15 Aralık 2016

Swift saldırısı 3 Türk bankasında yaşanmış, BDDK bankaları uyardı

Olayın Akbank ile sınırlı olmadığı ortaya çıktı

Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) 1 haftadır bankaları "SWIFT" sistemleri konusunda uyarıyor ve önlem geliştirmelerini istiyor. Çünkü ilk defa nisan 2016'da Bengaldeş'de [1] ortaya çıkan Swift sorununun Türkiye'deki 3 bankanın başına geldiği bildiriliyor. Swift kuruluşu da, son saldırıyı genel anlamda onaylamış durumda [2].

Şubat ayında yaşanan ilk olayda, Bangladeş örneğinde (81 milyon $) ve en yeni örnek ise geçen hafta yaşanan Rusya Merkez Bankası (31 milyon $) para çalınmıştı.


Saldırı Microsoft ofis makroları içinde geldi



Olayı OdaTV'de bugün yayınlanan Akbank haberi ile gördük [3]. Araştırdığımız zaman, olayın Akbank ile sınırlı olmadığı ortaya çıktı. Buna göre, önce nisan ayında Bengaldeş Merkez Bankasında, sonra Ukrayna'da yaşanan saldırı, oltalama (phishing) saldırısyla sisteme girdikten sonra, Microsoft Office programlarının makroları üzerinden bulaşıyor ve aktif hale geliyor. Makroların kullanılması ile yetki kazanan virüs, Swift mesajlarındaki bilgileri değiştirebilir hale geliyor. Yani alıcı adresini ya da meblağı değiştirebiliyor.

Asıl kötü olan ise, bu mesaj kuyruğa düştükten ve işlem gerçekleştirildikten sonra, kuyruktaki işlemi silebilmesi. Kaydı kalmayınca da olay hızlı bir şekilde farkedilemeyebiliyor.

Aldığımız bilgiye göre, bu siber saldırı Türkiye'deki 3 bankanın daha başına gelmiş. Saldırının Swift emrinin yani yurtdışına para transfer emrinin15.000-20.000 adet gibi yüksek sayıda olduğu bankalarda meydana geldiği kaydediliyor. Akbank, OdaTV haberi üzerine açıklama yaptı. Diğer 2 banka konusunda henüz bilgimiz yok. Bu bankalara sızma olduğu ama işlem yapılamadığı iddia ediliyor. Araştırmalarımızdan bilgi gelince, onları da yayınlayacağız.



BDDK kontrol setlerinin tamamlanmasını istiyor



Aynı zamanda bankacılık sektörünün SOME'si [4] olan BDDK'nın bu hafta alınacak önlemler konusunda bankaları uyardığı öğrenildi. BDDK bu uyarısında, SWIFT sistemine mesaj iletilene kadar gerekli kontroller, alarm tanımlamaları ve sıkılaştırmaların yapılması gerektiğini vurguladı.

Ulaştırma Bakanlığı, 4 yıl önce Ulusal Siber Olaylara Müdahele Birimi (USOM) yanında kamu ve özel sektöre yönelik SOME (Siber Olaylara Müdahele Ekipleri) kurulmasını istemişti [4]. 



Swift kasımda uyardı



Hackerlar anlaşılan parça parça kişilerin hesaplarından ya da kredi kartlarından para çalmaktan bıkmışlar, toplu para çalmanın yolunu bulmuşlar. Yaklaşık 1 yıldır uluslararası para transfer sistemine sızmanın yollarını arayarak, her seferinde bir yöntem buluyorlar. Güvenlik uzmanları merkez bankaları ve ticari bankalarının uğradığı siber saldırıların 1/5inde başarıya ulaşıldığı ve paraların çalındığı bilgisini veriyorlar. Swift'in kasım ayında müşterisi olan bankalara gönderdiği bir bültende, sisteme yönelik siber saldırı uyarısını "Tehdit çok güçlü, yeni koşullara göre kendini değiştiriyor ve karmaşık. Yokolmaya da hiç niyeti yok" şeklinde vermiş. Swift saldırılarının tüm dünya bankacılık düzenleyicilerini alarm durumuna aldığı kaydediliyor. 

Dünya çapında 11.000 kadar finansal kurum ve bankanın kullandığı bildirilen SWIFT bugün ülkeler arasındaki para transferlerinde en önemli araç durumunda. Bu, uluslararası bir ödeme networkü üzerinden para transfer etmeye yönelik mesajlaşma sistemine verilen ad. "Society for Worldwide Interbank Financial Telecommunication" ifadesinin başharfleri ile ve 3.000 finansal kurum tarafından oluşturulmuş Brüksel merkezli servis, üye olan finansal kurumların birbirlerine para transferi için standart ve güvenli bir çerçeve sağlıyor. Ancak para transferinin kendisi değil, sadece bilgileri aktarılıyor.

Hackerların sızdığı alan da bu, ödeme bilgilerinin gönderildiği mesaj içeriği. Böylece günlük normal para transferlerinin gideceği yer, gönderenin istediği değil, hackerların planladığı yer oluyor. Meblağ ya da diğer bilgiler de değiştirilebiliyor. Swift'in bu sene meydana gelen saldırı olayları sonrasında, sistemi web tabanlı olarak değiştirme çalışmaları yaptığı kaydediliyor. 

Güvenlik Bir Çok Bileşenin Birlikte Çalışılmasını Gerektiriyor

Konuyu üst düzey bir güvenlikçiye danıştık. Nisan ayında Bengaldeş'te bu sorun yaşandığına göre, neden önlem alınmamış diye sorduk. Bize şunları söyledi;
 


Bu saldırı, hepimizin "hackerların anavatanı" diye bildiği Rusya'da bile oldu. Dolayısıyla güvenlik böyle bir şey. 

