34 infosec uzmanı, en yaygın sosyal mühendislik saldırılarının nasıl önleneceğini tartışıyor.
Sosyal Mühendislik saldırıları yalnızca işletmelere karşı yaygınlaşmamakla birlikte giderek daha karmaşık hale geliyor. Hackerlar şirket verilerini ele geçirmek amacıyla şirket çalışanlarını kandırmak için yeni yöntemler geliştiriyor ve bu yöntemlere karşı önlem almak ve onlardan iki adım önde olmak için çok büyük bir çaba sarfetmek gerekiyor.
Sosyal Mühendislik saldırıları tipik olarak psikolojik manipülasyon içerir. Bu manipülasyon ile birlikte çalışanları kullanıp kandırarak hassas verileri ele geçirmeye yönelik yapılan saldırılar bütünüdür. Genellikle sosyal mühendislik uygulanan kurbana korku veya benzeri bir duygu uyandıran e-posta yollanır ve e-postadaki bağlantıya tıklaması ya da virüslü dosyayı açması sağlanır. Sosyal Mühendislik insan unsurunu içerdiğinden dolayı sosyal mühendislik saldırılarını önlemek zor olabilir.
Şirketleri, çalışanları ve kullanıcıları sosyal mühendislik saldırılarını nasıl tanıyacakları konusunda eğitmek istiyoruz. Modern işletmelere karşı kullanılabilecek olan en yaygın sosyal mühendislik saldırılarını açığa çıkarmak ve bu saldırıların nasıl önlenebileceğine dair ipuçları almak için, veri güvenliği uzmanları ve işletmelerin liderlerinden oluşan bir gruptan aşağıdaki soruyu yanıtlamalarını istedik:
"Şirketlere yapılan yaygın sosyal mühendislik saldırıları nelerdir ve bu saldırılar nasıl önlenebilir?"
İşte uzmanların cevapları:
STU SJOUWERMAN
Stu Sjouwerman, dünyanın en popüler güvenlik farkındalığı ve simüle edilmiş kimlik avı platformuna ev sahipliği yapan KnowBe4, LLC'nin kurucusu ve CEO'sudur. Bilgi teknolojileri sektöründe 30 yılı aşkın bir süredir veri güvenliği uzmanı olan Stu Sjouwerman, 2010 yılında satın alınan çok sayıda ödüllü bir şirket olan Inc. 500 şirketi, Sunbelt Software'in kurucu ortağıdır. Güvenlikte insan unsurunun ciddi bir şekilde ihmal edildiğini fark eden Sjouwerman yeni bir güvenlik farkındalık eğitimi yaparak bu eğitimi kuruluşlara verip siber suçlarla mücadele konusunda yardımcı olmaya karar verdi. KnowBe4; sağlık, finans, enerji, devlet ve sigorta gibi yüksek düzeyde düzenlenmiş alanlar dahil olmak üzere çeşitli sektörlerde 1.200'den fazla kuruluşa hizmet veriyor ve yıllık %300 lük devasa bir büyüme yaşıyor. Sjouwerman "Cyberheist: The Biggest Financial Threat Facing American Businesses". Yani Amerikan işletmelerinin karşılaştığı en büyük finansal tehdit kitabının yazarıdır.
Kevin Mitnick
Dünyanın en ünlü hacker'ı olarak tanınan, güvenlik açıklarını belirleme konusunda kapsamlı deneyime sahip uluslararası alanda tanınan bir bilgisayar güvenliği uzmanıdır. Şimdiye kadar geliştirilen en dayanıklı bilgisayar sistemlerinden bazılarına giren oldukça yetenekli bir hacker olarak ün kazanmıştı. Günümüzde ise bilgi güvenliği danışmanı olarak tanınmaktadır ve The New York Times'ın en çok satan Ghost in the Wires kitabı da dahil olmak üzere 4 kitap yazmıştır. Ayrıca KnowBe4, LLC ile işbirliği yapmaktadır.
Sosyal Mühendislik Teknikleri
Peki sosyal mühendislik uygulamada neye benziyor? Güvenilir bir kuruluştan gelen e-posta gibi görünebilir. Fakat bu maili açıp eke tıklarsanız kötü amaçlı bir yazılım veya fidye yazılımını yüklüyor olabilirsiniz. Yani özetle tıklamadan önce düşünün.
