Trace Id is missing

Vergi dönemi siber güvenliği: Siber suçluların amaçları ve en sık hedef aldıkları kişiler. Sıradaki siz misiniz?

Paylaş
Ekranında vergi belgeleri olan bir dizüstü bilgisayarı ve “tax” adında bir klasöre doğru uçan belgeleri gösteren grafik bir çizim

Mevcut tehdit ortamında kimlik avı saldırıları, ölüm ve vergi gibi kaçınılmaz bir şey haline geldi. Motivasyonu finansal olan tehdit aktörleri için vergi döneminde oluşan son tarih baskısı ve yapılan çok sayıda form ve belge gönderimi, kimlik avı saldırılarıyla stres altındaki milyonlarca birey ve işletmeden riskli veriler elde etmek için cazip bir fırsat doğuruyor.

Herkes vergi döneminde yapılan kimlik avı saldırılarının kurbanı olabilir ancak tehlike, bazı gruplar için diğerlerinden daha büyük. Başlıca hedefler arasında IRS’in etkileşim yöntemleri konusunda net bilgilere sahip olmama ihtimali daha yüksek olan Yeşil Kart sahipleri, küçük işletme sahipleri, 25 yaş altındaki yeni vergi mükellefleri ve 60 yaş üstündeki vergi mükellefleri bulunuyor.

Bu vergi dönemine özel tehdit analizi raporunda, tehdit aktörlerinin en çok kullandığı taktik, teknik ve prosedürleri aşağıdaki başlıklar altında inceleyeceğiz:

  • Microsoft Tehdit Analizi, 2024 yılına ait bir vergi dönemi kimlik avı saldırısını ortaya çıkardı: İşverenler tarafından gönderilen, vergiyle ilgili belgeler gibi görünen yemlerin kullanıldığı yeni bir vergi dönemi kimlik avı tekniğinin ayrıntılarının açıklıyoruz.
  • Tehdit aktörleri, kimlik avı e-postalarında vergi ödeme işlemcilerini taklit ediyor: Microsoft Tehdit Analizi’nin, üçüncü taraf federal vergi ödeme işlemcisi logolarını kullanan tehdit aktörlerini nasıl gözlemlediğini anlatıyoruz.
  • Siber suçlular, vergi döneminde ne ister?: Vergi döneminde genel olarak hedef alınan yüksek riskli veri türlerini açıklıyoruz.
  • Siber suçlular, verilerinizi nasıl ele geçirir?: Tehdit aktörlerinin en sık kullandığı, vergi dönemi temalı sosyal mühendislik tekniklerini açıklıyoruz.
  • Vergi dönemi için en iyi siber güvenlik deneyimleri: Sosyal mühendislik saldırılarına karşı tetikte kalmanıza yardımcı olacak en iyi deneyimler ve eyleme geçirilebilir tavsiyeleri paylaşıyoruz.

Microsoft Tehdit Analizi şimdiden, Ocak 2024 sonunda yapılan ve işverenler tarafından gönderilmiş vergiyle ilgili belgeler gibi görünen yemlerin kullanıldığı bir saldırı kampanyası da dahil olmak üzere, vergi dönemi kimlik avı etkinliklerini gözlemlemeye başladı.

Aşağıdaki görsellerde (1) kimlik avı e-posta yemi, (2) kötü amaçlı web sitesi ve (3) bu kampanyada kullanılan iki kötü amaçlı yürütülebilir dosya yani kötü amaçlı yazılım gösterilmektedir:

Microsoft Tehdit Analizi’nin Ocak 2024’te gözlemlediği bir vergi dönemi kimlik avı e-postası.
Şekil 1: Kullanıcıyı sahte bir giriş sayfasına yönlendiren bir HTML eki içeren bir kimlik avı e-postası
Kötü amaçlı web sitesinin ekran görüntüsü
Şekil 2: Kullanıcılar, tehdit aktörlerinin tıklanma olasılığını artırmayı amaçlayan bir sosyal mühendislik tekniği ile kasıtlı olarak bulanık hale getirdiği bir web sayfasına yönlendiriliyor. Hedefler “Belgeleri İndir” istemine tıkladığında, kötü amaçlı yazılım bilgisayarlarına yüklenir.
“Programlar” klasöründeki iki dosyayı görüntüleyen windows dosya gezgininin ekran görüntüsü: “deepvau", bir uygulama
Şekil 3: Hedef bilgisayara bırakılan, bilgi çalma özellikli ve kötü amaçlı yürütülebilir dosya. Bilgisayar ortamına girdikten sonra giriş bilgileri dahil tüm bilgileri toplamayı deneyecek.

