Güncelleme Tarihi:
Siber güvenlik dünyası son iki yıldır hiç olmadığı kadar teyakkuz halinde. Pandemiyle birlikte hızla yaygınlaşan uzaktan çalışma modeli nedeniyle birçok şirketin siber güvenliğinde gerçekleşen değişimler korsanların işlerini daha da kolaylaştırıyor. Ancak korsanların hedefi sadece şirketler değil, akıllı telefon kullanıcıları da bu dönemde çok fazla saldırıya uğradı…
Kaspersky Internet Security tarafından yapılan ve sonuçları geçtiğimiz günlerde açıklanan bir araştırma da bu konuda çok çarpıcı veriler içeriyor. Araştırmaya göre, Aralık 2020 ile Mayıs 2021 arasında tespit edilen kötü amaçlı ‘kimlik avı saldırısı' içeren bağlantıların önemli bir kısmı kullanıcılara anlık mesajlaşma uygulamaları özellikle de WhatsApp aracılığıyla gönderildi.
Saldırılarda WhatsApp'ın payı yüzde 84,9 olurken, onu yüzde 5,7 ile Telegram izledi. Viber yüzde 4,9'luk payla üçüncü sırada yer aldı.Hangouts'un payı da yüzde 1’den az olarak açıklandı. Ayrıca çalışma süresince de 91 bin 242 saldırı vakası tespit edildi.
Araştırmada dikkat çeken bir diğer unsur da mesajlaşma uygulamalarının, kullanıcılar arasındaki popülerlik açısından 2020'de sosyal ağları yüzde 20 oranında geride bırakmış olması... Araştırma sonuçları ayrıca 2020'de mesajlaşma uygulamalarının küresel ölçekte 2,7 milyar kişiye ulaştığını ve 2023 yılına kadar 3,1 milyara ulaşmasının beklendiğini gösteriyor. Bu, dünya nüfusunun neredeyse yüzde 40'ına karşılık geliyor.
Durum böyle olunca akla cevaplanmayı bekleyen pek çok soru geliyor:
Konuyla ilgili siber güvenlik uzmanı Osman Demircan ve ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban’ın görüşlerine başvurdum. Oldukça önemli bilgiler verdiler.
TELEFONUNUZA GELEN HER LİNKE TIKLAMAYIN!
Kimlik avı saldırısı tam olarak nedir? Bu saldırılarda kullanıcıların hangi bilgileri ele geçiriliyor?
Osman Demircan: Kimlik avı/Oltama (Phising) saldırıları hassas verilerin çalınması için özellikle ülke gündemi, hediye çekilişleri, "Hediye kazandınız" mesajları ve para hibeleri gibi vatandaşların dikkatini ve ilgisini çeken, gönderilen linkler tıklandığında gerçeğinin neredeyse birebir aynı sahte web sayfaları ile verilerin çalınmasını sağlayan bir siber saldırı yöntemi…
Burada en kritik nokta, hedef olan vatandaşların kandırılması yani ucuna taktıkları yemle oltaya düşmesi ve sonrasında gönderilen linkin tıklanmasıyla hedef alınan kişisel verinin çalınması... Bu tarz saldırıların çok fazla çeşidi bulunuyor. Sıklıkla karşılaşılan türlerse; hedef odaklı kimlik avı saldırıları, sosyal medya kimlik avı saldırıları ve mesajlaşma uygulamalarıyla gerçekleşen saldırılar...
Can Erginkurban: Ben konuya bir soru sorarak başlamak istiyorum. Bir bankadan kimlik bilgilerinizi, kredi kartı numaranızı veya diğer hassas bilgilerinizi onaylamanızı isteyen e-posta, metin veya başka bir elektronik iletişim formu aldınız mı? Eğer aldıysanız, yaygın bir kimlik avı saldırısının neye benzediğini zaten biliyorsunuz. Bu saldırı türünde, saldırganlar hassas kullanıcı verilerini elde edip, satabilir veya gasp, parasal hırsızlık ya da kimlik hırsızlığı şeklindeki başka zararlı etkinliklerde kullanabilirler.
EN TEHLİKELİSİ WHATSAPP
Yapılan araştırmada kimlik avı saldırıları açısından en tehlikeli mesajlaşma uygulamalarının başında WhatsApp geliyor. İkinci sırada Telegram, üçüncü sırada Viber, dördüncü sırada da Google Hangouts bulunuyor. Bu uygulamaların ortak özelliği mesajlaşma ve sesli görüşme imkânı sunan iletişim araçları olmaları… Güvenli değil mi bu uygulamalar?