Swift tüm bankalarda izole bir sistem. Üstelik her bankanın birçok katmanda kurguladığı ek önlemleri de var. Hani hep deriz ya; % 100 güvenlik olmaz. Bu öylesine ince bir noktadan yapılan bir saldırı.

Şu banka güvenli, bu banka önlem almış, şu almamış denemez. Güvenliğe tek boyutta bakmak değil ve "bilgi güvenliği uzmanları ne gerekiyorsa yapsın" demek kuruma zarar getirecek bir yaklaşım. Teknoloji, insan ve süreç boyutlarına bir arada bakmak, bütüncül bir yaklaşım sergilemek gerekir. 

Burada iş birimlerinin kendi süreçleri içindeki kontrollerini, uyarıları mekanizma senaryo ve kurgularını oluşturmaları, teknik ekiplerin bilgi güvenliği teknolojileri altyapılarında farklı katmanlarda alacakları sistemsel kontrolleri tesis etmeleri, iş birimleri ile güvenlik ekiplerinin kurgular üzerine birlikte çalışmaları, iş birliği içinde olmaları gerekiyor. Sosyal mühendislik, oltalama, vb. araç olarak kullanılan saldırılara karşı hem sistemsel önlemler alınmalı, hem de çalışanların farkındalıkları yükseltmeli. Belli kontrollerin sağlanamadığı noktalarda mutlaka bu kontrollerle ilgili telafi edici önlemler alınmalı. 

Her ne yapılırsa yapılsın, "yaptık bitirdik, arkamıza yaslanalım" demek mümkün değil. Tüm önlemlerin alındığının düşünüldüğü noktada dahi, "sorun çıkmaz" diyemeyiz. İteratif bir yaklaşımla devamlı kafa yorarak daha ne yapabiliriz, hangi kontrolleri geliştirebilriz diye sürekli iyileştirilen ve geliştirilen bir yaklaşım gerek.

 

Akbank: Azami risk 4 milyon dolar



Saldırı ODATV'de yayınlandıktan sonra Akbank bir açıklama yaptı. O açıklama şu şekilde;
 


"Bir internet sitesinde yeralan bankamız ile ilgili haberde bahsedilen girişimler dünyada ve ülkemizde bankalara ve diğer tüm kurumlara zaman zaman yöneltilmektedir. Nitekim uluslararası bir şebekenin tüm dünya bankalarına yaptığı bir SWIFT Yurtdışı Para Transfer Sistemleri atağına dair bir haber 12 Aralık tarihinde Reuters Haber Ajansı tarafından kamuoyu ile paylaşılmıştır.

Sözkonusu atak 8 Aralık tarihinde bankamız bilgisayar sistemlerine de yöneltilmiştir.

Atak sonrasında teknik ekiplerimizce duruma ivedilikle müdahale edilmiş, gerekli tedbirler alınmış ve konu ile ilgili kamu makamlarına ivedilikle bilgi verilmiştir. Tüm sistemlerimiz sorunsuz olarak çalışmaya devam etmektedir.

Bu veya başka herhangi bir bir konuda müşterilerimize yansıyan herhangi bir olumsuzluk, kayıp ya da güvenlik sorunu bulunmamaktadır.

Durumun bankamız açısından operasyonlarımızı ve mali tablolarımızı etkileyecek önemli bir etkisi bulunmamaktadır. Bankamızın maruz kalabileceği azami risk tutarı 4 milyon USD seviyesinde olup, olası zarar Bankamızı koruyan Bankers Blanket sigortası kapsamına girmektedir.

Durumu kamuoyunun bilgilerine sunarız.

Akbank


Diğer yandan OdaTV haberinde Kredi kart bilgilerinin çalınmasından da bahsediliyor ama bizim arka plandaki bilgilerimizde sorun bu değil olarak verildi.


[1] Bengaldeş Merkez Bankasına Sızan Kişilerin Swift Yazılımını Hacklediği Sanılıyor
[2] SWIFT confirms new cyber thefts, hacking tactics
[3] Türk bankasında on milyonlarca dolarlık soygun
[4] SOME = Siber Olaylara Müdahele Ekibi. Bkz : SG-USOM ve Kurumsal SOME

Yazarın Diğer Yazıları

Neden bazı sitelere erişimde sıkıntı oldu?

Çeşitli hizmetler veren Cloudflare'i ülkemizde en çok "dDOS temizleme hizmetleri" ile biliyoruz. Trendyol'undan, Yemeksepetine, çeşitli gazetelerden, eksisozluğe, arabam.com'a kadar pek çok sayıda Türk web sitesi tarafından da kullanılıyor. Detayları Dağhan Uzgur'a sorduk

Trendyol "buybox" soruşturmasında, Rekabet Kurumu’na taahhüt metni sundu

İddiaya göre e-ticaret platformları, müşteriye gösterilecek satıcı konusuna daha doğrusu satıcılar arasında fiyatlara müdahale edebiliyor ve böylece son kullanıcının alım şartlarını etkiliyor

Avrupa endişeli, dikkatler denizaltı kabloları üzerinde

Denizaltı kablolar, uluslararası veri trafiğinin yaklaşık yüzde 99'unu taşıyan küresel internet bağlantısının omurgasını oluşturur. Bu kablolar, bulut bilişim, finansal işlemler ve medya akışı gibi hizmetleri etkinleştirerek küresel iletişim için kritik öneme sahip

"
"