Sosyal Mühendislik Saldırıları
Symantec Security Response'ın teknik direktörü, hackerların genellikle Windows'taki teknik güvenlik açıklarından yararlanmaya çalışmadığını söyledi. Yani insan faktörünün peşinden gidiyorlar. Zayıf bir anı yakalayıp insan faktöründen faydalanarak uygun zamanda birine kötü niyetli bir e-posta eki açtırmak için Windows'taki teknik güvenlik açıklarını belirlemek kadar teknik bilgiye ihtiyacınız yok yani. Karşılaştıkları hackerların yalnızca %3'ü teknik bir kusurdan yararlanmaya çalışıyor. Kalan %97'lik kısım sosyal mühendislik kullanmayı tercih ediyor.
Phishing (Oltalama)
En yaygın sosyal mühendislik saldırıları oltalama yönteminden gelmektedir. Veri sızıntı olaylarının %91'i oltalama yönteminden kaynaklandığı için sosyal mühendislik uygulamaları arasında en önemli kavramlardan birisidir.
Here are some of the worst:
A.Mahkeme Bildirimi - Hackerlar 'Baker & McKenzie' adlı gerçek bir hukuk firmasından oltalama maili geldiğini iddia eden, mahkemeye çıkmanız gerektiğini ve bunun planlandığını hatta mahkeme bildiriminin bir kopyasını görüntülemek için bir bağlantıya tıklamanız gerektiğini söyleyen oltalama mailleri gönderiyorlar ve bu bağlantıya tıklarsanız kötü amaçlı yazılımı indirip yüklemiş olursunuz.
B.IRS Fidye Yazılımı- Birçoğumuz 15 Nisan vergi son ödeme tarihinden önceki zamana kadar bekledik ve şu anda nefesimizi hep birlikte ödüllendirici bir geri ödeme için tutuyoruz. Sorun, saldırganların bu beklentinin farkında olmaları ve vergi mükelleflerini kandırmak için sosyal mühendislik taktikleri uygulamalarıdır. Fidye yazılımı kullanıcının tüm verilerini şifreleyen bir şeydir. Mesela bir word dosyası olabilir vergilerle ilgili haber bekliyorsanız ve bu mail size kurumsal bir firma gibi gözüken mailden gelmişse siz de ek bağlantıya tıklamışsanız fidye yazılımını indirip yüklemiş olursunuz.
C.Proofpoint'deki araştırmacılar kısa bir süre önce CareerBuilder'daki belirli iş ilanlarından kaynaklanan bir oltalama kampanyası keşfettiler. İş portalının kullandığı bildirim sisteminden yararlanan hackerlar, özgeçmişler yerine kötü amaçlı dosyalar yükledi ve bu da CareerBuilder'ı bir teslimat aracı gibi hareket etmeye zorladı.
Saldırı kötü amaçlı yazılımın bulaştığı bir Word belgesinin (özgeçmiş.doc yada cv.doc) bir iş ilanına gönderilmesiyle başladı. CareerBuilder'da birisi bir iş ilanına belge gönderdiğinde işi yayınlayan kişiler için bildirim e-postası oluşturuluyor ve bu ek de e-posta'ya dahil ediliyor.
D.Geçtiğimiz Haziran, Durham; New Hampshire polis departmanı, , yasal gibi görünen bir e-postaya tıkladığında fidye yazılımlarının kurbanı olmuştu. Tabii Tewksbury, MA, Dickson County, Swansea gibi diğer polis departmanları da aynı şekilde.
Oltalama yoluyla gerçekleştirilen birkaç sosyal mühendislik saldırıları:
Banking Link Scam: Hackerlar size bankanıza aitmiş gibi görünen sahte bir bağlantı içeren e-posta yollayarak kimliğinizi ve şifrenizi girmeniz için sizi kandırabilir.
30 ülkeyi kapsayan milyon dolarlık bir soygun olan, Kaspersky güvenlik firması tarafından Carbanak lakaplı yaklaşık bir milyar dolarlık kayıp fon 2015'in Şubat ayında kapsamlı bir şekilde rapor edildi.
