Siber Güvenlik Derin Dalışı: Yemleme Saldırısı Nedir?
Yemleme saldırısı, sizi manipüle etmek için sosyal mühendislik kullanan bir tür kimlik avı saldırısıdır. Bu saldırılar genellikle cihazınıza zararlı yazılım bulaştırmak için açgözlülüğünüze ya da merakınıza hitap eder.
Bu saldırılar genellikle üç şekilde gerçekleşir:
- Fiziksel Medya – Kötü niyetli kişiler, genellikle iş yerlerinde, park alanlarında ya da ofis koridorlarında zararlı yazılım yüklü USB sürücüler bırakır, birisi bulup cihaza takmasını umarlar
- Çevrimiçi İndirmeler – Hacker, sosyal medyada ya da e-posta yoluyla size doğrudan mesaj göndererek bir linke erişmeniz için sizi ikna etmeye çalışabilir. Bu mesajlar, açıldığında cihazınıza zararlı yazılım yükleyecek kötü amaçlı dosyalar içeren bağlantılar içerir. Bedava malzemeler vaat eden web siteleri de yemleme saldırılarına dönüşebilir
- Cazip Teklifler – Eğer bir linke tıklarsanız size bedava ya da çok ucuz bir şeyler vaat eden e-posta teklifleri. Bu bağlantılar enfekte olup cihazınıza zararlı yazılım yükler
Tarihteki en ünlü yemleme saldırılarından biri, 2008 yılında ABD Savunma Bakanlığı’na yapılan saldırıydı.
Bu olay “ABD askeri bilgisayarlarının tarihindeki en kötü ihlali” olarak adlandırıldı ve Savunma Bakanlığı’nın Siber Komutanlığı’nın oluşturulmasına yol açtı.
Operasyon Buckshot Yankee olarak bilinen bu olay, Orta Doğu’daki bir ABD Savunma Bakanlığı tesisinin otoparkında bırakılan enfekte bir USB flash sürücü ile başladı.
Bir ajan, enfekte bir flash sürücüyü bir laptopa takarak farkında olmadan üssün bilgisayarlarından bilgi çalmak için tasarlanmış kötü amaçlı kodu yükledi.
Zararlı yazılım kendini otomatik olarak çoğaltan bir solucandı ve Pentagon’un sistemlerinden solucanı tamamen temizlemesi 14 ay s ürdü.
Bu, kurbanın merakına hitap eden klasik bir yemleme taktiğiydi ve neredeyse anlatılamaz boyutlarda bir ulusal krize yol açıyordu.
Yemleme saldırıları hem bireyleri hem de kuruluşları tehdit eder. Ancak dikkatli olması gerekenler, daha yüksek riskler ve çok daha ağır sonuçlar nedeniyle kuruluşlardır.
Tek bir çalışanın yemleme saldırısına maruz kalması, veri ihlalleri, itibar kayıpları, finansal zararlar ve daha fazlasının bir zincir reaksiyonuna neden olabilir.
Aşağıda, yemleme saldırılarının derinlemesine bir incelemesini yapacağım. Sizlere ne olduklarını, kullanılan spesifik prensipleri, yaygın senaryoları ve teknikleri, vaka çalışmalarını ve kırmızı bayrakları göstereceğim.
Hadi başlayalım!
Yemleme, Geleneksel Kimlik Avı Saldırılarından Nasıl Farklıdır?
Yemleme saldırısı, genel kimlik avı saldırılarının bir alt kümesidir. Temelde, yemleme bir tür kimlik avıdır.
Ancak, yemleme saldırısının birkaç özel öğesi vardır:
- Duygulara hitap etme şekli
- Kullanılan yaygın senaryolar
Aşağıda bu iki noktayı ele alalım ve yemleme saldırılarının nasıl çalıştığını görelim:
1. Yemleme Saldırılarının Psikolojisi
Yemleme saldırılarının büyük çoğunluğu iki temel duyguya hitap eder – açgözlülük ve merak.
Açgözlülük söz konusu olduğunda, hackerlar sıklıkla zenginlik, indirimler, özel teklifler ve gerçek olamayacak kadar iyi şeylerin vaadiyle sizi ikna etmeye çalışır.
Maddi kazanç umudu, kurbanları düşünmeden acele kararlar almaları için körleştirir.
Bu, aksi takdirde yapmayacakları riskleri almalarına neden olur. Açgözlülük aracılığıyla, yemleme saldırıları kurbanlarını kendi güvenliklerini tehlikeye atmaya manipüle eder.
Bu, kötü amaçlı bir yazılım indirmek ya da bir üründe ağır indirim vaat eden bir linke erişmek anlamına gelebilir.
Merak ile ilgili hikaye biraz farklıdır. Hackerlar genellikle fiziksel medyayı kullanarak dikkat çeker ve kurbanlarının merakını oynar.
