Küresel Ölçekte Öne Çıkan Covid-19 Odaklı Siber Dolandırıcılıklar

Siber güvenlik uzmanları koronavirüs pandemisinin siber suç dünyasını nasıl etkilediğini ve Covid-bağlantılı genel trendleri inceledi. Tanınmış bir siber güvenlik şirketi tarafından hazırlanan en son raporda, pandemi nedeniyle çevrimiçi hizmetlere bağımlılığın arttığı ve siber suçluların da bunu fırsata çevirdiği kaydedildi.

Koronavirüs önlemleri ve yürürlükteki karantina kuralları nedeniyle birçok işletme fiziksel işlemlerine son verirken iş akışlarını çevrimiçi ortamda sürdürmek zorunda. Ayrıca tüm dünyada hükümet kurumları ile medikal kurumlar, tele-sağlık hizmetlerini artırmak ve aşılama sürecini yönetmek için çevrimiçi hizmetleri daha fazla kullanıyor.

Çevrimiçi platformlar tüketicilerin ekonomik ve sağlık odaklı ihtiyaçlarını karşılama esasıyla artarken siber dolandırıcılar da meşru hizmetleri taklit ederek kötü amaçlı yazılım yükleme ve veri hırsızlığı gerçekleştirmeyi hedefliyor.

Siber suçlular bilinen kurum ve kişilikleri taklit ederek e-postaların, web sayfalarının veya uygulamaların sahtelerini oluşturuyor. Bu sebeple tüketiciler meşru ile sahte kaynaklar arasındaki farklılığı tespit etmekte kimi zaman zorluk çekebiliyor. Özellikle çevrimiçi hizmetleri kullanmaya alışkın olmayan ileri yaştaki tüketiciler için güvenlik riski giderek yükseliyor.

İlginizi Çekebilir: Covid-19 Süreci Devam Ederken Siber Saldırı ve Dolandırıcılıklara Karşı Alınması Gereken Tedbirler

Siber tehditlerinin yanı sıra, Facebook ve Twitter gibi sosyal ağlar üzerinden yayılan yanlış bilgilerin de dolandırıcılık riskini artırdığı belirtiliyor.

Aşılama kampanyalarının hayata geçtiği günümüzde, siber dolandırıcıların en son hedefi Covid-19 aşılarını sosyal mühendislik yöntemlerine alet etmek.

Son aylarda yapılan tespitler, ABD, İtalya ve Almanya başta olmak üzere birçok ülkede koronavirüs aşısı teması kullanan spam kampanyalarının Emotet, Fareit, Agent Tesla ve Remcos gibi tehditleri yaymak için kullanıldığı gösterdi.

Ocak ayına kadar takip edilen bir Emotet Trojan kampanyasının Daily COVID reporting.doc, DAILY COVID-19 Information.doc, NQ29526013I_COVID-19_SARS-CoV-2.doc ve GJ-5679 Medical report Covid-19.doc gibi dosya uzantıları barındırdığı tespit edildi.

Sahte e-postaların içerdiği bağlantılar incelendiğinde ise Covid-19 aşısı anketi, klinik testleri ve çeşitli kılavuzlar şeklinde hazırlanmış kötü amaçlı dosya taşıyıcıları ortaya çıkarıldı.

Covid-19 aşılarına dayanan kampanyanın yaklaşık 100 adet C2 (kumanda ve kontrol) sunucusu kullandığı anlaşıldı. Her bir sunucu güvenlik uzmanları tarafından etkisiz hale getirildi.

Benzer temalı saldırılar arasında yer alan Fareit Trojan kampanyası, tüketicileri tuzağa düşürmek için Dünya Sağlık Organizasyonu’nun (WHO) ismini kullanıyor. WHO taklidi yapan e-postalarda Covid-19 aşıları, pandemi tehdidi, aşılara ait en son bilgiler gibi çeşitli konulara ait raporlar yer alıyor.

Bilgi çalmak için hazırlanan kötü amaçlı eklentiler as .arj ve .rare uzantıları olarak beliriyor ve Corona-virus vaccine.arj, vaccine release for Corona-virus(COVID-19)_pdf.rar ve COVID-19 VACCINE SAMPLES.arj. gibi isimler taşıyan dosyalarda saklanıyor.