Tehdit aktörleri, resmi kurumları taklit ediyor

Bazı diğer kampanyalarda ise Microsoft, tehdit aktörlerinin daha ikna edici görünmek için kimlik avı e-postalarında, meşru üçüncü taraf federal vergi ödeme web sitelerinden alınan görselleri kullandıklarını gözlemledi.

Bu e-postalar gerçek gibi görünse de vergi mükelleflerinin IRS gibi resmi kurumların vergi iadesi veya vergi ödemesi için e-posta, mesaj veya telefon görüşmesi yoluyla iletişime geçmediğini unutmaması gerekir.

Bazı nadir durumlarda siber suçlular, çalınan bilgileri vergi iadesi dolandırıcılığı için kullanabilirler. Bu yöntemde suçlular, hedef aldıkları kişinin adına bir vergi iadesi başvurusunda bulunurlar.1 Ancak IRS’in güvenlik önlemleri sayesinde bu yaklaşımın başarılı olma olasılığı düşüktür. Daha olası sonuç ise vergi döneminde bilgilerinize erişen siber suçluların, yılın diğer zamanlarında yaptıkları şeyi yapıp bu bilgileri paraya çevirmenin yollarını aramalarıdır. Buna örnek olarak adınıza kredi kartı çıkarttırmak, verileri ya da erişimi başka bir siber suçluya satmak, para transferi veya çevrimiçi alışveriş için direkt olarak banka hesabınıza erişmek gösterilebilir.

Aşağıda, (1) kimlik avı e-posta yemi ve (2) gerçek üçüncü taraf işlemci sitesi görselleri sunulmuştur:

Güvenilir, üçüncü taraf bir ödeme işlemcinin web sitesinden alınmış bir IRS Yetkili üst bilgi görüntüsünü kullanan bir kimlik avı e-postası.
Şekil 4: IRS web sitesinde listelenen bir ödeme işlemci olan ACI Payments, Inc.’den alınmış bir üst bilgi görüntüsünü (IRS Yetkili) kullanan bir kimlik avı e-postası.
ACI Payments, Inc’nin kendi web sitesinden alınmış, IRS Yetkili üst bilgi görüntüsünün kullanıldığı bir web sitenin ekran görüntüsü
Şekil 5: Özgün “IRS Yetkili” görüntüsünün, ACI Payments Inc.’nin kendi web sitesinde nasıl ön plana çıkarıldığını gösteren örnek.

Siber suçlular, vergi döneminde ne ister

Vergi dönemi boyunca bireylerle IRS gibi kurumlar ve vergi beyan yazılımları ya da vergi hazırlama markaları veya yerel muhasebe ve vergi firmaları gibi vergi alanındaki çeşitli hizmet sağlayıcılar arasında çok büyük miktarda hassas finansal veri ve şahsi veri akışı gerçekleştirilir.

En yüksek riskli verilerden bazıları2 şöyle sıralanabilir:

  • Kimlik: Sosyal güvenlik numaraları, sürücü belgesi veya eyalet kimlik belgesi, pasaport bilgileri, İşveren Kimlik Numarası (EIN), Merkezi Yetkilendirme Dosyası (CAF) numaraları
  • Finansal hesaplar: Finansal hesap numaraları, kredi ve banka kartı numaraları (güvenlik kodu gereksin veya gerekmesin)
  • Parolalar ve erişim: E-posta parolaları, kişisel kimlik numaraları (PINs) ve erişim kodları

Microsoft Tehdit Analizi siber suç uzmanı Wes Drone, ortalama bir insanın kişisel e-posta gelen kutularında bulunabilecek kişisel bilgi yığınlarından kaynaklanan genel riskle ilgili olarak şunları söylüyor: “İnsanlar e-posta gelen kutularında dijital istifçilik yapıyor olabilirler ve sakladıkları bilgiler, suçlular için son derece değerlidir.”

Bu risk, sadece vergi dönemiyle sınırlı değil. Drone, ortalama bir insanın e-posta hesabında kişisel hayatlarının neredeyse her alanına dair yazışmalar ve belgeler olduğunun ve vergi döneminin, bu bilgileri çalmak için oluşan çok sayıda fırsattan sadece biri olduğunun altını çiziyor.

“Aklınıza gelebilecek her şey, e-posta adresinize de gelir.” diyor Drone. “Ve bir tehdit aktörü e-posta adresinize erişim sağlarsa diğer tüm hesaplarınızdaki parolaları da sıfırlayabilirler.”

Bireylerin taşıdığı risk, iş yerleri için de bir risk haline gelebilir. Drone’a göre bir çalışanın e-posta kutusuna erişim kazanan tehdit aktörleri, işverenin ortamına da kötü amaçlı yazılımlar yükleyebilirler.