Buradaki fikir, bu saldırı aracılığıyla bir gizem ve ilgi yaratmaktır. Kurbanlar, buldukları rastgele USB sürücüde ne olduğunu görmek ya da aldıkları gizemli linki açmak için kendilerini zorunlu hissedeceklerdir.
Kötü niyetli kişiler, kurbanlarının merakını daha da artırmak için bu fiziksel USB sürücülere sıklıkla “Gizli” veya “Sınıflandırılmış” etiketleri koyar.
Çevrimiçi olarak, bu merak odak
lı yemleme saldırıları başka türlü erişemeyeceğiniz gizli bilgileri veya sırları vaat edebilir.
Yemleme saldırılarının bu iki duyguyu kullanarak sizi düşüncesiz hareketler yapmaya nasıl manipüle ettiğini anlayarak, farkındalığınızı artırabilir ve kendinizi koruyabilirsiniz.
Bu, bireyler ve kuruluşlar için de geçerlidir. Çalışanların da bu tür saldırılara karşı korunmak için yemleme saldırıları hakkında temel bir eğitim alması gerekir.
2. Yaygın Saldırı Senaryoları
Yemleme saldırıları, genel kimlik avı saldırılarına kıyasla daha spesifik ve yaygın olan belirli senaryolara sahiptir.
Hadi bunlardan bazılarına göz atalım:
- Yüksek indirimler
Aradığınız bir ürün veya hizmette çok yüksek (gerçek olamayacak kadar iyi) bir indirim hakkında bir mesaj veya e-posta alabilirsiniz.
- Ücretsiz ürünler/hizmetler
Bazen, bir yemleme saldırısında vaat edilen ürün/hizmet ücretsiz olabilir. Hacker, mümkün olduğunca açgözlülüğünüzü tetiklemek ister.
Ve kim bedavaya hayır diyebilir ki?
- Büyük bir ödül kazanmak
Başka yaygın bir senaryo, büyük bir para ödülü kazanmaktır. Bu, hacker’a göre otomatik olarak kaydolduğunuz bir piyango veya bir miras olabilir.
Ben geçmişte birçok piyango tipi e-posta aldım ve hepsi paranın size aktarılması için kişisel bilgilerinizi istiyor.
Kandırılmayın – bu bir dolandırıcılık!
- Beklenmedik ödül
Hacker, daha önce kullandığınız bir alışveriş hizmetini taklit ederek size beklenmedik bir ödülle sürpriz yapabilir.
Müşterileri ödüllendiren bir sadakat programı gibi çeşitli nedenler uydurabilirler.
Tabii ki, hacker tarafından verilen hem bağlantılar hem de telefon numaraları sahte. Kanmayın!
- Sahte teslimat
Başka bir yemleme senaryosu, tehdit aktörünün size bir teslimatı kaçırdığınızı söyleyen bir kapı etiketi bırakmasıdır. Bu sefer fiziksel bir saldırıyla karşı karşıyayız ve hacker’ın nerede yaşadığınızı bilmesi son derece tehlikeli.
Etiket, bir telefon numarası veya başka bir iletişim yöntemi içerebilir – bunları kullanmayın. Merakınızı yatıştırın çünkü bu bir dolandırıcılık.
Peki saldırganlar yemleme saldırılarını nasıl yapı
landırıyor ve etkinliklerini nasıl sağlıyorlar? Hadi aşağıda görelim!
Bir Yemleme Saldırısının Anatomisi
Tehdit aktörleri, yemleme saldırılarının etkinliğini sağlamak için belirli teknikler kullanırlar. Hadi bu tekniklere bir göz atalım:
- Maskeleme
Kötü amaçlı dosyaları içeren yemleme saldırılarında, hacker’lar bu dosyaları masum görünen formatlara dönüştürmeye dikkat ederler.
Zararsız uzantılar, meşru adlar ve tehlike işareti vermeyen simgeler kullanırlar.
Bu sizi açmaya kandırmak için yapılan bir aldatmacadır. Tümü, masumiyet illüzyonunu yaratmak ve tehlikeyi gizlemek içindir.
Bu ayrıca hacker’ların URL’lerini düzenleyerek ve onları tehlikeli olmayan gibi göstererek gizlemeye çalıştığı zararlı bağlantılarda da işe yarar.
- Güven İlişkisi
Yemleme saldırıları neredeyse tamamen ilk izlenime dayanır. Hacker’lar sizi aptalca bir şey yapmaya ikna etmek için sadece birkaç saniyeleri olduğunu bilirler.
Bu nedenle, bir bağlantıya tıklamanızı veya zararlı bir yazılımı indirmenizi sağlamak için yeterince güvenmenizi isterler.