Can Erginkurban: Kullanıcıların iletişim kurabilmeleri için yaygın kullanılan onlarca ve dahası çok bilinmeyen ya da ülkelere özel kullanılan yüzlerce mesajlaşma uygulaması var. Bu uygulamalar ilk olarak mevcut SMS altyapısının yetersiz ve çok pahalı olmasından dolayı ortaya çıktılar ve giderek gelişerek varsayılan olarak kullanılan ya da tercih edilen uygulamalara dönüştüler.
Oltalama saldırılarına maruz kalan uygulamaların sıralamasının WhatsApp, Telegram, Viber vs. diye gitmesi ise bu platformların kullanıcı sayıları ile ilgili. Dünyada en yaygın kullanılan uygulamalardan biri olan WhatsApp doğal olarak dolandırıcılık mesajları için de en yaygın şekilde kullanılan uygulama oluyor. Saldırganlar zararlı yazılım geliştirirken hedefledikleri platformun kullanıcı sayısına bakarlar, az kullanılan sistemlere saldırmak için yazılım geliştirmek yerine daha fazla kullanılan sistemleri hedeflerler.
Osman Demircan: Net bir önlem maalesef bulunmuyor. Antivirüs yazılımları oltalama saldırılarına karşı kısmi bir şekilde önlem sağlayabilse de tamamen önüne geçemiyor. Çünkü bir kimlik avı saldırısına maruz kalındığında hedeflenen veriler arasında kişisel rehberiniz de bulunuyor.
Telefonunuza ve bu rehbere ulaşan korsanlar, rehberinizde bulunan ve sizi tanıyan numaralara sanki siz gönderiyormuşsunuz gibi mesaj göndermeye başlıyor. Mesaj sizden gelmiş gibi göründüğü için mesajı alan kişide bir güven oluşuyor. Oltalama saldırısının içeriği doğrultusunda da mesajı alan kişi gelen linke tıklıyor ve hassas verilerini karşısına çıkan ekranda paylaşmaya başlıyor.
Can Erginkurban: Bu noktada öncelikle kişi listemizde yer almayan kullanıcılardan gelen mesajlara dikkatle yaklaşmamız lazım. Çoğu mesajlaşma uygulaması bu gibi bilinmeyen kişilerden gelen mesajlarda uyarı gösteriyor. İkinci olarak tüm siber güvenlik dünyası için geçerli kuralı hatırlatalım: “Gerçek olamayacak kadar güzel bir teklif alıyorsanız, gerçek değildir!” Oltalama saldırıları iki şekilde başarılı olabilir; kullanıcının korkması veya çok iyi bir fırsat yakaladığına inanması sağlanır. Son olarak mobil cihazlarımızda da bir güvenlik yazılımı kullanmalıyız. Çünkü oltalama saldırıları insan gözünden kaçabilecek ufak ayrıntılar içerir.
Osman Demircan: Bu arada Bilgi Teknolojileri ve İletişim Kurumu konu ile ilgili dolandırıcı olduğu bilinen linklerin kendisine ihbar edilmesini sağlayan platformlara sahip. Bu alanlarda ihbar edilen linkler ülke genelinde çalışmamak üzere kapatılıyor. Bu da ek bir önlem sağlıyor. Tabii ihbar edildiği sürece...
Bazı şirketlerde bölümler arası haberleşme WhatsApp grupları ile sağlanıyor. Bu durum çok mu riskli?
Osman Demircan: Eğer çalışanlardan bir tanesinin telefonu hack'lenirse o gruplarda yapılan ticari ve kurumsal sır niteliğinde yazışmalar maalesef üçüncü kişilerin eline geçebilir. Bu risk bütün mesajlaşma uygulamaları için mevcut. Tabii şifre ekranı olmayan bir telefonu çaldırıp yine tüm veriyi riske atmak olası.
Özellikle ticari konularda yazışmaların e-posta ortamında gerçekleştirilmesi ya da anlık kurumsal haberleşmeyi sağlayan profesyonel ve ücretli ürünlerin kullanımı önemli… Bu şekilde yazışmaların kayıt altına alınabileceği ve kurumsal ortamlara yedeklenebileceği düşünülürse ileride oluşabilecek herhangi bir dava sürecinde de kurumun elini rahatlatıcı ortam sağlanacaktır.
KİMLİK AVI SALDIRILARINDA EN AZ RİSK HANGİSİNDE: ANDROİD Mİ YOKSA iOS MU?
Araştırmada kimlik avı saldırıları açısından ‘Android’deki uygulamalar diye altı çiziliyor. Aynı durum iOS için de geçerli değil mi? iOS’un kimlik avı saldırıları açısından farklı bir koruyucu özelliği mi var?
