İşin Uzmanına Sorduk: Dolandırıcıların Gönderdiği Linke Tıklamanız Hâlinde Başınıza Gelebilecek En Makus Senaryolar
Bilgisayar, tablet yahut telefon kameranıza erişimlerinden tutun kart şifrelerinizi öğrenmenize kadar, aklınıza gelebilecek her şey teknoloji yüzyılında bugün prestijiyle mümkün. Her geçen gün yeni bir prosedür kullanarak insanları, hatta bazen devletleri bile tehlikeli olaylara sürükleyen bu durumlar iddia edersiniz ki çok büyük bir tehdit.
Biz de sizler için bu tehditle müsabakanız durumunda başınıza gelebilecek en berbat senaryoları sıraladık ve siber güvenlik uzmanı Yasir Gökçe‘ye danışarak bu formülleri nasıl kullandıklarını anlattık:
Kendisine birinci sorduğumuz soru “Dolandırıcıların gönderdiği linke tıkladığımızda nasıl oluyor da bütün belgelerimize erişim sağlayabiliyorlar?” sorusu oldu. İşte Yasir Gökçe’nin yanıtları:
Bu akın tipinde en çok kullanılan usul “drive-by download” dediğimiz bir atak cinsidir. Bu saldırı için mağdurun belli bir dosyayı açması yahut siteye tıklaması kafidir. Sonrasında kötücül yazılım ya da kod kendi kendine bilgisayara yüklenir ve bilgisayarınızın muhafaza ve işletim sisteminizin güncellik seviyesine göre kendini aktive eder.
Bilgisayarınıza inen vekendini yok eden kötücül yazılım bazen zararsız da olsa “adware” yani istenmeyen reklam olarak tesirini gösterebileceği gibi hedefe yönelik daha ziyanlı siber tehditler de arz edebilir. Bu tesir, kötücül yazılım yahut kodun tipine göre değişir: Virüs, trojan horse, logic bomb, spyware, worm, cryptojacking vb. olmasına nazaran farklı zararlı sonuçlar ortaya çıkar.
Bu kötücül yazılımlar kimi zaman müsaade vermediğiniz bilgilerinizin paylaşılması tarafında toplumsal medya uygulamalarının müsaadelerini manipüle eder ve sizden habersiz bir formda değiştirebilir. Kimi vakit da internet trafik bilgilerinizin depolandığı alanı ya da tabloyu manipüle ederek internet trafiğinizi kendi network’üne yönlendirir ve hassas bilgilerinizi ele geçirir.
Ancak en berbatı bu da değil: Bilgisayarınıza ileri seviyede yetkilerle erişip muhtaçlığa nazaran kötücül yazılım yükler. Örnek verecek olursak; Kriptominer yükleyerek bütün sisteminizi rehin alabilir, bu durum cryptojacking olarak da biliniyor.
Bir öteki berbat senaryo ise telefon, tablet yahut bilgisayar üzere araçlarımızın kameralarına erişebilmeleri. Pekala bunu nasıl yapıyorlar?
Her siber hücumda olduğu gibi “camfecting” dediğimiz bu akın cinsinde siber hatalı, sistemimize bir halde erişim sağlar ve bu erişimi suistimal etmeye başlar. Bu taarruz özellikle laptop, televizyon, telefon ya da CCTV üzere kamera içeren bilişim sistemlerine yönelik bir tehdittir ve uzaktan erişim ile ilgili sisteme erişim sağlayıp “privilege escalation” olarak bilinen yetki arttırımı sistemi ile ilerler.
Bu siber akında ekseriyetle “Remote Access Trojan” isimli kötücül yazılım kullanılır. Sisteme bulaşan ve yetkileri istenen seviyede arttırmayı başaran siber hatalı, camfecting için kamera kullanan yazılım ya da tarayıcı eklentilerini indirir ve bunları aktive eder.
Bunlar biz farkında olmadan art planda çalışmaya devam eder. Hatta kameranın LED ışığı yanmaksızın aktive edilebildiği 2013 yılında MacBook üzerinde yapılan bir PenTest çalışmasında ortaya çıkmıştır.
Bu durumdan kendimizi nasıl koruyabiliriz?
Kamera kullanmamanıza karşın kamera ışığınız açıksa derhal kamera kullanabilen uygulamaların açık olup olmadığı denetim edilmelidir. Bu denetimi bilgisayar ayarlarınıza girerek “kamera ayarları” yazarak yapabilirsiniz. Tarayıcı açık olmadığı hâlde kamera etkin oluyorsa, sorun tarayıcı eklentilerinde demektir.
İlgili eklentiyi kaldırarak yahut silerek geçici de olsa bir tahlil bulabilirsiniz. Bunlar haricinde bilgisayarınızın kamera kayıtlarının tutulduğu belgeye giderek istemsiz yapılan kamera kaydı olup olmadığı da denetim edilebilir. Genel bir tahlil olarak da pek çok kişinin günümüzde kamerasını bir bant yardımıyla kapatabiliyor.
