Oltalama Saldırıları Nasıl Evrildi? Siber Saldırganlar Ne Tür Tuzaklar Kuruyor?

Başlarken:
‘Oltalama saldırısı nedir’ sorusuna ayrıntılı yanıtlar içeren makaleyi buraya tıklayarak okumanızı tavsiye ederiz.

Oltalama (phishing) saldırıları, adını oltaya takılan balıkları çağrıştırdığı için İngilizce fishing (balık tutmak) fiilinden alıyor. Phishing’deki fark, olta yerine e-mail kullanılması ve balık yerine internet kullanıcılarının avlanması.

İlk oltalama saldırılarının 1990’lı yıllarda AOHell yazılımı kullanılarak gerçekleştirildiği kabul ediliyor. Yazılım ile ABD’deki bir internet şirketi üzerinden hizmet alan kullanıcılara ait bilgiler ele geçiriliyordu.

İlk oltalama saldırıları başarılıydı, çünkü kullanıcıların daha önce karşılaşmadığı bir saldırı türüydü. Hemen ardından bazı başarılı önlemler alınmasına karşın 20 yılın ardından, ilk saldırı türü neredeyse hiç değişmeden devam ediyor. Çünkü oltalama, siber suçlular için çok yüksek başarı potansiyeli anlamına geliyor.

Geride kalan onlarca yılda teknoloji ve internete erişim yöntemlerinin değişmesi ile oltalama saldırılarının uygulanma şekillerinde değişimler yaşandı. İlk denemelerin ardından e-posta en çok kullanılan saldırı aracı haline geldi, çünkü hanelerde internet kullanımı yıllar ilerledikçe patladı ve kişisel e-posta adresleri de yayıldı.

Oltamala saldırılarının ilk versiyonları, kendilerini ele veren hatalara sahipti. Dil bilgisi hataları, hatalı düzenleme, düşük çözünürlüklü fotoğraf ve yazılar hemen dikkat çekiyordu. Yine de internetin ilk günlerinde insanlar mevcut risklerin farkında değildi ve tuzağa düşüyorlardı. Bazı oltalama kampanyaları var ki, direkt kendisini ele veriyor: Servetini size bırakmak isteyen Afrikalı prens veya on yıllardır kayıp olan akrabadan kalan miras. Öte yandan bazıları da o kadar gelişmiş olabiliyor ki müdürünüzden, arkadaşınız veya ailenizden gelip gelmediğini ayırt etmekte zorlanıyorsunuz.

Oltalama saldırılarının neden olduğu zarar

ABD Federal Araştırma Bürosu (FBI) tarafından yapılan tahmine göre, her yıl binlerce şirketi etkileyen oltalama saldırıları yılda ülke ekonomisinde 5 milyar dolar zarara neden oluyor.

Akıllarda kalan yakın geçmişe ait bir saldırı, Kanada’nın Alberta eyaletindeki MacEwan Üniversitesi’ni hedef almıştı. 2017’de yaşanan saldırıda, art arda atılan birkaç e-posta, üniversitenin ana tedarikçilerinden birine ödeme yapmak için kullanılan ödeme bilgilerinin çalışanlar tarafından değiştirilmesi ile sonuçlandı. Sonuç olarak, dolandırıcıların kontrolündeki banka hesabına satıcıya ait olduğu düşünülerek 11,8 milyon dolar iletildi.

Oltalama saldırıları nasıl görünüyor? 

Gelişmiş oltamala saldırıları ile kullanılan en yeni yöntemlerden biri “spray and spray.” Milyonlarca kullanıcıya gönderilen standart oltalama e-postaları, “Bankanızdan ACİL bir mesaj” olduğunu veya “loto kazandığınızı” ifade ediyor. Karşınıza çıkan e-postaya panik veya ‘bu kaçmaz’ diyerek hamle yapmanız, oltaya takılmanıza neden oluyor. Bazı e-postalar ise kullanıcıyı korkutmayı amaçlıyor. Örneğin kişi hakkında tutuklama emri olduğu ve eğer e-postadaki bağlantıya tıklanmazsa hapse atılacağı öne sürülüyor. Bu tip yöntemlerin telefonla dolandırıcılık türünde de sıklıkla kullanılabildiğini hatırlatalım.