Bu olayda, çalışanlara oltalama mailleri gönderiliyordu ve oradan nakit transferi yapmalarına ya da ATM'leri uzaktan çalıştırmalarına, hesap bilgilerini değiştirmelerine olanak tanıyan yerleri kontrol edene kadar bankaların sistemlerine daha derin bir yere ulaşmaya çalışıyorlardı. Böylesine büyük bir olayın saldırı şeması ise oldukça basitti:
Bir meslektaştan geliyormuş gibi görünen bir bağlantı içeren bir e-posta, yayılabilen bir kötü niyetli yazılımı içeriyordu. Hackerlar kuruluşun işleri nasıl yaptığını öğrenmek için bilgisayarlarda olan her şeyi kaydetti ve sisteme hakim olduklarında ATM'leri hedef alan saldırıyı gerçekleştirdiler ve bir müşterinin hesap bakiyesi 1.000 dolardan 10.000 dolar olacaktı bu 10.000 doların 9.000 $ ise hacker'a gidecekti.
Faks Bildirimi Dolandırıcılığı: Sahte bir faksa yapılan sahte bir bağlantıdır ama bilgisayarınıza zarar verir. Bu baya yaygın bir yöntemdir. Özellikle belge yönetimi, tapu şirketler, sigorta ve diğer finansal hizmet şirketleri gibi faksları halen yoğun bir şekilde kullanan firmalar için tehlikelidir.
Dropbox Link Scam: Dropbox'ta sizi bekleyen bir sürprizimiz var. Bunun birkaç farklı türü 2014'te çalışıyordu. Biri tıkladığında kullanıcılara tarayıcılarının güncelliğini yitirdiğini ve güncellemeleri gerektiğini belirten bir sayfaya yönlendiren sahte bir Dropbox şifre sıfırlama oltalama postasıydı ve tabi ki kötü amaçlı bir yazılım olan truva atı olarak bilinen bu yazılımı çalıştırmaya yönelikti.
Bir diğeri de CryptoWall fidye yazılımı gibi kötü amaçlı yazılımları barındıran Dropbox bağlantıları içeren bir e-postaydı.
Mahkeme sekreteri şikayet bağlantısı dolandırıcılığı: Şikayetinizi onaylayan sahte bir bağlantı gönderilir.
Facebook Mesaj Bağlantısı dolandırıcılığı: Vin Diesel öldü. Bu bağlantıya tıklayarak...
Bu genellikle ünlü birisi öldüğünde kullanılıyor. Robin Williams'ın cep telefonuyla veda ettiği özel bir videoyu görmeye davet eden sahte bir Facebook mesajı çıkmıştı geçenlerde. Elbette video yoktu ve bağlantı vardı. Tıklayanların dolandırıldığı sahte bir BBC haber sayfasına yönlendiriyorlardı.
Başkalarını eğittiğimiz ve müşterilerimizin kullanması için oltalama kampanyaları oluşturduğumuzdan dolayı bana prank yapmak amacıyla çalışanlarımdan birisi sosyal mühendislik saldırısını benim üzerimde denemeye çalıştı.
Bu 2 aşamalı bir saldırıydı ve kimlik bilgilerimi açıklamamı sağlamaya çalışıyordu. Bana aşağıdaki e-postayı gönderdiler. Bu şakayı bana yapacak olan çalışanlarım ödevlerini yapmış ve hazırlıklı gelmişler ki SpiceWorks forumunda aktif olduğumu biliyorlardı.
[email protected]
10:45 AM (1 saat önce)
Kime: stus
Stu,
Bir güvenlik forumunda securitybull72 çalışan olduğunu iddia eden bir kullanıcının genel olarak şirket ile ilgili bazı olumsuz yorumlar yayınladığını fark ettim. Bana bazı örnekler verdi ve istemeden şirketle ilgili gizli bilgileri ifşa etmiş olabilir.
http://www.spiceworks.com/forums/sec...234664/2345466.
Lütfen onunla konuşur musun?
Teşekkürler.
10 kişiden 9'u böyle bir sosyal mühendislik saldırısına düşecektir. Beni kurtaran şey ise bağlantının üzerine geldiğimde alanın simüle edilmiş oltalama saldırıları için kendim oluşturduğum bir alan olduğunu görmemdi. Ama bu saldırıya az daha kurban gidiyordum. Gelelim en iyi önleme eylemlerine:
En iyi önleme eylemleri şunlardır:
1.Kullanıcıları oltalama maillerin nasıl görüneceği ile ilgili eğitin.
