20 Nisan 2021

Yemeksepeti, Facebook gibi sitelerden çalınan kimlik verileri kullanılmaya mı başlandı?

Dolandırıcılarının ellerindeki bu yeni bilgilerle, önümüzdeki en az 2 yıl boyunca yoğun siber saldırı göreceğiz

2 hafta kadar önce, Yemeksepeti.com ve Facebook vs sızıntıları ortaya çıkmıştı. O zaman dolandırıcılıkların artacağı uyarısı yapmıştık. Nitekim bugünlerde git gide artan düzeyde siber dolandırıcılık duyumları alıyoruz. Yani dark web'de satılan ya da ücretsiz dağıtılan bu kimlik verilerindeki telefon ve e-mail adresleri -tabii ki dolandırıcı hikayelerini güçlendirmeye yarayan diğer yan bilgiler de- kullanılmaya başlanmış olabilir.

Aldığımız çeşitli doğrudan bilgilere göre, kullanıcıların e-posta adreslerine ve SMS kutularına "Kart aidatlarınız ödenecek, adınıza şu kadar döviz alındı veya satıldı, döviz hesabı dökümünüz ektedir, sigorta dökümünüz ektedir" gibi kandırmaya yönelik mesajlar geliyor. Kısa çalışma ödeneği, aşı uygulaması, Ramazan ayı mesajları başladı. Yani zamana ve kişiye uygun dolandırma, kandırma (oltalama) metodları deneniyor.

Mesela aşağıda "link tıklatma"ya yönelik bir SMS dolandırıcılığı görüyorsunuz:

Dolandırıcının sizden istediği şey banka bilgilerinize ulaşacağı bilgiler. Bu nedenle telefonunuzdaki PIN önemli. Onu da ne tür hikayelerle aldığına dair başka bir dolandırıcılık mesajını aşağıda görüyorsunuz:

Telefonla aranmalar da artmış gözüküyor. Ne de olsa, "taze çalınmış kimlik bilgiler" geldi. Daha önceki yıllarda ortaya çıkan çalınmalarda ele geçen bilgiler artık "yaşlandı". Yani bir yandan kullanılabilenler kullanıldı, diğer yandan ölenler, yeni listeye girenler, adres, telefon değiştirenler filan oldu. Şimdi dolandırıcılarının ellerindeki bu yeni bilgilerle, önümüzdeki en az 2 yıl boyunca yoğun siber saldırı (telefonla, email ya da WhatsApp mesajları ve SMS'lerle) göreceğiz. Hepsinde hedef aynı; paranızı çalmak.

Sosyal bilimler boyutuyla siber güvenlik

Bu nedenle sürecin nasıl tamamının işlediğini sadece teknik olarak değil, sosyal tarafını da ele alarak bir daha anlatalım; Yani teknik yetenek kullanılarak çalınan bu verilerin, dolandırıcılığa nasıl dönüştüğünü sürecine göz atalım.

Boğaziçi Üniversitesi Yönetim Bilgi Sistemleri, Siber Güvenlik Merkezi 2 hafta evvel cumartesi - pazar - pazartesi günlerinde "Sosyal Bilimler Boyutuyla Siber Güvenlik" etkinliği gerçekleştirdi[1]. Bu etkinlikte sunum olarak verdiğimiz bilgileri T24 okuyucularının da dikkatlerine sunuyoruz.

Sosyal açıdan siber saldırı sınıflandırması

Sosyal açıdan (içerik de diyebiliriz) siber saldırıları sayarsak, şöyle bir sınıflandırma yapabiliriz:

Dezenformasyon, siber zorbalık, Doxxing vs.