Osman Demircan: Android işletim sistemini kullanan telefonlar daha düşük maliyetli telefonlar olduğundan daha çok tercih ediliyor. Kullanım yaygınlığı çok fazla... Bu durum da hedef olmalarını sağlıyor. Piyasada çok farklı firmaların çok farklı Android sürümleri mevcut. Yapısal olarak genel kullanım standartlarının dışına çıkılmadığı sürece Android telefonlar güvenli diyebiliriz.
Ama Android eğer ki mağaza dışından uygulamalar kurulan, güncellemeleri yapılmayan, artık güncelleme alamayan bir formda çalışıyorsa elbette güvende değil. Aynı durum iOS için de geçerli. iOS kullanıcıya işletim sistemi seviyesinde çok hareket alanı bırakmadığı ve Android işletim sistemindeki birçok işleme kapalı olduğundan daha güvenli diyebiliriz. Ama şunu unutmamak lazım ki her iki işletim sisteminde de her gün sürekli güvenlik açıkları tespit ediliyor.
Can Erginkurban: iOS cihazların Android cihazlardan farkı, uygulama mağazasının özel olması. iOS sistem kullanan biri örneğin mağazadan WhatsApp indirdiğinde büyük olasılıkla gerçekten WhatsApp indirecektir fakat Android cihazlarda kullanıcıları kandırma olasılığı çok daha yüksek. Herhangi bir siteden veya depolama alanından ‘apk’ uzantılı bir uygulama indirilip kurulabildiği için, kullanıcıyı yanıltarak orijinal olmayan, kodlarıyla oynanmış bir uygulama indirtmek mümkün. Bu da saldırı için biçilmiş kaftan…
SMS DE KURTARICI DEĞİL
Peki mesajlaşma uygulamaları dışında, klasik haberleşme alanı olan SMS kullanmak riskleri sıfırlar mı?
Osman Demircan: SMS kullanımı riskleri kesinlikle sıfırlamıyor. Hatta riski artırdığını bile söyleyebilirim. Başta devlet ve bankacılık uygulamaları olmak üzere birçok kritik kurum bilgilendirme mesajlarını SMS üzerinden gönderiyor. Çok iyi kurgulanmış ve gerçek kurumun telefonuna çok yakın bir telefon numarası ile gönderilmiş oltalama SMS’ine inanılma olasılığı çok yüksek.
Can Erginkurban: Zaten SMS oldukça eski bir altyapı olduğu için açıkları çok fazla… Yaygın olarak kimlik doğrulama için kullanılmasının nedeni herkesin bir telefon numarasına sahip olması ve çalışmak için internet gereksinimi olmaması.
Kimlik avı veya oltalama saldırıları söz konusu olduğunda sizin ne kullandığınız çok önemli olmuyor. SMS üzerinden de pekâlâ dolandırıcılık yapılabiliyor, hatta toplu mesaj gönderilebildiği için daha kolay.
KULLANICILARI BU CÜMLELERLE KANDIRDILAR
Özellikle pandemiyle birlikte kimlik avı saldırıları bir hayli arttı. Koronavirüs ile ilgili en sık görülen ‘oltalama’ yöntemleri neler?
Osman Demircan: Pandemi dönemi kimlik avı saldırılarının en üst noktaya geldiği zamanlar oldu. Online ticaret inanılmaz bir büyüme yaşadı ve çok ciddi bir kesim online ticaret ile tanıştı. Saldırılardan bihaber olanlar ve ilk defa sanal dünyada aktif olmaya başlayanlar bu saldırıların ana hedefi oldu. Sahte alışveriş siteleri ve sahte kampanya reklamlarından ciddi anlamda hack'leme vakaları yaşandı.
Covid-19 bu saldırılarda ciddi olarak kullanıldı. ‘Aşı sırasında öncelik için tıkla’, ‘Sağlık Bakanlığı bütçesinden yardım almak için tıkla’, ‘Devlet evde kalma süresince yardımlara başladı. Yardım sırasına girmek için tıkla’ şeklindeki ciddi saldırılardan pandemi boyunca çok fazla insan etkilendi.
Osman Demircan: Evet. Bir konu araştırıyorsunuz ve YouTube videolarını izliyorsunuz. Videonun altındaki yorumları okumak istediniz. Bir kişi şöyle bir yorum yapmış, “Konu ile ilgili ücretsiz yardımcı oluyorum. DM gönder ya da iletişim bilgilerim için tıkla” bu tarz bir mesaj kimlik avı için rahatlıkla kullanılabilecek nitelikte. Bu konuda çok dikkatli olmak gerekiyor.
Aynı durum Google Drive için de geçerli. Arama motorunda bir doküman arıyorsunuz ve dokümanı Google Drive’a bir kişi linklemiş. Heyecanla indirip açıyorsunuz ve karşınıza bir link çıkıyor: ‘Dökümana ulaşmak için tıklayın’. Bu son yıllarda en çok karşılaşılan durumlar arasında.