İşin Uzmanına Sorduk: Dolandırıcıların Gönderdiği Linke Tıklamanız Hâlinde Başınıza Gelebilecek En Makûs Senaryolar
Bilgisayar, tablet yahut telefon kameranıza erişimlerinden tutun kart şifrelerinizi öğrenmenize kadar, aklınıza gelebilecek her şey teknoloji yüzyılında bugün prestijiyle mümkün. Her geçen gün yeni bir yol kullanarak insanları, hatta bazen devletleri bile tehlikeli olaylara sürükleyen bu durumlar iddia edersiniz ki çok büyük bir tehdit.
Biz de sizler için bu tehditle müsabakanız durumunda başınıza gelebilecek en berbat senaryoları sıraladık ve siber güvenlik uzmanı Yasir Gökçe‘ye danışarak bu usulleri nasıl kullandıklarını anlattık:
Kendisine birinci sorduğumuz soru “Dolandırıcıların gönderdiği linke tıkladığımızda nasıl oluyor da bütün belgelerimize erişim sağlayabiliyorlar?” sorusu oldu. İşte Yasir Gökçe’nin yanıtları:
Bu taarruz cinsinde en çok kullanılan metot “drive-by download” dediğimiz bir atak çeşididir. Bu saldırı için mağdurun belli bir dosyayı açması yahut siteye tıklaması kafidir. Sonrasında kötücül yazılım ya da kod kendi kendine bilgisayara yüklenir ve bilgisayarınızın muhafaza ve işletim sisteminizin güncellik seviyesine göre kendini aktive eder.
Bilgisayarınıza inen vekendini yok eden kötücül yazılım bazen zararsız da olsa “adware” yani istenmeyen reklam olarak tesirini gösterebileceği gibi hedefe yönelik daha ziyanlı siber tehditler de arz edebilir. Bu tesir, kötücül yazılım yahut kodun tipine göre değişir: Virüs, trojan horse, logic bomb, spyware, worm, cryptojacking vb. olmasına nazaran farklı zararlı sonuçlar ortaya çıkar.
Bu kötücül yazılımlar kimi zaman müsaade vermediğiniz bilgilerinizin paylaşılması istikametinde toplumsal medya uygulamalarının müsaadelerini manipüle eder ve sizden habersiz bir halde değiştirebilir. Kimi vakit da internet trafik bilgilerinizin depolandığı alanı ya da tabloyu manipüle ederek internet trafiğinizi kendi network’üne yönlendirir ve hassas bilgilerinizi ele geçirir.
Ancak en berbatı bu da değil: Bilgisayarınıza ileri seviyede yetkilerle erişip muhtaçlığa nazaran kötücül yazılım yükler. Örnek verecek olursak; Kriptominer yükleyerek bütün sisteminizi rehin alabilir, bu durum cryptojacking olarak da biliniyor.
Bir öbür berbat senaryo ise telefon, tablet yahut bilgisayar üzere araçlarımızın kameralarına erişebilmeleri. Pekala bunu nasıl yapıyorlar?
Her siber taarruzda olduğu gibi “camfecting” dediğimiz bu taarruz çeşidinde siber hatalı, sistemimize bir biçimde erişim sağlar ve bu erişimi suistimal etmeye başlar. Bu akın özellikle laptop, televizyon, telefon ya da CCTV üzere kamera içeren bilişim sistemlerine yönelik bir tehdittir ve uzaktan erişim ile ilgili sisteme erişim sağlayıp “privilege escalation” olarak bilinen yetki arttırımı yolu ile ilerler.
Bu siber taarruzda ekseriyetle “Remote Access Trojan” isimli kötücül yazılım kullanılır. Sisteme bulaşan ve yetkileri istenen seviyede arttırmayı başaran siber hatalı, camfecting için kamera kullanan yazılım ya da tarayıcı eklentilerini indirir ve bunları aktive eder.
Bunlar biz farkında olmadan art planda çalışmaya devam eder. Hatta kameranın LED ışığı yanmaksızın aktive edilebildiği 2013 yılında MacBook üzerinde yapılan bir PenTest çalışmasında ortaya çıkmıştır.
Bu durumdan kendimizi nasıl koruyabiliriz?
Kamera kullanmamanıza karşın kamera ışığınız açıksa derhal kamera kullanabilen uygulamaların açık olup olmadığı denetim edilmelidir. Bu denetimi bilgisayar ayarlarınıza girerek “kamera ayarları” yazarak yapabilirsiniz. Tarayıcı açık olmadığı hâlde kamera faal oluyorsa, sorun tarayıcı eklentilerinde demektir.
İlgili eklentiyi kaldırarak yahut silerek geçici de olsa bir tahlil bulabilirsiniz. Bunlar haricinde bilgisayarınızın kamera kayıtlarının tutulduğu evraka giderek istemsiz yapılan kamera kaydı olup olmadığı da denetim edilebilir. Genel bir tahlil olarak da pek çok kişinin günümüzde kamerasını bir bant yardımıyla kapatabiliyor.