  • Dezenformasyon genellikle politik düzeyde görülüyor.
  • Cambridge Analytica olayı da dezenformasyon başlığı altındaki siber saldırı cinsiydi. İnsanların bilgileri kullanılarak oyları manipüle edildi.
  • Son 5 yılda Avrupa’da yoğun bir dezenformasyon kampanyası görülüyor. ABD, Fransız ve İngiliz seçimlerinde Rusya suçlandı.
  • Orta Afrika ülkesinin seçimlerinde ise Facebook, farklı adaylara yönelik dezenformasyon çalışmaları nedeniyle çok sayıda Fransız ve Rus hesaplarını kapattı.
  • Son ABD seçimlerinde Deep Fake videolarından korkuldu ama ortaya bu tür bir olay çıkmadı ama hala bir sorun.
  • Arap baharları da dezenformasyon/provokasyon çerçevesinde siber saldırı olarak öngörülebilir. Çünkü sonuçlara bakıldığında bahar değil kaos yarattıkları görülüyor. Uzun dönemde —geçmişte fiziksel olarak yapılan örneğin ülkemizde 5/6 eylül, Kahraman Maraş, Çorum olayları gibi— bunun provokasyon amaçlı olarak ülkeler karşı kullanılabileceği öngörüsü var

Siber zorbalık ve Doxxing, intikam videoları

  • Tehlikesi giderek büyüyen saldırı cinsleri.
  • Siber zorbalık özellikle gençlerde ve öğrenci düzeyinde çok görülüyor. Genç olmanın verdiği tecrübesizlikle verilen bazı fotoğraf ya da bilgiler kullanılabiliyor.
  • Doxxing [1] bunun bir alt grubu, ifşa etmek anlamına geliyor. İntikam videosu, bu ifşanın bir başka cinsi. Ayrılan sevgiliye yönelik çekilmiş görüntülerin paylaşımı gibi.
  • Deep fake [2] : Siber zorbalıkta da kullanılabiliyor. Özellikle "intikam videoları"nda olmayan şeyleri olmuş gibi kullanıldığı görülüyor.

Hizmet engelleme saldırıları (dDOS, fidye saldırıları, troller)

  • DDos saldırıları ve Fidye saldırıları gibi saldırılar son yıllarda teknik yetenek olmadan da (servis olarak kiralanarak) yapılır hale geldi. Ancak bunlar kurumlara yönelik saldırılar. Burada bireylere yönelik "hizmet engelleme" saldırılarına bakarsak; Sosyal medya platformlarında gerçekleştirilen "LİNÇ" ve bunu gerçekleştiren "TROLL saldırıları" bu sınıfa sokulabilir. Engellemeye yö Sosyal anlamda belli konulardaki içeriklerin engellenmesi anlamına gelir. Rusya’nın "Troll Fabrikası" olduğunun ortaya çıkmasından bu yana çok daha fazla ciddiye alınıyor. Trollerle savaşma modelleri tartışılıyor.

Veri çalmaya yönelik saldırılar (sosyal mühendislik)

  • Yukarıda gördüğünüz link tıklatmaya çalışmak (phishing ya da Türkçesi oltalama) ya da telefonla kandırmak için yapılan çalışmalar (kurbanın kandırılmasına uygun bilgilerin, sosyal medya üzerinden toplanması).

Siber casusluk

  • Siber casusluk, bireylere yönelik olduğunda, eski sevgili ya da rakip şirkette çalışan kişiden bilgi çalmak anlamına gelir. Yine link tıklatmak en çok kullanılan yöntemdir.

Kişisel verilerin çalınmasından, dolandıcılığa kadarki süreç

"Kişisel veriler" ile ilgili siber saldırıların 3 kademesi var:

  1. Sunuculara sızma ve verilerin çalınması" süreci,
  2. Çalınan kişisel verilerin satılması süreci,
  3. Satın alınan verilerin ait olduğu normal insanların dolandırılması.

Sunuculara sızma ve verilerin çalınması süreci

Genellikle siyah şapkalı dediğimiz yani siber yeteneklerini kötüye kullanan hackerların gerçekleştirdiği bir süreçtir. Bunlar, sunuculara şöyle sızarlar:

  1. Bilinen ya da çok yeni ortaya çıkmış, hatta henüz ortaya çıkmamış ama hacker tarafından olduğu tespit edilmiş sistem hataları (açık ya da ingilizcesi bug)
  2. Çalışanların yetkilerini ele geçirmek:
    1. Para ya da başka bir menfaat karşılığında çalışanla anlaşarak
    2. Oltalama ile yani virüslü link göndererek
    3. Çalışanları sosyal anlamda kandırmak (geçen yılın Twitter hacklemesi)
    4. Çalışanların firmaya karşı "öç alma" duygusunu kullanmak.

