Güvenin hem bir para birimi hem de güvenlik açığı olduğu, giderek daha da çevrimiçi hale gelen dünyamızda, tehdit aktörleri de insan davranışlarını manipüle etmeye ve insanların yardımseverliğinden faydalanmaya çalışıyor. Bu bilgi görselinde tehdit aktörlerinin neden profesyonel kimlikleri her şeyin üstünde tuttuğu da dahil olmak üzere sosyal mühendisliği inceleyecek, bir yandan da hedeflerine ulaşmak için insan doğasını manipüle ederken kullandıkları bazı yöntemlere göz atacağız.
Güven ekonomisinden beslenmek: sosyal mühendislik dolandırıcılığı
Bir suç olarak kimlik avının cazibesi ve sosyal mühendislik
Kimlik avı saldırılarının yaklaşık yüzde 90’ı1, genellikle e-posta aracılığıyla kurbanları hassas bilgileri paylaşacak, kötü amaçlı bağlantılara tıklayacak ya da kötü amaçlı dosyaları açacak şekilde manipüle etmek üzere tasarlanmış sosyal mühendislik taktikleri içerir. Kimlik avı saldırıları; saldırganlar için uygun maliyetlidir, koruma önlemlerini atlatabilir ve yüksek bir başarı oranı elde edebilirler.
İnsan davranışının tetikleyicileri
Sosyal mühendislik teknikleri; saldırganların öz güvenine ve hedeflerini normalde yapmayacakları şeyleri yapmaya ikna edebilme yeteneğine dayanır. Burada en etkili üç tetikleyici aciliyet, duygular ve alışkanlıklardır.2 Aciliyet Kimse, sınırlı süreli bir fırsatı ya da önemli bir son tarihi kaçırmak istemez. Bu aciliyet hissi de sıklıkla, normalde makul davranışlar sergileyen hedefleri, kişisel bilgilerini paylaşmaya itebilir.
Örnek: Sahte aciliyet
"Kimlik avı e-postalarının ayırt edici özelliği, bir tür zaman diliminden söz etmesidir. Sizi kısa süre içinde karar vermeye itmeye çalışırlar.”
Jack Mott – Microsoft Tehdit Analizi
Duygu
İnsanlar, güçlü duygu durumlarında, özellikle de korku, suçluluk veya öfke halinde riskli eylemler yapmaya yatkın olduklarından duygusal manipülasyon, saldırganların elini güçlendirebilir.
Örnek: Duygusal manipülasyon
“Bugüne dek gördüğüm en etkili yem, oldukça kısa bir e-postaydı ve şöyle diyordu: ‘Eşiniz boşanma evraklarını hazırlamamız için bizimle anlaştı. Belgelerin kopyalarını indirmek için tıklayın.’”
Sherrod DeGrippo – Microsoft Tehdit Analizi
Alışkanlık
Suçlular, davranışları çok iyi gözlemler ve insanların, fazla düşünmeden “otomatik pilotta” gerçekleştirdiği alışkanlık ve rutinlere özel bir ilgi gösterirler.
Örnek: Yaygın alışkanlık
“Quishing3” ya da “QR kimlik avı” adı verilen bir teknikte dolandırıcılar, kendilerini güvenilir bir şirket gibi göstererek e-postalarında yer alan bir QR Kodunu taramanızı ister. Örneğin bir fatura ödemenizin gerçekleşmediğini ya da parolanızı sıfırlamanız gerektiğini söyleyerek bu kodu taramanızı isteyebilirler.
“Tehdit aktörleri, işin ritmine ayak uydurur. Yemleri, normalde aldığımız bağlamda anlamlı olacak şekilde kullanmakta da ustadırlar.”
Jack Mott – Microsoft Tehdit Analizi
Çalışanların kişisel ve profesyonel kişilikleri arasındaki sınır, zaman zaman belirsizleşebilir. Bir çalışan, iş için kullandığı kişisel hesaplarında iş e-postasını kullanabilir. Tehdit aktörleri de kimi zaman, çalışanların kurumsal bilgilerine erişebilmek için kendilerini bu programlardan biri gibi göstererek onlara ulaşıp bu durumdan yararlanmaya çalışır.