Genellikle daha önce iş yaptığınız meşru şirketleri temsil etmeye çalışırlar. Tüm bunlar sizin güveninizi kazanmak ve savunmalarınızı düşürmeniz için yapılır.
Hacker ayrıca belirli bir alanın yetkilisi gibi davranabilir – örneğin bir pazarlama uzmanı veya sekreter – sizin güveninizi kazanmak için.
- Duygusal Büyütme
Tüm yemleme saldırıları, sizi aksi takdirde yapmayacağınız şeyleri yapmaya yönlendirmek için duyguları kullanır. Peki neden işe yararlar?
Bu duygusal büyütme nedeniyle. Bu saldırılar, açgözlülük, merak, kıtlık ve aciliyet gibi belirli duyguları büyüterek çalışır.
Bu, tuzak için düşme şansınızı artırır çünkü duygularınız sizi daha fazla etkiler.
Meraka, açgözlülüğe veya aceleye kapıldığımızda, mantıklı düşünme süreçlerimiz geri planda kalır ve düşünmeden kararlar almamıza yol açar.
İşte hacker’ların bahis yaptığı şey budur – bu duyguları büyüterek düşüncesiz kararlar vereceğinizi düşünüyorlar.
Vaka İncelemeleri
Gerçek dünyada yemleme saldırılarının nasıl çalıştığını anlamak ve olası sonuçları göz önüne almak için yemleme saldırıları içeren 5 gerçek dünya vaka incelemesi hazırladım.
Bunları analiz etmek, bu saldırıların nasıl çalıştığını aydınlatır. Öyleyse başlayalım!
1. Stuxnet Solucanı (2010)
Stuxnet belki de tarihteki en kötü şöhretli yemleme saldırısıdır, ciddi jeopolitik sonuçlara yol açan bir saldırıdır.
İşte Stuxnet veya Olympic Games Operasyonu olarak da bilinenlerin ayrıntıları:
- Stuxnet, İran nükleer programını Natanz tesisinde enfekte eden bir solucandı (kendini kopyalayan kötü amaçlı yazılım)
- Amacı, bir cihazda Siemens tarafından üretilen programlanabilir mantık denetleyicilerini (PLC’ler) bulmak ve programlarını değiştirmekti.
- PLC’lerin programını değiştirmek, nükleer santrifüjlerin dönüş hızlarını etkiledi, ya hasar veriyor ya da tamamen yok ediyordu.
- Aynı zamanda, PLC’ler, her şeyin yolunda olduğunu (yanlışlıkla) denetleyici bilgisayarına iletiyorlardı.
Natanz nükleer tesisi o zamanlar internete herhangi bir noktada bağlı olmadığı için sızdırılamaz olarak biliniyordu.
Tesisin içine sadece fiziksel olarak biri girebilirdi. Ve işte tam olarak Stuxnet’in içeriye girdiği yol buydu – bir Natanz çalışanı USB sürücüyü bir iş cihazına taktı.
Solucan bir kere vahşi doğaya salındığında, Natanz’ın iç ağında cihazdan cihaza keyfi olarak yayıldı ve tüm Siemens PLC’leri buldu.
İlginç bir şekilde, Stuxnet beş sıfır gün açığı ve bir arka kapıyı kullanarak Natanz tesisi Windows PC’lerinde yayıldı:
- Bir yazdırma sırasında hata
- Bir Windows kısayol hatası
- İki ayrıcalık yükseltme açığı
- Siemens PLC’lerle ilgili bir hata
- Conficker saldırısında kullanılan bir arka kapı
Eğer siber güvenlik hakkında bir şeyler biliyorsanız, o zaman çok sayıda güvenlik açığını aynı anda kullanmak son derece olağandışıdır.
Çünkü hacker’lar tüm kartlarını aynı anda açıklamak istemezler. Genellikle bir sıfır gün açığı vahşi doğaya salındığında, güvenlik şirketleri bir düzeltme geliştirir ve hacker’ın erişimini keser.
Ancak Stuxnet, Natanz tesisi içine sızmak ve nükleer programını mahvetmek için sadece bir fırsata ihtiyaç duyan bir sınırlama olmayan bir siber saldırıydı.
Solucan aynı zamanda C, C++ ve diğer nesne yönelimli diller de dahil olmak üzere birden fazla programlama dilinde yazılmıştı.
Hala günümüzde yazılan en karmaşık kötü amaçlı yazılımlardan biri olarak kabul edilir. Uzmanlar hala öğrenmek için incelemektedirler.
Peki Stuxnet başarılı mıydı? Tek kelimeyle, evet. Yaklaşık bir yılda 2.000 santrifüjü devre dışı bıraktı, devre dışı bırakılan santrifüjlerin tipik sayısı yaklaşık 800 idi.