Koronavirüs temalı dolandıcılıklarda aynı zamanda Lokibot, Agent Tesla, Formbook, Remcos ve Nanocore kötü amaçlı yazılımlarının yayıldığı, bazı oltalama yöntemlerinde ise Android Anubis kötü amaçlı yazılımının taşındığı görülüyor.

İlginizi Çekebilir: Covid-19 Siber Saldırıları ile İlgili 10 İstatistik 

Covid-19 tehditleri dünyanın her yerinde!

Geçtiğimiz yıl düzenlenen saldırılarda kısa adı EMA olan Avrupa İlaç Ajansı hedef alınmış ve çalınan organizasyon içi e-postalar ile aşı geliştirme süreci darbeye uğramıştı. Halihazırda Britanya Ulusal Sağlık Hizmeti taklidi yapan dolandırıcıların sahte aşı randevuları üzerinden saldırı düzenlemeye çalıştığı belirtildi.

Güvenlik uzmanları, özellikle aşılama kampanyalarının hızlandığı ülkelerde ilk veya ikinci aşısı için randevu almayı bekleyen kişilerin bu tuzaklara düşebileceği uyarısında bulundu. Randevusunu onaylaması gereken kişilere, sahte e-posta’da “onay verip vermedikleri” soruluyor. Hangi seçeneğe tıklanırsa tıklansın kişi, sahte bir formun bulunduğu sayfaya yönlendiriliyor ve kişisel bilgilerini girmesi isteniyor.

Benzer bir saldırının Meksika’da tespit edildiği ve ulusal aşı laboratuvarı El Chopo’yu taklit eden siber dolandırıcıların aşı kartları sunma hizmeti görüntüsü altında sahte randevular düzenlediği anlaşılmıştı.

Covid-19 aşılarının birçoğunun aşırı soğuk tutulmasının gerekmesi, bazı dolandırıcıların da şirketleri hedef almaya ve soğuk tedarik zincirlerine saldırmaya itti. Örneğin, Eylül 2020’de güvenlik uzmanları Unicef’in Soğuk Zincir Malzemeleri Optimizasyon Platformu’nu (CCEOP) hedef alan sahte e-postalar tespit etti. E-postalardaki eklentilerin oltalama ve veri hırsızlığı alan adları içerdiği anlaşıldı.

Saldırı unsuru taşıyıcısı olarak kullanılan bir diğer araç, SMS mesajları. SMS mesajları üzerinden aşı randevu kontrolü, kaydı, Covid-19 ödenekleri, sağlık ürünleri siparişi gibi işlemlerin yapılıyor olması, tüm bu işlemlerin dolandırıcılığa da yöneltilmesine neden oluyor.

Saldırılara ilişkin trend değişiyor…

Söz konusu rapor, pandemi ile bağlantılı kötü amaçlı alan adlarının da hızla arttığına dikkat çekti. “Covid” temalı yaklaşık 75.000 sahte web sayfası tespit edilirken, tehditlere ilişkin trendin de Covid’den hızla “vaccine” yani aşıya evrildiği anlaşıldı.

Aşı konseptini kullanan sahte sayfaların büyük kısmı, BioNTech, Gam-Covid-Vac ve Sputnik gibi meşru biyo-medikal şirketlerin ya da aşıların isimlerini kullanıyor.

Her ne kadar yukarıda bahsedilenlerin hepsi internette yaşanıyor olsa da suç unsurları aynı zamanda sahte ve yasadışı koronavirüs aşıları üzerinden de dolandırıcılık yapıyor.

Dark web üzerinden siber suçluların sahte aşılar satmasına izin veren hizmetler bulunduğu gibi siber dolandırıcılar sadece aşı geliştirilmekle kalmadıklarını, aşılarını küresel alanda dağıtabildiklerini iddia ediyor.

Bir diğer dark web sayfası insanların sağlık durumunu bilmek amacıyla çeşitli sorular cevaplamalarını isterken e-posta adresleri gibi iletişim bilgilerini alıyor ve ilaç/aşı karşılığında Bitcoin ile ödeme talep ediyor.

Son olarak kısa adı Interpol olan Uluslararası Suçlar Polis Organizasyonu, internet üzerinde giderek artan pandemi temalı dolandırıcılık eylemleri üzerine 2020’de üst düzey tehdit uyarısı yapmıştı.