2.Her ihtimale karşı yedekleme yapın ve bu yedeklemeleri düzenli olarak test edin.
PAUL KUBLER
Paul Kubler, uluslararası bir siber güvenlik firması olan LIFARS LLC'de siber güvenlik uzmanıdır. Kendisi Boeing'in eski bir çalışanıdır. Daha öne ağ ve sistem altyapısında Flushing Bank'ta çalıştı ve sistem içinde çeşitli seviyelerde değerli finansal verileri korudu. Paul ayrıca suçluların yargılanması konusunda yardımcı olmak için mobil cihazlarla ilgili araştırmalar gerçekleştirdi. Sistemleri güçlendirmek ve uluslararası bir organizasyona koruma sağlamak için çalıştı. Ayrıca, derinlemesine bir savunma stratejisine sahip iş ağlarını yarattı ve bu ağlara güvenlik duvarları uyguladı.
Daha yaygın olan sosyal mühendislik saldırılarından bazıları ve bunların nasıl önleneceği ile ilgili bilgiler
Phishing (Oltalama)
Oltalamanın ne olduğunu açıklamıştık. Bu saldırıları kullananlar genellikle bir Tor ağının veya benzerinin arkasına saklanırlar. Özellikle de bunu bir gelir kaynağı olarak kullanan organize suçlar tarafından destekleniyorlarsa bulmak daha da zorlaşır.
RANSOMWARE
Son yıllarda fidye kullanımı yazılımlarında önemli bir artış olduğunu gördük. Genellikle .PDF.zip veya .PDF.rar dosya uzantısına sahip "Acil Hesap Bilgisi" gibi bir ek gönderirler kurban da genellikle şüphelenmez. Bu fidye yazılımları genellikle tüm sabit diski şifreler ve kilidi açmak için bir bitcoin ödemesi gerektirir.
Bu saldırıların kurbanı olmamak için neler yapmamız gerekir?
Şirketiniz neler yapabilir?
Çalışanlarınızı eğitmeniz gerekli. Çünkü onlar en zayıf halkadır. En azından yılda bir eğitim almaları gerekmekte.
DOUG FODEMAN
Doug Fodeman The Daily Scam'in içerik yöneticisi ve ortak sahiplerinden biridir. The Daily Scam; bireylerin, şirketlerin ve kuruluşların risklerini önemli ölçüde azaltmak için internet tabanlı tehditlere ve dolandırılıklara karşı farkındalığı arttırmak amaçlı kurulmuş bir web sitesidir. E-posta saldırılarının yaygın olduğunu belirtmiştik. Bu yaygın saldırıların asıl olayı merak uyandırmaktır. Yani size bir e-postayı açtırmak istiyorlarsa bu e-postayı açtıracak ilgiyi belirlemek. İşte saldırganların asıl amacı budur. En etkili konu başlıklarından bazıları genellikle basittir:
? Özel davet önerisi: Çevrimiçi dosyanıza erişildi.
? Annenize 26,96 $ lık mükemmel bir hediye alın
? Dikkat edin ve kariyerinizin yükselişini izleyin
? Arp hakkında bilgi edinin
? Hizmet iptali tarihi 10 Mayıs
? Teslimatınız için onaylayın
? 3k transferinizi Pazartesi gününe kadar onaylayın
? Gelen faks
? Yeni sağlık reformu yasaları
? İlk yıl için ilgi yok
? Ödeme bildirimi
? Telefon numaran
Gördüğünüz gibi hep ilgi uyandırıcı ama özünde basit olan e-posta başlıkları bunlar. Ne yazık ki çoğu şirket tüm güvenlik harcamalarını donanım üzerinde gerçekleştiriyor yani diğer bir deyişle insan faktörünü işin içine katmıyorlar ve çok az şirket çalışanlarına bu eğitimi verebiliyor.
Sosyal Mühendislik saldırıları yalnızca işletmelere karşı yaygınlaşmamakla birlikte giderek daha karmaşık hale geliyor. Hackerlar şirket verilerini ele geçirmek amacıyla şirket çalışanlarını kandırmak için yeni yöntemler geliştiriyor ve bu yöntemlere karşı önlem almak ve onlardan iki adım önde olmak için çok büyük bir çaba sarfetmek gerekiyor.