“E-posta kimlik avı saldırılarında siber suçlular, ‘yemleri’ kurumsal e-posta adreslerine gönderir. Kişisel webmail adresleri, onlar için vakit kaybıdır. İş adresleri daha değerli olduğundan saldırılarını bu hesaplara göre özelleştirmek için daha fazla kaynak ayırır ve klavyeyi ele geçirmeye odaklanırlar.”
Jack Mott – Microsoft Tehdit Analizi
“Uzun süreli dolandırma”
Sosyal mühendislik saldırıları genellikle hızlı yapılmaz. Sosyal mühendisler, araştırma ile başlayan ve yoğun emek gerektiren teknikleri kullanarak zaman içinde kurbanların güvenini kazanmaya çalışır. Bu tür bir manipülasyonun döngüsü şu şekilde olabilir:
- Araştırma: Mühendisler, bir hedef belirler ve ardından da potansiyel giriş noktaları ya da güvenlik protokolleri gibi arka plan bilgilerini toplamaya başlarlar.
- Sızma: Mühendisler, hedefle bir güven ilişkisi kurmaya odaklanır. Bir hikaye anlatır, hedefe kancayı takar ve etkileşimi mühendisin yararına olacak şekilde yönlendirmek için kontrolü ele alırlar.
- Kötü amaçla yararlanma: Sosyal mühendisler, zamanla hedefin bilgilerini ele geçirir. Genellikle hedef bu bilgileri kendi isteğiyle verir ve mühendisler daha da gizli bilgilere erişmek için bunu kendi avantajlarına kullanabilirler.
- Ayrılma: Sosyal mühendis, etkileşimi doğal bir şekilde sonlandırır. Yetenekli bir mühendis, hedefi hiç şüphelendirmeden bunu yapabilir
BEC saldırıları, sosyal mühendisliğe ve aldatma sanatına olan vurgusuyla siber suç endüstrisinde farklı bir yere sahiptir. Başarılı BEC saldırıları, kurumlara yılda yüz milyonlarca dolara mal olur. 2022 yılında Federal Araştırma Bürosu (FBI) İnternet Suçları Şikayet Merkezi, bildirilen 21.832 BEC şikayetinin yol açtığı kayıpların düzeltilmiş değerinin 2,7 milyar USD’den fazla olduğunu belirtti.4
BEC saldırılarında en çok Sosyal Güvenlik numaraları, vergi beyannameleri veya diğer kişisel veriler gibi çalışan kayıtlarına erişimi olan yöneticiler ve diğer üst düzey liderler, finans yöneticileri ve insan kaynakları personeli hedef alınır. Tanıdık olmayan e-posta isteklerini doğrulamada daha başarısız olması muhtemel olan yeni çalışanlar da hedefler arasında bulunabilir.
Şu anda neredeyse tüm BEC saldırı türlerinde bir artış söz konusu. Yaygın BEC saldırı türleri ise şöyle:5
- Doğrudan E-postaların Ele Geçirilmesi (DEC): Ele geçirilen e-posta hesapları; şirket içi veya üçüncü taraf muhasebe rollerinde çalışan kişileri, saldırganın banka hesabına para aktarmaları veya mevcut bir hesabın ödeme bilgilerini değiştirmeleri için sosyal mühendislik ile ikna etmekte kullanılır.
- Satıcı E-postalarının Ele Geçirilmesi (VEC): Ödemeyle ilgili bir e-postayı ele geçirip şirket çalışanlarını taklit etmek yoluyla bir tedarikçiyi, yapılması gereken bir ödemeyi yasadışı bir banka hesabına yönlendirmeye ikna etmek için, mevcut bir tedarikçi ilişkisine uygulanan sosyal mühendislik.