En değerlisi de bilgisayarınızın işletim sisteminin ve yazılımlarının güncel tutulması. Güncel bir antivirüs programı sorunun önlenmesi ve giderilmesinde büyük rol oynar. Teknik bilgi seviyesi yüksek olan kullanıcılar kameranın kullandığı protokol ve servislere olan erişimi güvenlik duvarı üzerinden yerine nazaran deaktive edebilirler.
Günümüz teknolojisinde klavye hareketlerinden kredi/banka kartı şifrelerimizi öğrenmeleri mümkün. Bunu nasıl yapabiliyorlar?
Bu adaplardan biri bilgisayara keylogging yani klavye tuşlarına yapılan basımları kaydeden donanımsal USB’ye benzeyen bir modül eklemektir. Alternatif olarak tekrar sisteme hâlihazırda erişim sağlamış bir aktör keylogger yazılımı indirip çalıştırabilir ve klavye tuşlarına yapılan basımları bu yolla kaydedebilir.
Ayrıca, Wi-Fi özelliğine sahip klavyelerin çok önemli kısmı “KeySniffer” saldırısına açıktır. Bu klavyelerde sinyal ya da paketler inançlı olmayan radyo protokolleri üzerinden iletilir ve şifrelenmiş değildir.
Saldırgan, şifrelenmemiş bu sinyal transferini klavyeye yakın bir yerlerde yerleştirdiği KeySniffer sayesinde ele geçirilebilir ve tahlil edebilir. Wi-Fi ile bağlanan klavyelerden bu yüzden kaçınılmalı ve Bluetooth ya da kablolu klavyeler tercih edilmelidir.
Son olarak; klavyeye basma suratı, sertliği, mühleti ve yoğunluğundan hangi tuşa basıldığını anlayan yapay zekâ uygulamaları geliştirilmektedir. Ayrıca klavye tuşunun çıkardığı sesler ortasındaki nüans farkını anlayan yapay zekâ çalışmaları mevcuttur. Siber güvenlik uzmanları, yapay zekânın siber hatalılar tarafından bu gayeyle da kullanılacağını kestirim etmektedirler.
Özellikle e-posta üzerinden gönderilenlerde kimi linkler yepyeni domain adreslerinin tıpatıp birebiri olabiliyor, bunu nasıl ayırt edebiliriz?
Spoofing (Sahtecilik) denilen bir yöntemle e-posta başlığının manipüle edilmesi mümkündür. Bunun için Outlook, Gmail üzere bir e-posta sunucusu ve inançlı sayılmayan Simple Mail Transfer Protocol (SMTP) protokolü kafidir.
Bu sayede, e-posta başlığında yer alan “gönderen, cevapla yahut geri dön” gibi bilgiler e-posta gövdesinden başka bir formda oluşturulabilir. SMTP’de bunu doğrulayacak bir mekanizma yok, bu yüzden e-postanın özgün olup olmadığını tespit edemez.
E-posta sahteciliğini tespit etmek için ileti içeriği ve kalitesine bakılmalı ve dikkat çekecek seviyede ciddi yazım ve içeriksel hatalar var mı buna bakılmalıdır. Ayrıyeten e-posta başlığındaki gönderici ve alıcı bilgileri ile e-posta adresi ortasında ahenk bulunmalıdır.
Keza, RECEIVED-SPF bilgisi karşısında “Pass” ibaresi yer almalıdır. Burada yer alan “Fail” yahut “Softfail” ibareleri sahteciliğe işaret etmektedir. Haricen, inançlı e-posta protokolleri kullanılmalıdır. (Örneğin SPF, DKIM, DMARC vs.)
Ve son olarak, üsttekilerin haricinde bizi ne üzere makûs senaryolar bekliyor? Bunlardan daha berbatı var mı?
Fiziksel alemde fizikî tesirler doğuran, yaralanmaya ve mevte sebebiyet verebilen siber saldırıların dışında devletler de bu siber kabahatlerden nasibini almış.
Örneğin; Rusya’nın, Ukrayna’daki bir güç santralinin denetim sistemlerine erişmesi ve halkı elektriksiz bırakması veya ABD’nin, İran’daki Natanz uranyum tesislerinin kıymetli bir kısmına hack’leme yoluyla zarar vermesi (Stuxnet olayı) örnek verilebilir.
Bu hücum sonrası dijital yollarla denetim edilebilir hâle getirilmiş bir barajın kapakları açılabilir; tren raylarındaki hemzemin geçitler manipüle edilebilir veya hastanedeki ferdî tıbbi datalarla oynanabilir.
Daha evvel de kendisiyle “Bir linke tıklayıp hack’lenmeniz durumunda neler yapmanız gerekir?” temalı bir içerik paylaşmıştık:
Yani dememiz o ki internette her gördüğünüz linke, siteye yahut e-postaya tıklamamanızda fayda var. Siber güvenlik uzmanı Yasir Gökçe‘ye bizimle bu bilgileri paylaştığı için teşekkür eder, inançlı internet ortamında gezinmenizi temenni ederiz!