Sosyal Mühendislik saldırıları tipik olarak psikolojik manipülasyon içerir. Bu manipülasyon ile birlikte çalışanları kullanıp kandırarak hassas verileri ele geçirmeye yönelik yapılan saldırılar bütünüdür. Genellikle sosyal mühendislik uygulanan kurbana korku veya benzeri bir duygu uyandıran e-posta yollanır ve e-postadaki bağlantıya tıklaması ya da virüslü dosyayı açması sağlanır. Sosyal Mühendislik insan unsurunu içerdiğinden dolayı sosyal mühendislik saldırılarını önlemek zor olabilir.
Şirketleri, çalışanları ve kullanıcıları sosyal mühendislik saldırılarını nasıl tanıyacakları konusunda eğitmek istiyoruz. Modern işletmelere karşı kullanılabilecek olan en yaygın sosyal mühendislik saldırılarını açığa çıkarmak ve bu saldırıların nasıl önlenebileceğine dair ipuçları almak için, veri güvenliği uzmanları ve işletmelerin liderlerinden oluşan bir gruptan aşağıdaki soruyu yanıtlamalarını istedik:
"Şirketlere yapılan yaygın sosyal mühendislik saldırıları nelerdir ve bu saldırılar nasıl önlenebilir?"
İşte uzmanların cevapları:
STU SJOUWERMAN
Stu Sjouwerman, dünyanın en popüler güvenlik farkındalığı ve simüle edilmiş kimlik avı platformuna ev sahipliği yapan KnowBe4, LLC'nin kurucusu ve CEO'sudur. Bilgi teknolojileri sektöründe 30 yılı aşkın bir süredir veri güvenliği uzmanı olan Stu Sjouwerman, 2010 yılında satın alınan çok sayıda ödüllü bir şirket olan Inc. 500 şirketi, Sunbelt Software'in kurucu ortağıdır. Güvenlikte insan unsurunun ciddi bir şekilde ihmal edildiğini fark eden Sjouwerman yeni bir güvenlik farkındalık eğitimi yaparak bu eğitimi kuruluşlara verip siber suçlarla mücadele konusunda yardımcı olmaya karar verdi. KnowBe4; sağlık, finans, enerji, devlet ve sigorta gibi yüksek düzeyde düzenlenmiş alanlar dahil olmak üzere çeşitli sektörlerde 1.200'den fazla kuruluşa hizmet veriyor ve yıllık %300 lük devasa bir büyüme yaşıyor. Sjouwerman "Cyberheist: The Biggest Financial Threat Facing American Businesses". Yani Amerikan işletmelerinin karşılaştığı en büyük finansal tehdit kitabının yazarıdır.
Kevin Mitnick
Dünyanın en ünlü hacker'ı olarak tanınan, güvenlik açıklarını belirleme konusunda kapsamlı deneyime sahip uluslararası alanda tanınan bir bilgisayar güvenliği uzmanıdır. Şimdiye kadar geliştirilen en dayanıklı bilgisayar sistemlerinden bazılarına giren oldukça yetenekli bir hacker olarak ün kazanmıştı. Günümüzde ise bilgi güvenliği danışmanı olarak tanınmaktadır ve The New York Times'ın en çok satan Ghost in the Wires kitabı da dahil olmak üzere 4 kitap yazmıştır. Ayrıca KnowBe4, LLC ile işbirliği yapmaktadır.
Sosyal Mühendislik Teknikleri
Peki sosyal mühendislik uygulamada neye benziyor? Güvenilir bir kuruluştan gelen e-posta gibi görünebilir. Fakat bu maili açıp eke tıklarsanız kötü amaçlı bir yazılım veya fidye yazılımını yüklüyor olabilirsiniz. Yani özetle tıklamadan önce düşünün.
Sosyal Mühendislik Saldırıları
Symantec Security Response'ın teknik direktörü, hackerların genellikle Windows'taki teknik güvenlik açıklarından yararlanmaya çalışmadığını söyledi. Yani insan faktörünün peşinden gidiyorlar. Zayıf bir anı yakalayıp insan faktöründen faydalanarak uygun zamanda birine kötü niyetli bir e-posta eki açtırmak için Windows'taki teknik güvenlik açıklarını belirlemek kadar teknik bilgiye ihtiyacınız yok yani. Karşılaştıkları hackerların yalnızca %3'ü teknik bir kusurdan yararlanmaya çalışıyor. Kalan %97'lik kısım sosyal mühendislik kullanmayı tercih ediyor.