- Sahte Fatura Dolandırıcılığı: Tanınmış markaları kullanarak şirketleri, sahte faturaları ödemeye ikna eden geniş kapsamlı bir sosyal mühendislik sahtekarlığı.
- Avukat Taklidi: Özellikle halka arz gibi önemli olayların öncesinde küçük şirketler ve start-up’ların yöneticilerine güvenilir görünerek ödenmemiş faturaları ödemelerini sağlamak için büyük, tanınmış hukuk firmalarıyla kurulmuş güven ilişkilerinin kötüye kullanılması. Ödeme koşulları üzerinde bir anlaşmaya varıldığında ödemeler, yasadışı bir banka hesabına yönlendirilir.
Octo Tempest
Octo Tempest , genellikle ortadaki adam (AiTM) teknikleri, sosyal mühendislik ve SIM değiştirme yeteneklerini kullanan geniş kapsamlı kampanyalar başlatmasıyla bilinen ve anadili İngilizce olan tehdit aktörlerinden oluşan, finansal motivasyonlu bir kolektiftir.
Octo Tempest , genellikle ortadaki adam (AiTM) teknikleri, sosyal mühendislik ve SIM değiştirme yeteneklerini kullanan geniş kapsamlı kampanyalar başlatmasıyla bilinen ve anadili İngilizce olan tehdit aktörlerinden oluşan, finansal motivasyonlu bir kolektiftir.
Diamond Sleet
Ağustos 2023’te Diamond Sleet , Alman yazılım sağlayıcısı JetBrains'in yazılım tedarik zincirini; yazılım oluşturma, test etme ve dağıtma süreçlerine yönelik sunucularını kapsayacak şekilde ele geçirdi. Diamond Sleet geçmişte derleme ortamlarına başarılı bir şekilde sızdığı için Microsoft, bu faaliyetin etkilenen kuruluşlar için özellikle yüksek bir risk oluşturduğunu düşünüyor.
Ağustos 2023’te Diamond Sleet , Alman yazılım sağlayıcısı JetBrains'in yazılım tedarik zincirini; yazılım oluşturma, test etme ve dağıtma süreçlerine yönelik sunucularını kapsayacak şekilde ele geçirdi. Diamond Sleet geçmişte derleme ortamlarına başarılı bir şekilde sızdığı için Microsoft, bu faaliyetin etkilenen kuruluşlar için özellikle yüksek bir risk oluşturduğunu düşünüyor.
Sangria Tempest6
FIN olarak da anılan Sangria Tempest, restoran sektörünü hedef alması ve ödeme yapılan kartların verilerini çalmasıyla bilinir. En etkili yemlerinden biri, ayrıntıları ancak kötü amaçlı bir ekin açılmasıyla görüntülenebilecek bir gıda zehirlenmesi suçlaması yapmaktır.
FIN olarak da anılan Sangria Tempest, restoran sektörünü hedef alması ve ödeme yapılan kartların verilerini çalmasıyla bilinir. En etkili yemlerinden biri, ayrıntıları ancak kötü amaçlı bir ekin açılmasıyla görüntülenebilecek bir gıda zehirlenmesi suçlaması yapmaktır.
Esas olarak Doğu Avrupalı olan Sangria Tempest, yeraltı forumlarını kullanarak anadili İngilizce olan kişileri işe almış ve bu kişilere, yem olarak gönderilen e-postaların aktarılması için mağazaları nasıl arayacakları konusunda eğitim vermiştir. Grup, bu şekilde on milyonlarca kart verisini çalmıştır.
Midnight Blizzard
Midnight Blizzard , ağırlıklı olarak ABD ve Avrupa’daki hükumetleri, diplomatik kuruluşları, sivil toplum kuruluşlarını (STK) ve BT hizmet sağlayıcılarını hedef almasıyla bilinen Rusya merkezli bir tehdit aktörüdür.