Drone “Burada yaşanabilecek tüm sorunlardan bahsediyoruz.” diyor. “En büyük sorunlardan biri, tedarikçilerinizle ya da iş yaptığınız kişilerle etkileşime geçmelerini sağlayacak olan, iş e-postalarının ele geçirilmesidir. Faturalardaki sayıları değiştirir, sahte faturalar gönderir ve parayı başka bir hesaba gönderebilirler ve bu çok pahalıya mal olabilir.”

Siber suçlular verilerinizi nasıl ele geçirir?

Siber suçluların kullandığı kimlik avı teknikleri yeni olmasa da son derece etkili olmaya devam ediyor. Hangi türde olursa olsun vergi döneminde bireylere yapılan kimlik avı saldırıları ağırlıklı olarak şu iki seçenekten biriyle sonuçlanır: kötü amaçlı bir Trojan olan bilgi hırsızlarının indirilmesi veya kullanıcıların, sahte giriş sayfalarına kimlik bilgilerini girmesi. Nadir olarak da kimlik avı saldırganları, bir fidye yazılımı indirmek için erişim kazanmaya çalışıyor olabilirler.

Vergi döneminde yapılan kimlik avı saldırıları, kullanıcıları işveren veya İK personeli, Internal Revenue Service (IRS), eyalet düzeyinde vergilendirme kuruluşları ya da muhasebeciler ve vergi hazırlama hizmetleri gibi vergiyle alakalı hizmet sağlayıcıları gibi yasal kaynakları temsil ettiklerine inandırmaya çalışır (genellikle de büyük, güvenilir markaları ve logoları kullanırlar).

Siber suçluların, hedeflerini kandırmak için sık kullandığı taktikler arasında gerçek hizmetler ve web sitelerinin giriş sayfalarını taklit etmek, öyle olmadığı halde doğru gibi görünen URL’ler kullanmak (homoglif etki alanları) ve her kullanıcı için özel kimlik avı bağlantıları oluşturmak bulunur.

Drone, şöyle devam ediyor: “Bu vergi dönemi kimlik avı saldırılarının hala işe yarıyor olmasının nedeni, ki yıllardır da yarıyorlar, kimsenin IRS’den bir şey almak istememesi.” Drone, vergi ile ilgili mesajların, gelen kutusuna düştükleri anda insanları kaygılandırdığını belirtiyor.

“İnsanlar elbette iade alma fırsatını kaçırmak ya da bu geri ödemeleri çaldırmak istemiyor.” diyor. “Suçlular, sosyal mühendislik çalışmalarında bu korku ve duygulardan yararlanarak insanlarda kaygı uyandırıyor ve onları acilen bağlantıya tıklayıp yapmaları gerekeni yapmaya itiyor.”

Tehdit aktörleri, farklı kurumları içeren çeşitli yemler kullansa da kimlik avı e-postalarının bazı ortak özellikleri de vardır.

  • A – Markalama: Gardınızı düşürmeniz için tasarlanmış bir özellik. Suçlular, IRS veya vergi hazırlama şirket ve hizmetleri gibi tanıdığınız ve yılın bu döneminde görmeyi beklediğiniz bir markanın bilgilerini kullanırlar.
  • B – Duygusal içerik: En etkili kimlik avı yemleri, duygularınızı harekete geçirecek mesajlar içerenlerdir. Vergi dönemi boyunca suçlular umudu (Beklemediğiniz, yüksek miktarda bir iadeniz var!) ve korkuyu (İadeniz beklemede ya da Büyük bir borcunuz var) kullanır.
  • C – Aciliyet: Bir siber suçlu için aciliyet, çoğu zaman insanların başka türlü yapmayacakları şekilde davranmalarını sağlayan şeydir. Bir aciliyet söz konusu olduğunda, son tarihten önce harekete geçmezseniz olmasını ya da olmamasını istediğiniz şeyin tam tersi gerçekleşecektir.
  • D – Tıklama: İster bir bağlantı, ister düğme veya QR kodu yoluyla olsun, suçluların istediği, gelen kutunuzdan uzaklaşıp kötü amaçlı web sitelerine tıklamanızdır.
Dizüstü bilgisayarda, görüntüdeki kısımları belirten simgelerin olduğu bir kimlik avı e-postası örneği gösteriliyor. Bu kısımlar makalenin devamında açıklanacaktır.
Şekil 6: Harflerle belirtilen bölümler, kimlik avı e-posta yeminin belli başlı özelliklerini gösteriyor.