Phishing (Oltalama)
En yaygın sosyal mühendislik saldırıları oltalama yönteminden gelmektedir. Veri sızıntı olaylarının %91'i oltalama yönteminden kaynaklandığı için sosyal mühendislik uygulamaları arasında en önemli kavramlardan birisidir.
Here are some of the worst:
A.Mahkeme Bildirimi - Hackerlar 'Baker & McKenzie' adlı gerçek bir hukuk firmasından oltalama maili geldiğini iddia eden, mahkemeye çıkmanız gerektiğini ve bunun planlandığını hatta mahkeme bildiriminin bir kopyasını görüntülemek için bir bağlantıya tıklamanız gerektiğini söyleyen oltalama mailleri gönderiyorlar ve bu bağlantıya tıklarsanız kötü amaçlı yazılımı indirip yüklemiş olursunuz.
B.IRS Fidye Yazılımı- Birçoğumuz 15 Nisan vergi son ödeme tarihinden önceki zamana kadar bekledik ve şu anda nefesimizi hep birlikte ödüllendirici bir geri ödeme için tutuyoruz. Sorun, saldırganların bu beklentinin farkında olmaları ve vergi mükelleflerini kandırmak için sosyal mühendislik taktikleri uygulamalarıdır. Fidye yazılımı kullanıcının tüm verilerini şifreleyen bir şeydir. Mesela bir word dosyası olabilir vergilerle ilgili haber bekliyorsanız ve bu mail size kurumsal bir firma gibi gözüken mailden gelmişse siz de ek bağlantıya tıklamışsanız fidye yazılımını indirip yüklemiş olursunuz.
C.Proofpoint'deki araştırmacılar kısa bir süre önce CareerBuilder'daki belirli iş ilanlarından kaynaklanan bir oltalama kampanyası keşfettiler. İş portalının kullandığı bildirim sisteminden yararlanan hackerlar, özgeçmişler yerine kötü amaçlı dosyalar yükledi ve bu da CareerBuilder'ı bir teslimat aracı gibi hareket etmeye zorladı.
Saldırı kötü amaçlı yazılımın bulaştığı bir Word belgesinin (özgeçmiş.doc yada cv.doc) bir iş ilanına gönderilmesiyle başladı. CareerBuilder'da birisi bir iş ilanına belge gönderdiğinde işi yayınlayan kişiler için bildirim e-postası oluşturuluyor ve bu ek de e-posta'ya dahil ediliyor.
D.Geçtiğimiz Haziran, Durham; New Hampshire polis departmanı, , yasal gibi görünen bir e-postaya tıkladığında fidye yazılımlarının kurbanı olmuştu. Tabii Tewksbury, MA, Dickson County, Swansea gibi diğer polis departmanları da aynı şekilde.
Oltalama yoluyla gerçekleştirilen birkaç sosyal mühendislik saldırıları:
Banking Link Scam: Hackerlar size bankanıza aitmiş gibi görünen sahte bir bağlantı içeren e-posta yollayarak kimliğinizi ve şifrenizi girmeniz için sizi kandırabilir.
30 ülkeyi kapsayan milyon dolarlık bir soygun olan, Kaspersky güvenlik firması tarafından Carbanak lakaplı yaklaşık bir milyar dolarlık kayıp fon 2015'in Şubat ayında kapsamlı bir şekilde rapor edildi.
Bu olayda, çalışanlara oltalama mailleri gönderiliyordu ve oradan nakit transferi yapmalarına ya da ATM'leri uzaktan çalıştırmalarına, hesap bilgilerini değiştirmelerine olanak tanıyan yerleri kontrol edene kadar bankaların sistemlerine daha derin bir yere ulaşmaya çalışıyorlardı. Böylesine büyük bir olayın saldırı şeması ise oldukça basitti:
Bir meslektaştan geliyormuş gibi görünen bir bağlantı içeren bir e-posta, yayılabilen bir kötü niyetli yazılımı içeriyordu. Hackerlar kuruluşun işleri nasıl yaptığını öğrenmek için bilgisayarlarda olan her şeyi kaydetti ve sisteme hakim olduklarında ATM'leri hedef alan saldırıyı gerçekleştirdiler ve bir müşterinin hesap bakiyesi 1.000 dolardan 10.000 dolar olacaktı bu 10.000 doların 9.000 $ ise hacker'a gidecekti.