Midnight Blizzard , ağırlıklı olarak ABD ve Avrupa’daki hükumetleri, diplomatik kuruluşları, sivil toplum kuruluşlarını (STK) ve BT hizmet sağlayıcılarını hedef almasıyla bilinen Rusya merkezli bir tehdit aktörüdür.
Midnight Blizzard, hedeflenen bir kuruluşun kimlik bilgilerini çalmak için, Teams mesajları yoluyla, bir kullanıcıyla etkileşime geçip çok faktörlü kimlik doğrulama (MFA) istemlerinin onaylanmasını sağlayacak yemler gönderir.
Biliyor muydunuz?
Microsoft'un tehdit aktörü adlandırma stratejisi değişti ve tehdit aktörleri için, hava durumuyla ilgili temalardan ilham alan yeni bir adlandırma taksonomisine geçiş yapıldı.
Microsoft'un tehdit aktörü adlandırma stratejisi değişti ve tehdit aktörleri için, hava durumuyla ilgili temalardan ilham alan yeni bir adlandırma taksonomisine geçiş yapıldı.
Sosyal mühendislik saldırıları karmaşık olabilse de bunlardan korunmak için yapabileceğiniz şeyler mevcuttur.7 Gizlilik ve güvenliğiniz konusunda akıllıca davranırsanız saldırganları kendi oyunlarında yenebilirsiniz.
İlk olarak kullanıcılarınızı, kişisel hesaplarını iş e-postaları ve işle ilgili görevlerle karıştırmamaları, ayrı tutmaları konusunda uyarın.
Ayrıca muhakkak MFA kullanımını teşvik edin. Sosyal mühendisler genellikle oturum açma bilgileri gibi verilerin peşine düşer. MFA’yı etkinleştirdiğinizde bir saldırgan kullanıcı adı ve parolanızı ele geçirse bile hesaplarınıza ve kişisel verilerinize erişim sağlayamaz.8
Şüpheli kaynaklardan gelen e-posta ve ekleri açmayın. Bir arkadaşınız, size acilen tıklamanız gereken bir bağlantı gönderirse mesajın gerçekten arkadaşınızdan geldiğini teyit edin. Herhangi bir şeye tıklamadan önce durun ve kendinize bunu gönderen kişinin gerçekten görünen kişi olup olmadığını sorun.
Durun ve doğrulayın
Gerçek olamayacak kadar iyi tekliflere dikkat edin. Katılmadığınız bir çekilişi kazanamazsınız. Ayrıca hiçbir yabancı kraliyet ailesi, size büyük miktarda bir para bırakmaz. Bir teklif fazla cazip görünüyorsa bunun gerçek mi yoksa tuzak mı olduğunu anlamak için hızlıca bir arama yapın.
Çevrimiçi ortamlarda fazla bilgi paylaşmayın. Dolandırıcılık yapmak isteyen sosyal mühendislerin, önce hedeflerinin güvenini kazanması gerekir. Kişisel ayrıntılarınızı sosyal medya profillerinizde bulabilirlerse yaptıklarını daha gerçekçi göstermek için bunları kullanabilirler.
Bilgisayar ve cihazlarınızı güvenli hale getirin. Virüsten koruma programı, güvenlik duvarı ve e-posta filtreleri kullanın. Böylece cihazınıza bir tehdit bulaşsa bile bilgilerinizi güvende tutmanıza yardım edecek önlemleriniz olur.
“Şüpheli bir arama ya da e-posta aldığınızda yapmanız gereken acele etmeyip bunu doğrulamaktır. İnsanlar hızlı hareket ettiklerinde hata yapar. Bu nedenle çalışanlarınıza, bu tür durumlarda anında tepki vermeleri gerekmediğini hatırlatmak çok önemlidir.”
Jack Mott – Microsoft Tehdit Analizi
- [2]
Bu bölümdeki içeriğin kaynağı https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho, Around 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
Not: İçeriğin kaynağı https://go.microsoft.com/fwlink/?linkid=2263229