Son derece basit olan bu oltalama saldırıları, kullanıcıları yönlendirmek için sahte bir sayfa bile kullanmıyor, tersine kişilerin direkt e-postaya cevap vermesi amaçlanıyor. Bazen de e-postalar kullanıcının merakını tetikliyor ve kötü amaçlı yazılım içeren bağlantıya tıklayıveriyorlar.

2016 yılında sayısız şirketi etkileyen Locky fidye yazılımı, “spray and spray” yöntemiyle on milyonlarca bilgisayara yayılmıştı.

Günümüzde, fidye yazılım kampanyaları bilgisayar ağlarına sızmak için sunuculara müdahale etmek ve uzaktan masaüstü erişim uygulamalarındaki zafiyetlerden de yararlanıyor. Koronavirüs döneminde ağırlıklı olarak fidye yazılım saldırıları için kullanılan oltalama e-postalarının başarı oranı çok yüksek değil, yine de birilerinin nihayetinde tuzağa düşmesi saldırıların sonuç vermesini sağlıyor.

Mızrak phishing nedir?

Türkçe’de genellikle mızrak oltalama, hedefli phishing veya “mızrak phishing” olarak kullanılan spear phishing, adından da anlaşılacağı üzere belli bir hedefe yönelen, özelleşmiş oltalama saldırısını temsil ediyor. Oltalamanın başarı ihtimalini artırmak için bir şirketi, şirketin bir departmanını hatta belli bir kişiyi hedef alan e-posta hazırlanıyor ve e-postanın okunması sağlanıyor.

Mızrak oltalama, özellikle siber suç örgütleri ve devlet sponsorluğundaki siber suçlular tarafından kullanılıyor. Ağırlıklı olarak, sanayi casusluğu için kullanıldığı biliniyor.

Tüketici seviyesinden bakıldığında, bu e-postalar bankanızdan gelen bir güncelleme olarak belirebilir. Size internetten adınıza bir sipariş yapıldığı söylenebilir ve bu da sahip olduğunuz herhangi bir hesabı ilgilendirebilir.

Suçluların siber saldırıya maruz kalmış kişileri hedef aldığı da biliniyor. Örneğin güvenlik şirketi olarak hedefe yaklaşılıyor ve “hesap güvenliğinin sağlanması için belli bilgilerin gerektiği” belirtiliyor. Mağdur, kendisine gönderilen sahte form veya sayfaya bilgilerini girerek tuzağa düşüyor.

• Mızrak oltalama tüketicileri ve genel internet kullanıcılarını hedef alıyor olsa da, ana kullanım amacı bir organizasyonun bilgisayar ağına sızmak.

Bu amaçla, karşınıza detaylı hasta raporu, iş ortaklarından gönderilmiş sahte bir fatura veya müteahhitten iletilen fatura şeklinde sahte e-postalar çıkabiliyor. Dahası bu gelişmiş saldırılar meslektaşınızdan gelen bir belge, CEO veya üst düzey bir yöneticiden iletilen mesaj olarak da belirebiliyor.

Mızrak oltalama e-postaları, sıradan bir mesaj yerine güvenilir bir kaynaktan gelen talimatı içeriyor. Okuyan kişinin (muhtemelen bir çalışan) kötü amaçlı yazılımı yükleyecek hatayı yapması veya hassas bilgileri teslim etmesi hedefleniyor. Daha fazla çaba ve zaman alsa da, mızrak saldırılarının siber suçlulara yönelik getirisi daha yüksek olabiliyor.

Siber suçlular, bir çalışanın hesabına müdahale ettikleri sırada elde ettikleri bilgileri bir diğer saldırı için kullanmayı da tercih ediyor. Çalışan bilgileri ile şirket bilgisayar ağlarına sızmak, “conversation hijacking” olarak biliniyor. Siber suçlular bu saldırıları genelde dark web forumlarından satın aldıkları çalıntı bilgiler ile gerçekleştiriyor. Nihayetinde, güvenilir bir kaynaktan gelen e-postaya tıklama olasılığı da artıyor.

Oltalama saldırılarından korunma yöntemleri için buraya tıklayabilirsiniz.