Faks Bildirimi Dolandırıcılığı: Sahte bir faksa yapılan sahte bir bağlantıdır ama bilgisayarınıza zarar verir. Bu baya yaygın bir yöntemdir. Özellikle belge yönetimi, tapu şirketler, sigorta ve diğer finansal hizmet şirketleri gibi faksları halen yoğun bir şekilde kullanan firmalar için tehlikelidir.
Dropbox Link Scam: Dropbox'ta sizi bekleyen bir sürprizimiz var. Bunun birkaç farklı türü 2014'te çalışıyordu. Biri tıkladığında kullanıcılara tarayıcılarının güncelliğini yitirdiğini ve güncellemeleri gerektiğini belirten bir sayfaya yönlendiren sahte bir Dropbox şifre sıfırlama oltalama postasıydı ve tabi ki kötü amaçlı bir yazılım olan truva atı olarak bilinen bu yazılımı çalıştırmaya yönelikti.
Bir diğeri de CryptoWall fidye yazılımı gibi kötü amaçlı yazılımları barındıran Dropbox bağlantıları içeren bir e-postaydı.
Mahkeme sekreteri şikayet bağlantısı dolandırıcılığı: Şikayetinizi onaylayan sahte bir bağlantı gönderilir.
Facebook Mesaj Bağlantısı dolandırıcılığı: Vin Diesel öldü. Bu bağlantıya tıklayarak...
Bu genellikle ünlü birisi öldüğünde kullanılıyor. Robin Williams'ın cep telefonuyla veda ettiği özel bir videoyu görmeye davet eden sahte bir Facebook mesajı çıkmıştı geçenlerde. Elbette video yoktu ve bağlantı vardı. Tıklayanların dolandırıldığı sahte bir BBC haber sayfasına yönlendiriyorlardı.
Başkalarını eğittiğimiz ve müşterilerimizin kullanması için oltalama kampanyaları oluşturduğumuzdan dolayı bana prank yapmak amacıyla çalışanlarımdan birisi sosyal mühendislik saldırısını benim üzerimde denemeye çalıştı.
Bu 2 aşamalı bir saldırıydı ve kimlik bilgilerimi açıklamamı sağlamaya çalışıyordu. Bana aşağıdaki e-postayı gönderdiler. Bu şakayı bana yapacak olan çalışanlarım ödevlerini yapmış ve hazırlıklı gelmişler ki SpiceWorks forumunda aktif olduğumu biliyorlardı.
[email protected]
10:45 AM (1 saat önce)
Kime: stus
Stu,
Bir güvenlik forumunda securitybull72 çalışan olduğunu iddia eden bir kullanıcının genel olarak şirket ile ilgili bazı olumsuz yorumlar yayınladığını fark ettim. Bana bazı örnekler verdi ve istemeden şirketle ilgili gizli bilgileri ifşa etmiş olabilir.
http://www.spiceworks.com/forums/sec...234664/2345466.
Lütfen onunla konuşur musun?
Teşekkürler.
10 kişiden 9'u böyle bir sosyal mühendislik saldırısına düşecektir. Beni kurtaran şey ise bağlantının üzerine geldiğimde alanın simüle edilmiş oltalama saldırıları için kendim oluşturduğum bir alan olduğunu görmemdi. Ama bu saldırıya az daha kurban gidiyordum. Gelelim en iyi önleme eylemlerine:
En iyi önleme eylemleri şunlardır:
1.Kullanıcıları oltalama maillerin nasıl görüneceği ile ilgili eğitin.
2.Her ihtimale karşı yedekleme yapın ve bu yedeklemeleri düzenli olarak test edin.
