Siber saldırılarda “ısmarlama” dönemi başladı

SophosLabs’ın gerçekleştirdiği araştırma sonuçları, siber tehditlerin bölgelere göre özelleştirildiği “ısmarlama” döneminin başladığını ortaya koydu. Siber suçlular artık kurbanlarını konuma göre belirlerken, bölgenin özelliklerine ve kültürüne uygun kara para aklama ve siber saldırı tekniklerini tercih ediyor. Ayrıca daha ikna edici olmak için kullandıkları araç ve tekniklerde yerel dili, yerel markaları ve ödeme sistemlerini öne çıkarıyor. Rapora göre Türkiye, yüzde 9,9’luk Tehdide Maruz Kalma Oranı ile ortalamanın üzerinde yer alıyor.
Türkiye distribütörlüğünü Lidyum Bilişim’in üstlendiği dünyanın önde gelen ağ ve uç nokta güvenliği şirketlerinden Sophos, siber suçluların saldırı yöntemlerini ve siber saldırı araçlarını bölgelere ve ülkelere göre özelleştirme eğiliminde olduklarını ortaya koyan araştırma sonuçlarını açıkladı. Araştırma, SophosLabs tarafından dünya geneline yayılmış milyonlarca uç nokta güvenlik çözümünden gelen bilgilerin analiziyle gerçekleştirildi.
Siber suçlular, daha fazla kurbanı ağlarına düşürmek için artık tuzak mesajlarını yerel dil, kültür, marka ve ödeme sistemleriyle uyumlu hale getirerek daha ikna edici bir yöntem izliyor. Fidye yazılımlarını (ransomware) içeren linklere tıklamayı özendirmek için hazırlanan mesajlar, bölgenin resmi kurumlarından gönderilmiş gibi logolarla süslenerek uygun bir dille hazırlanıyor. Yerel posta ofisinden, resmi vergi ve emniyet kurumlarından veya büyük şirketlerden gönderilmiş gibi görünen bu mesajlar, gönderilen paketin adrese teslim edilemediği, elektrik ve telefon faturalarının ödenmediği, ödenmemiş trafik cezası bulunduğu gibi merak uyandırıcı içeriklerle kişiyi zararlı yazılımların olduğu bağlantılara yönlendiriyor. SophosLabs’ın araştırması, bu tarz mesajlarda sıkça rastlanan gramer ve noktalama hatalarının giderek azaldığına ve dilin profesyonelleştiğine özellikle dikkat çekiyor.
Siber dolandırıcılık için kullanılan yöntemlerin giderek daha profesyonel bir hal alması, özellikle ev kullanıcılarını büyük risk altında bırakıyor. Sahte e-posta bildirimlerini gerçek olanlardan ayırmanın gün geçtikçe zorlaştığına dikkat çeken Sophos Kıdemli Güvenlik Danışmanı Chester Wisniewski, özellikle yaşadığınız bölgede insanları tuzağa düşürmek için uygulanan taktikler hakkında bilgi sahibi olmanın giderek daha fazla önem taşıdığının altını çiziyor.
Her bölgenin yazılımı farklı, Türkiye favoriler arasında
SophosLabs’ın araştırması, kullanılan fidye yazılımlarının niteliğinin de bölgelere göre değiştiğini ortaya koyuyor. CryptoWall fidye yazılımı daha çok ABD, İngiltere, Kanada, Avustralya, Almanya ve Fransa’yı hedeflerken, TorrentLocker’in öncelikli hedefleri arasında İngiltere, İtayla, Avustralya ve İspanya yer alıyor. TeslaCrypt’in favorileri ise İngiltere, ABD, Kanada, Singapur ve Tayland.
Sophos’un Ocak-Nisan ayları arasında ülke başına 1.000 uç nokta güvenlik ürünü üzerinden gelen verileri karşılaştırarak ortaya koyduğu Tehdide Maruz Kalma Oranı (Threat Exposure Rates – TER) analiz raporları da ilginç sonuçlar içeriyor. Örneğin batılı ekonomiler daha öncelikli hedefler olmalarına rağmen, TER oranları nispeten düşük. Fransa’da bu oran yüzde 5,2 iken Kanada’da yüzde 4,6, Avustralya’da yüzde 4,1, ABD’de yüzde 3 ve İngiltere’de sadece yüzde 2,8. Bununla birlikte Cezayir yüzde 30,7, Bolivya yüzde 20,3, Pakistan yüzde 19,9, Çin yüzde 18,5 ve Hindistan yüzde 16,9 ile en çok tehdide maruz kalan ülkeler arasında. Türkiye ise yüzde 9,9 ile ortalamanın üzerinde tehdide maruz kalan ülkelerden biri olarak öne çıkıyor.
Mağaza hediye çekleri fidyecilerin yeni gözdesi
Yeni kullanılan tekniklerde para aklama yöntemlerinin bile yerelleştiğini ifade eden Wisniewski, kredi kartı gibi takibi kolay ödeme yöntemleri suçlular için risk teşkil ettiği için fidye taleplerinde farklı ödeme yöntemlerinin öne çıkmaya başladığını söylüyor. Wisniewski bunlar arasında çeşitli marketlerde para yerine geçen hediye çekleri başta olmak üzere pek çok alternatife rastlamaya başladıklarına dikkat çekiyor.
Saldırı için belli ülkelerin hedef alınma eğiliminin de arttığına değinen Wisniewski, bunun olası sebeplerini şöyle açıklıyor:
“Siber suçluların saldırılarını planlarken belli ülkeleri ve belli dillere ait klavye dizilimlerini es geçme eğiliminde olduklarını gözlemiyoruz. Belki de suçlular bu sayede daha kolay yakalanabileceklerini düşündükleri bölgelerde iş yapmaktan kaçınmayı tercih ediyorlar. Milliyetçi duygular nedeniyle kendilerini yakın hissettikleri ülkelerden uzak durmak, veya belli bölgeleri saldırı alanının dışında tutarak şüphelerin bu bölgelerde yoğunlaşmasına neden olma çabası da bunun sebepleri arasında olabilir.”
Bankacılığa yönelik zararlı yazılımlar dev bir endüstriye dönüştü
Bankalara yönelik saldırılar da, siber suçluların amaçları için kullandıkları yazılımları farklı bölgeler için özelleştirdiklerini ortaya koyan bir tablo çiziyor. Türkiye distribütörlüğü Lidyum Bilişim tarafından gerçekleştirilen Sophos’un araştırmasında yer alan siber suçluların kullandığı Truva atlarının ve zararlı yazılımların farklı bölgelerde kullanımına dair veriler şöyle:
• Brezilya için Brazilian banker Truva atı tercih ediliyor. Wisniewski’nin aktardığına göre özellikle Brezilya’daki bankaları hedefleyen yazılımları hazırlamak üzere dev bir yeraltı endüstrisi mevcut.
• ABD ve Almanya’da Dridex popüler.
• Trustezeb özellikle Almanca konuşulan ülkelerde daha yaygın.
• Yebot’a Hong Kong ve Japonya’da daha fazla rastlanıyor.
• En yaygın örneklerden Zbot, özellikle ABD, İngiltere, Kanada, Almanya, Avustralya, İtalya, İspanya ve Japonya’yı hedef alıyor.