Tehlike Büyüyor! 500 Binden Fazla Zoom Hesabı Siber Suç Karaborsalarında Satışa Çıkarıldı 

Güvenlik araştırmacıları, gizlilik skandalları nedeniyle Google, NASA, SpaceX, ABD Senatosu, Almanya Dışişleri Bakanlığı ve Tayvan hükümeti dahil birçok şirket ve devlet tarafından yasaklanan Zoom hakkında endişe verici yeni bilgilere ulaştı.

Siber suçlular tarafından ele geçirilen en az 500 bin Zoom hesabının darkweb üzerindeki siber suç forumlarında satışa çıkarıldığı belirtildi. Hesap başına talep edilen ücret 0.0020 sent olurken, bazı hesapların bedavaya verildiği kaydedildi.

Öte yandan araştırmacılar, yüz binlerce kullanıcıya ait kişisel bilgilerin doğrudan Zoom üzerinden çalınmadığına dikkat çekti. İncelemeler, bilgilerin ağırlıklı olarak “kimlik bilgisi doldurma” (credential stuffing) adı verilen saldırı yöntemi ile ele geçirildiğine işaret etti. Kimlik bilgisi doldurma saldırısı, botnet ağları üzerinden düzenlenen oltalama saldırıları ve güvenlik bariyeri ihlalleri ile gerçekleştiriliyor. Bot ağlara bağlı bilgisayarlar, bu iki saldırı ile özellikle aynı ve basit kurgulanmış şifrelerin kullanıldığı sistemlerden veri çalıyor.

Güvenlik araştırmacıları, Zoom kullanıcılarına ait e-posta adresleri ve şifrelerin ilk olarak metin paylaşım sayfalarında göze çarptığını söylüyor. Siber suçlular tarafından çalınan verilerin yayınlandığı sayfalar üzerinden 530 bin e-posta adresi ve şifreyi satın alan güvenlik uzmanları, söz konusu verilerin geçerli olduğunu doğruladı. Veriler arasında bilgileri çalınan kullanıcının e-posta adresi, şifresi, kişisel toplantı için kullandığı URL ve HostKey (toplantıyı düzenleyen kişinin toplantı kontrolleri için yetkili kişi olduğunu doğrulayan kod) yer alıyor.

Siber suçluların darkweb forumları ve siber suç sektöründe prestij elde etmek için ele geçirdikleri verileri çok ucuz bir fiyata sattıkları, hatta bedavaya verdikleri düşünülüyor.

Birçok üniversiteye ait hesaplar çalındı 

Bazıları siber suçlular tarafından bedava verilen 290 çalıntı hesaba ait bilgilerde yapılan incelemeler, söz konusu hesaplar arasında üniversitelerin de olduğunu ortaya çıkardı. Vermont, Colorado, Dartmouth, Lafayette ve Florida Üniversitesi’ne ait hesaplar şu ana kadar tespit edilen çalıntı veriler arasında.

Hesapların ilgili üniversitelere ait olduğu doğrulanırken bazı şifrelerin uzun süredir kullanılan, hatta eski siber güvenlik saldırılarında ele geçirilmiş şifreler olduğu anlaşıldı.

Güvenlik incelemelerinde yer alan şirketlerden Cyble, taranan çalıntı bilgiler arasında kendi müşterilerine ait hesaplar bulunduğunu duyurdu ve çalınan e-posta adresi ile şifrelerin geçerliliğini doğruladı.

Güvenlik uzmanları halihazırdaki Zoom kullanıcılarının uygulamaya giriş yaptıkları şifreyi vakit kaybetmeden değiştirmeleri gerektiği uyarısında bulundu. Ayrıca, Zoom şifresinin farklı uygulama ve web sayfalarında kullanan kişilerin bu uygulama ve sayfalar için de şifrelerini yenilemeleri gerektiği ifade edildi.

Darkweb sunucuları Zoom şifreleri ile dolu

Araştırmacılar, tek bir darkweb karaborsasına ait forumda 2 bin 300’den fazla Zoom kullanıcısına ait hesap bilgisi bulunduğunu tespit etti. Çalıntı bilgiler kullanıcıların toplantı kimliklerini, isim ve hostkey’lerini içeriyor.

Darkweb forumlarındaki arşivlerde tespit edilen Zoom hesaplarının bankacılık, danışmanlık, sağlık ve yazılım başta olmak üzere birçok sektörde yer alan şirkete ait olduğu bilgisi aktarıldı. Sunucunun yanı sıra bir diğer darkweb forumunda 352 adet Zoom hesabına ait veri bulunduğu da ortaya çıkarıldı.

Siber suçlular, ele geçirdikleri Zoom hesap bilgileri ile web konferans aramalarına erişim sağlayabilir. Bu şekilde önemli şirket dosyalarına, fikri mülkiyet verilerine, finansal bilgilere erişebilir ve darkweb gibi internetteki yasa dışı karaborsa platformlarında bu veriler satışa çıkarılabilir. Dahası ele geçirilen veriler, bir diğer siber saldırı yöntemi olan sosyal mühendislikte kullanılabilir ve e-posta/SMS mesajları üzerinden çalışanlar tuzağa düşürülebilir.

Şirketler için en büyük tehdit ise Zoom hesabı çalınmış çalışanın siber suçlu tarafından taklit edilebilecek olması. Siber suçlular hesabını çaldığı kişi üzerinden diğer çalışanlara ait hassas verilere ulaşabileceği gibi sosyal mühendislik saldırıları da düzenleyebilir. Örneğin göndereceği mesaj ile finansal veya yüksek profilli bir operasyonel işlemin gerçekleştirilmesine neden olabilir.

Video konferans uygulamaları büyük tehdit altında

Koronavirüs salgını nedeniyle on milyonlarca çalışanın evden işlerine devam etmeye çalışması, siber suçluların video konferans uygulamalarına yönelik saldırılarını eşi benzeri görülmemiş bir seviyeye çıkardı. Örneğin tespit edilen en son saldırılardan biri, Cicso Webex web konferans platformunu hedefliyor. Siber suçluların hazırladığı sahte güvenlik uygulaması, kullanıcıların “önemli bir güncelleme” indirmesi gerektiğine işaret ediyor. Uygulama komut dosyasının indirilip çalıştırılması halinde bilgisayarlara kötü amaçlı yazılım yüklüyor.

Güvenlik uzmanları bu tür tuzaklara düşmemek için her türlü yazılım veya uygulamanın mutlaka ilgili firmanın resmî web adresinden indirilmesi gerektiği uyarısını yineliyor. Ek olarak, ücretli bir antivirüs yazılımı kullanılması bilgisayarlara indirilen kötü amaçlı dosyaların tespiti açısından önem taşıyor.