PAUL KUBLER
Paul Kubler, uluslararası bir siber güvenlik firması olan LIFARS LLC'de siber güvenlik uzmanıdır. Kendisi Boeing'in eski bir çalışanıdır. Daha öne ağ ve sistem altyapısında Flushing Bank'ta çalıştı ve sistem içinde çeşitli seviyelerde değerli finansal verileri korudu. Paul ayrıca suçluların yargılanması konusunda yardımcı olmak için mobil cihazlarla ilgili araştırmalar gerçekleştirdi. Sistemleri güçlendirmek ve uluslararası bir organizasyona koruma sağlamak için çalıştı. Ayrıca, derinlemesine bir savunma stratejisine sahip iş ağlarını yarattı ve bu ağlara güvenlik duvarları uyguladı.
Daha yaygın olan sosyal mühendislik saldırılarından bazıları ve bunların nasıl önleneceği ile ilgili bilgiler
Phishing (Oltalama)
Oltalamanın ne olduğunu açıklamıştık. Bu saldırıları kullananlar genellikle bir Tor ağının veya benzerinin arkasına saklanırlar. Özellikle de bunu bir gelir kaynağı olarak kullanan organize suçlar tarafından destekleniyorlarsa bulmak daha da zorlaşır.
RANSOMWARE
Son yıllarda fidye kullanımı yazılımlarında önemli bir artış olduğunu gördük. Genellikle .PDF.zip veya .PDF.rar dosya uzantısına sahip "Acil Hesap Bilgisi" gibi bir ek gönderirler kurban da genellikle şüphelenmez. Bu fidye yazılımları genellikle tüm sabit diski şifreler ve kilidi açmak için bir bitcoin ödemesi gerektirir.
Bu saldırıların kurbanı olmamak için neler yapmamız gerekir?
- Spam klasöründeki e-postaları veya alıcılarını tanımadığınız e-postaları açmayın.
- Kaynağı bilinmeyen e-postaları açmayın.
- Kendini kanıtlamış bir antivirüs programı kullanın. Kaspersky veya Symentec'i öneririm.
- Bir buluta dosyalarınızı düzenli olarak yedekleyin.
- Fidye durumunda ödeme yapmayın. Bu tür suçların devam etmesinin nedeni insanların ödeme yapmasından kaynaklanmaktadır. Verilerinizi geri almak için siber suçlarla mücadele birimlerine başvurun.
Şirketiniz neler yapabilir?
Çalışanlarınızı eğitmeniz gerekli. Çünkü onlar en zayıf halkadır. En azından yılda bir eğitim almaları gerekmekte.
DOUG FODEMAN
Doug Fodeman The Daily Scam'in içerik yöneticisi ve ortak sahiplerinden biridir. The Daily Scam; bireylerin, şirketlerin ve kuruluşların risklerini önemli ölçüde azaltmak için internet tabanlı tehditlere ve dolandırılıklara karşı farkındalığı arttırmak amaçlı kurulmuş bir web sitesidir. E-posta saldırılarının yaygın olduğunu belirtmiştik. Bu yaygın saldırıların asıl olayı merak uyandırmaktır. Yani size bir e-postayı açtırmak istiyorlarsa bu e-postayı açtıracak ilgiyi belirlemek. İşte saldırganların asıl amacı budur. En etkili konu başlıklarından bazıları genellikle basittir:
? Özel davet önerisi: Çevrimiçi dosyanıza erişildi.
? Annenize 26,96 $ lık mükemmel bir hediye alın
? Dikkat edin ve kariyerinizin yükselişini izleyin
? Arp hakkında bilgi edinin
? Hizmet iptali tarihi 10 Mayıs
? Teslimatınız için onaylayın
? 3k transferinizi Pazartesi gününe kadar onaylayın
? Gelen faks
? Yeni sağlık reformu yasaları
? İlk yıl için ilgi yok
? Ödeme bildirimi
? Telefon numaran
Gördüğünüz gibi hep ilgi uyandırıcı ama özünde basit olan e-posta başlıkları bunlar. Ne yazık ki çoğu şirket tüm güvenlik harcamalarını donanım üzerinde gerçekleştiriyor yani diğer bir deyişle insan faktörünü işin içine katmıyorlar ve çok az şirket çalışanlarına bu eğitimi verebiliyor.
Kaynak: https://www.turkhackteam.org/interna...nt-attack.html
Çevirmen: Gauloran
Çevirmen: Gauloran