinde göstererek, hedef kişiyi kendisine para aktarması için ikna etmesi verilebilir. Brandefense bu tarz durumların önüne geçmek amacıyla darkweb, deepweb ayrıca surface web gibi kanalları sürekli tarayarak, markaları hesap bilgileri hakkında uyarıyor. Böylece markalar ayrıca kurumlar, ilgili kişileri erkenden uyarıp, oltalama faaliyetlerinin zararlı etkilerinden kurtarabiliyor.
Güvenlik zafiyetlerinden yararlanma
Oltalama dışında, tehdit aktörleri sistemlere erişim sağlamak için güvenlik zafiyetlerinden de sıklıkla yararlanıyor. Günlük hayatımızda interneti kullanmak için; tarayıcı, işletim sistemi, metin editörü gibi yazılımlarla çalışmak zorunda kalıyoruz. Kullandığımız yazılımlarda vakit vakit güvenlik zafiyetleri meydana çıkıyor. Tehdit aktörleri, bu zafiyetler aracılığıyla sistemlere sızmanın yollarını bulmaya odaklanıyor. Böylece, en popüler örnek olarak verebileceğimiz SSH ayrıca RDP gibi hizmetler, tehdit aktörleri tarafınca kendi çıkarlarına uygun olarak kullanılıyor. Secure Shell protokolünün kısaltması olan SSH, uzaktaki bilgisayarla güvenli bağlantı kurmayı sağlayan bir ağ protokolü olarak bilinirken, RDP uzak masaüstü bağlantısı anlamına geliyor. Erişim ayrıca yönetim amaçlı kullanılan bu teknolojilerde ortaya çıkan zafiyetler, zamanında fark edilmezse, şirketlerin veya kişilerin müdahale etmek için yeterli zamanı olmayabiliyor. Bu konudaki potansiyel tehditleri önlemek amacıyla en güncel versiyonlardaki yazılımların tercih edilmesi ile yazılımların ayrıca güvenlik hizmetlerinin lisanslı olması büyük önem taşıyor. Bu yüzden yazılım zafiyetleri Brandefense’in en önem verdiği konulardan birisi olurken, bu durumlar kullanıcılara profesyonel ekipler tarafınca zamanında bildiriliyor. Gerekli güncellemelerin yapılmasını sağlamak için günlük olarak açığa çıkmış zafiyetlerle ilgili taramalar yapılıyor. Böylece kurumlar ayrıca markalar geç olmadan bu zafiyetlerden haberdar olup gerekli önlemleri alabiliyor.
Halihazırda ifşa edilmiş bilgiler
Kullanıcıların geçmiş dönemde sızdırılan bilgilerinin darkweb’te satıldığı veya ücretsiz bir şekilde depolandığı biliniyor. Tehdit aktörleri para kazanma motivasyonuyla darkweb’teki bilgileri satın alarak bahsedilen sistemlere yetkisiz erişim gerçekleştirmek ayrıca zararlı yazılımlar dağıtabilmek için bu hesapları istismar ediyor. Kimlik bilgileri ayrıca kredi kartı bilgileri gibi değerli veriler yalnızca kullanıcı hesaplarına yetkisiz erişim elde ederek değil, aynı zamanda şirketinizin veri tabanına erişim sağlayarak da ele geçirilebiliyor. Bu veriler şirketlerin operasyonlarının durmasına sebep olacak boyutta ise şirketler maddi manevi kayıplara uğruyor. Günümüzde kritik sistemlere yetkisiz erişim elde eden aktörler, dosyaları şifreleyerek kullanılamaz hale getiriyor ayrıca şifreleri çözmek için yüklü miktarlarda fidye talep ediyor. Eğer mevzu bahis veriler, fidye ödenmemesi halinde kamuya açık alanlarda paylaşılırsa, rakip kurumların şirket için hassas olan veriler hakkında bilgilendirme sahibi olması muhtemel oluyor. Bu sebeple, geçmiş dönemde sızdırılan veriler nedeniyle zarar görmemek için düzenli periyotlarla kurumsal mail hesaplarının güvenliğini sağlamak büyük önem taşıyor.
Ve doğrudan hesaplar üzerinden erişilemeyen bazı veriler, sosyal basın mecraları gibi kamuya açık olan kaynaklardan elde edilebiliyor. OSINT (açık kaynak istihbaratı) teknikleri ile halka açık ortamlarda dijital parmak izinizi ele geçiren aktörler, bu yolla toplanan verileri kötü amaçlarla kullanabiliyor.
Kaba kuvvet
Kaba kuvvet, yetkisiz erişim elde etmek amacıyla uygulamalara ait oturum açma bilgilerini, parolalarını veya kredi kartı bilgilerini elde etmek için kullanılan bir deneme yanılma yöntemi olarak öne çıkıyor. Bu yöntemden faydalanan tehdit aktörleri rastgele karakterler deneyerek hedef hesaplara giriş yapmaya çalışıyor. Bu noktada, şirketlerin ayrıca bireylerin alabileceği oldukça basit önlemler bulunuyor. İlk etapta, kullanıcıların farklı hesaplar için benzer parolalar kullanmaması için hassasiyet göstermesi gerekiyor. Her bir hesap için farklı ayrıca karmaşık parola değerlerinin kullanılmasının yanı sıra, çok faktörlü kimlik doğrulama özellikleri de güvenliği artırıyor.
İçeriden Tehditler
Bazı vakalarda çalışanlar tehdit aktörlerine erişimi izni sağlayabiliyor. Şirket hakkındaki önemli bilgileri çalan personeller, eldeki bilgileri mevzu bahis aktörlere verebiliyor. Bu gibi hadiselerin neden yaşandığını düşünenler olabilir. Saldırıdan dolaylı olarak menfaat sağlamak isteyen veya şirketten intikam almaya çalışan kişiler bu yönteme başvurabiliyor. Şirketlerin bu gibi hadiselerin yaşanmaması için şirket içindeki yetkilendirme kurallarını gözden geçirmeleri gerekiyor.