Çalınan verilerin satılması

Satış genellikle bir hacker forumunda olur. Verileri eline geçiren hacker, bir örnek veri seti yayınlar ve karşılığında belli bir para talep eder. Ödeme genellikle -takip edilmemesi için- Bitcoin iledir.

Bu para miktarı, alınan verinin kıymeti, sayısı ve güncel olmasıyla ölçülebilir. Fiyat ilk günlerde bir kaç on bin dolar gibi düzeylerdedir. Zaman geçtikçe binli dolarlar düzeyine düşer. En sonunda da açık yayınlanabilir. Bu bir hacker raconu olarak da tanımlanıyor.

Satın alınan verilerin kullanılması

Satın alınmış kişisel verileri, dolandırıcılar genellikle "sosyal mühendislik" tabir edilen yani internet ortamındaki diğer verilerle bunları birleştirip, kurbanın yutabileceği bir hikaye yaratarak sunarlar.

Satın alım yapan kişiler genellikle internet açısından teknik yeteneği olmayan ya da daha sınırlı olan kişilerdir. Bunların işi o kişisel verilerin ait olduğu birilerini kandırmaktır. Bunu genellikle telefonla ya da bazen link göndererek yaparlar.

Ne yapılmalı?

Bu şemada herkese görev düşüyor:

  1. En başta internet üzerinden servis alan bizim gibi insanların, "basit" olmayan şifreler ve hatta 2FA denilen 2 kademeli şifre sistemini kullanmayı öğrenmeleri gerekiyor
  2. Kişisel verileri kullanarak servis veren firmaların ise,
    1. şifreleri çözülmesi zor algoritmalar ile kapalı halde tutması
    2. ama yine de basit şifreleri kabul etmeyerek, uyarı yapması lazım. Yani "şifreniz fazla basit, içine bir büyük harf, bir tane de işaret koyun" demek gibi.
    3. Üstüne 2FA sisteminin kullanımı zorlanmalı veya en azından önerilmeli
    4. Hatta üstüne SALT, Bcrypt gibi yöntemler de kullanılmalıdır. (her şifreye firmanın kendi şifrelemesini eklemesi)
    5. Şifrelerin belli zaman aralığında değiştirilmesi zorlanmalı (2 ayda- 3 ayda vs)
    6. Eğer yüklü kişisel veri kullanıyorsa, siber güvenlik ve istihbarata önem vermesi gerekir
  3. Devletin siber İstihbarat ve hatta belli sektörlerde denetim yapması gerekir.

Özetle kişisel veriler alanında siber güvenlik alanında, "en zayıf halka" kadar güçlüyüz.


Yazarın Diğer Yazıları

Neden bazı sitelere erişimde sıkıntı oldu?

Çeşitli hizmetler veren Cloudflare'i ülkemizde en çok "dDOS temizleme hizmetleri" ile biliyoruz. Trendyol'undan, Yemeksepetine, çeşitli gazetelerden, eksisozluğe, arabam.com'a kadar pek çok sayıda Türk web sitesi tarafından da kullanılıyor. Detayları Dağhan Uzgur'a sorduk

Trendyol "buybox" soruşturmasında, Rekabet Kurumu’na taahhüt metni sundu

İddiaya göre e-ticaret platformları, müşteriye gösterilecek satıcı konusuna daha doğrusu satıcılar arasında fiyatlara müdahale edebiliyor ve böylece son kullanıcının alım şartlarını etkiliyor

Avrupa endişeli, dikkatler denizaltı kabloları üzerinde

Denizaltı kablolar, uluslararası veri trafiğinin yaklaşık yüzde 99'unu taşıyan küresel internet bağlantısının omurgasını oluşturur. Bu kablolar, bulut bilişim, finansal işlemler ve medya akışı gibi hizmetleri etkinleştirerek küresel iletişim için kritik öneme sahip

"
"