En değerlisi de bilgisayarınızın işletim sisteminin ve yazılımlarının güncel tutulması. Güncel bir antivirüs programı sorunun önlenmesi ve giderilmesinde büyük rol oynar. Teknik bilgi seviyesi yüksek olan kullanıcılar kameranın kullandığı protokol ve servislere olan erişimi güvenlik duvarı üzerinden yerine nazaran deaktive edebilirler.
Günümüz teknolojisinde klavye hareketlerinden kredi/banka kartı şifrelerimizi öğrenmeleri mümkün. Bunu nasıl yapabiliyorlar?
Bu metotlardan biri bilgisayara keylogging yani klavye tuşlarına yapılan basımları kaydeden donanımsal USB’ye benzeyen bir kesim eklemektir. Alternatif olarak tekrar sisteme hâlihazırda erişim sağlamış bir aktör keylogger yazılımı indirip çalıştırabilir ve klavye tuşlarına yapılan basımları bu yolla kaydedebilir.
Ayrıca, Wi-Fi özelliğine sahip klavyelerin çok önemli kısmı “KeySniffer” saldırısına açıktır. Bu klavyelerde sinyal ya da paketler inançlı olmayan radyo protokolleri üzerinden iletilir ve şifrelenmiş değildir.
Saldırgan, şifrelenmemiş bu sinyal transferini klavyeye yakın bir yerlerde yerleştirdiği KeySniffer sayesinde ele geçirilebilir ve tahlil edebilir. Wi-Fi ile bağlanan klavyelerden bu yüzden kaçınılmalı ve Bluetooth ya da kablolu klavyeler tercih edilmelidir.
Son olarak; klavyeye basma suratı, sertliği, müddeti ve yoğunluğundan hangi tuşa basıldığını anlayan yapay zekâ uygulamaları geliştirilmektedir. Ayrıca klavye tuşunun çıkardığı sesler ortasındaki nüans farkını anlayan yapay zekâ çalışmaları mevcuttur. Siber güvenlik uzmanları, yapay zekânın siber hatalılar tarafından bu hedefle da kullanılacağını varsayım etmektedirler.
Özellikle e-posta üzerinden gönderilenlerde birtakım linkler orjinal domain adreslerinin tıpatıp birebiri olabiliyor, bunu nasıl ayırt edebiliriz?
Spoofing (Sahtecilik) denilen bir yöntemle e-posta başlığının manipüle edilmesi mümkündür. Bunun için Outlook, Gmail üzere bir e-posta sunucusu ve inançlı sayılmayan Simple Mail Transfer Protocol (SMTP) protokolü kafidir.
Bu sayede, e-posta başlığında yer alan “gönderen, karşılıkla yahut geri dön” gibi bilgiler e-posta gövdesinden başka bir biçimde oluşturulabilir. SMTP’de bunu doğrulayacak bir mekanizma yok, bu yüzden e-postanın orjinal olup olmadığını tespit edemez.
E-posta sahteciliğini tespit etmek için ileti içeriği ve kalitesine bakılmalı ve dikkat çekecek seviyede ciddi yazım ve içeriksel hatalar var mı buna bakılmalıdır. Ayrıyeten e-posta başlığındaki gönderici ve alıcı bilgileri ile e-posta adresi ortasında ahenk bulunmalıdır.
Keza, RECEIVED-SPF bilgisi karşısında “Pass” ibaresi yer almalıdır. Burada yer alan “Fail” yahut “Softfail” ibareleri sahteciliğe işaret etmektedir. Haricen, inançlı e-posta protokolleri kullanılmalıdır. (Örneğin SPF, DKIM, DMARC vs.)
Ve son olarak, üsttekilerin haricinde bizi ne üzere berbat senaryolar bekliyor? Bunlardan daha berbatı var mı?
Fiziksel alemde fizikî tesirler doğuran, yaralanmaya ve mevte sebebiyet verebilen siber saldırıların dışında devletler de bu siber kabahatlerden nasibini almış.
Örneğin; Rusya’nın, Ukrayna’daki bir güç santralinin denetim sistemlerine erişmesi ve halkı elektriksiz bırakması veya ABD’nin, İran’daki Natanz uranyum tesislerinin değerli bir kısmına hack’leme yoluyla zarar vermesi (Stuxnet olayı) örnek verilebilir.
Bu akın sonrası dijital yollarla denetim edilebilir hâle getirilmiş bir barajın kapakları açılabilir; tren raylarındaki hemzemin geçitler manipüle edilebilir veya hastanedeki ferdî tıbbi datalarla oynanabilir.
Daha evvel de kendisiyle “Bir linke tıklayıp hack’lenmeniz durumunda neler yapmanız gerekir?” temalı bir içerik paylaşmıştık:
Yani dememiz o ki internette her gördüğünüz linke, siteye yahut e-postaya tıklamamanızda fayda var. Siber güvenlik uzmanı Yasir Gökçe‘ye bizimle bu bilgileri paylaştığı için teşekkür eder, inançlı internet ortamında gezinmenizi temenni ederiz!