Hem vergi döneminde hem de yıl boyunca, siber suçlulara karşı sahip olabileceğiniz en iyi savunma, eğitim ve iyi bir siber hijyendir. Eğitim; kimlik avı farkındalığına sahip olmanız yani kimlik avı girişimlerinin neye benzediğini ve bununla karşılaşırsanız ne yapacağınızı bilmeniz anlamına gelir. İyi bir siber hijyen ise finansal hesaplar ve e-posta hesaplarında, çok faktörlü kimlik doğrulaması gibi temel güvenlik önlemlerini uygulamak anlamına gelir.

İşte Birleşik Devletler’de 15 Nisan’da gerçekleşen Vergi Günü yaklaşırken kullanıcıların ve savunma sorumlularının, vergi merkezli tehditlere karşı tetikte olmalarına yardımcı olacak bazı ek öneriler.

Kimlik avı saldırılarından korunmanın 7 yolu

Kimlik avı saldırısına kanmak gizli bilgilerin sızdırılmasına, ağlara virüs bulaşmasına, finansal taleplere, bozulan verilere veya daha kötü şeylere yol açabileceğinden buna nasıl engel olacağınızı burada bulabilirsiniz.3
  • Gönderenin e-posta adresini inceleyin. Her şey olması gerektiği gibi mi? Yanlış yere yerleştirilen bir karakter veya normalin dışında bir yazım, sahte bir e-postanın göstergesi olabilir.
  • Genel bir hitapla yazılan (örneğin “Değerli müşterimiz”) ve acele etmenizi isteyen e-postalara karşı tetikte olun.
  • Gönderen iletişim bilgilerinin doğrulanabilir olmasına dikkat edin. Şüphelenirseniz yanıt vermeyin. Bunun yerine yeni bir e-posta yazarak içeriği yanıtlayın.
  • E-posta ile asla hassas bilgiler paylaşmayın. Özel bir bilgi iletmeniz gerekiyorsa telefonu kullanın.
  • Beklenmeyen bağlantılara tıklamadan önce iki kez düşünün, özellikle de sizi hesabınızda oturum açmaya yönlendiriyorlarsa. Güvende olmak için bağlantı yerine resmi web sitesinden giriş yapın.
  • Bilinmeyen gönderenlerden veya genellikle size ek göndermeyen arkadaşlarınızdan gelen e-posta eklerini açmaktan kaçının.
  • E-posta uygulamalarınız için bir kimlik avı filtresi edinin ve e-posta hesaplarınızda gereksiz e-posta filtresini etkinleştirin.

Çok faktörlü kimlik doğrulamasını (MFA) etkinleştirin

Hesaplarınıza yapılan saldırıların başarılı olma olasılığını azaltmak mı istiyorsunuz? MFA’yı etkinleştirin. Çok faktörlü kimlik doğrulaması, adından da anlaşılacağı üzere iki veya daha fazla doğrulama faktörü gerektirir.

MFA’yı etkinleştirdiğinizde saldırganlar kullanıcı adı ve parolanızı ele geçirse bile hesaplarınıza ve kişisel verilerinize erişim sağlayamazlar. Birden fazla doğrulama faktörünü ihlal etmek, saldırganlar için önemli bir zorluk teşkil eder çünkü bir parolayı bilmek (veya çözmek), sisteme erişim sağlamak için yeterli olmayacaktır. MFA’yı etkinleştirdiğinizde hesaplarınıza yapılacak saldırıların %99.9’una engel olabilirsiniz.4

İlgili makaleler

Temel siber hijyen, saldırıların %99’una engel olur

Temel siber hijyen, hala bir kurumun kimliklerini, cihazlarını, verilerini, uygulamalarını, altyapısını ve ağlarını tüm siber tehditlerin %98'ine karşı korumanın en iyi yoludur. Bu kapsamlı kılavuzda pratik ipuçlarını keşfedin.
Daha fazla bilgi edinin

İş e-postalarının ele geçirilmesine derinlemesine bir bakış

Dijital suçlar uzmanı Matt Lundy, en yaygın ve maliyetli siber saldırı biçimlerinden biri olan iş e-postalarının ele geçirilmesine dair örnekler sunuyor ve bu saldırı türünü ayrıntılarıyla ele alıyor.
Daha fazla bilgi edinin

Güven ekonomisinden beslenmek: sosyal mühendislik dolandırıcılığı

Güvenin hem bir değer hem de güvenlik açığı olduğu gelişen dijital ortamı keşfedin. Siber saldırganların en çok kullandığı sosyal mühendislikle dolandırıcılık taktiklerini keşfedin ve insan doğasını manipüle etmek için tasarlanmış sosyal mühendislik tehditlerini belirlemenize ve alt etmenize yardımcı olabilecek stratejileri gözden geçirin.
Daha fazla bilgi edinin

Microsoft Güvenlik'i takip edin