Söylentilere göre Stuxnet, İran’ın nükleer programını en az iki yıl geriye götürdü. Tek nedeni, bir Natanz çalışanının iş cihazında dışarı çıkarmasıydı.
Güvenlik araştırmacıları sonunda buldu ve büyük ölçüde çözümledi. 15.000’den fazla kod satırına sahipti, ki bu diğer kötü amaçlı yazılımların ne içerdiğinden çok daha fazlaydı.
Ve her şey, bir Natanz çalışanının tesadüfen bulduğu ve bir iş cihazına taktığı tek bir USB sürücüsünden başladı.
Baştan sona bir yemleme saldırısı!
2. Aurora Operasyonu (2009)
Not – Aurora Operasyonu yalnızca yemleme unsurlarını içeriyordu (mızrak phishing taktikleri) ancak tipik bir yemleme saldırısı değildi. Bunun yerine sıfır gün açıklarını ve arka kapıları sömürmeye odaklandı.
Operation Aurora, Çin’e bağlı olan Elderwood Group tarafından yürütülen tarihteki en kapsamlı siber saldırılardan biriydi ve birçok yüksek profilli Amerikan şirketine karşı gerçekleştirildi.
Doğrulanan hedefler şunları içeriyor:
- Adobe Systems
- Akamai Technologies
- Juniper Networks
- Rackspace
Çeşitli raporlara göre, Operation Aurora tarafından Symantec, Yahoo, Dow Chemical, Northrop Grumman ve Morgan Stanley gibi şirketlere de saldırıldı.
Saldırının ana hedefi, Amerikan özel sektöründen ticaret sırlarını çalmaktı – kaynak kodu depoları.
İşte olayların sıralaması:
I. Saldırı Başlıyor
Operation Aurora’nın anatomisi, ne kadar sofistike olduğu nedeniyle ilginçtir. McAfee’ye göre saldırganlar, Internet Explorer tarayıcı uygulamasında ve Perforce revizyon yazılımında birkaç sıfır gün açığı kullandılar.
Hacker’lar etkili bir şekilde bu şirketlerde çalışan çalışanlara yemleme e-postaları gönderdiler, meslektaşları veya güvendikleri kaynaklar gibi görünmeye çalıştılar. Kurbanları, şirket cihazlarına bulaşmış kötü amaçlı yazılımları yükleyecek kötü niyetli bağlantılara tıklamaya ikna ettiler.
Spear-phishing taktikleri ve sıfır gün açığını kullanarak, saldırganlar ihtiyaç duydukları yükseltilmiş erişimi elde ettiler ve şirketlerin bilgisayar sistemlerine erişim sağladılar.
Ayrıca Gmail hesaplarına arka kapı bağlantıları da kullandılar ve bu şekilde bilgisayar sistemlerine erişim sağladılar.
II. Google Saldırıyı Duyuruyor
12 Ocak 2010’da Google, blogunda Aralık ortasında Çin’den gelen bir siber saldırıya uğradığını duyurdu.
Aynı dönemde aynı grup tarafından 20’den fazla şirketin saldırıya uğradığını iddia ettiler.
Bu nedenle Google, Çin’deki iş ilişkilerini sona erdirmeyi düşüneceğini açıkladı. Aynı gün çeşitli taraflarca çeşitli siyasi açıklamalar da yapıldı.
Çin hükümeti bu suçlamalara resmi bir yanıt vermedi.
III. Symantec Saldırıları İncelemeye Başlıyor
Cybersecurity firmaları Symantec ve McAfee, Google ve tüm diğer etkilenen şirketler adına saldırıları incelemeyi teklif etti.
Kanıtları (alan adları, kötü amaçlı yazılım imzaları, IP adresleri vb.) gözden geçirdikten sonra Elderwood Group’un Operation Aurora’dan sorumlu olduğunu buldular.
Hacker grubu ayrıca “Beijing Group” olarak da bilinir ve bazı Google kaynak kodlarına ve çeşitli Çinli aktivistler hakkındaki bilgilere ulaştılar.
McAfee Tehdit Araştırma VP’si Dmitri Alperovitch, saldırıyı “Operation Aurora” olarak tanımladı çünkü “Aurora”, saldırılarda kullanılan kötü amaçlı yazılımlarda bulunan bir dosya yoluydu.
IV. Sonuçlar
Saldırılar kamuoyuna duyurulduktan sonra birçok ülke, içindeki sıfır gün açıklarının bulunduğu Internet Explorer’ı geçici olarak kullanmayı bıraktı.
Google da Çin’den çekildi ve sadece Hong Kong’da yerel bir arama motoru sürdürüyor.
Operation Aurora’nın Çin’e, ABD’den daha fazla zarar verdiği ortaya çıktı, çünkü saldırının sonrasında daha fazla kayıp yaşandı.
Baiting Saldırılarını Tanıma ve Önleme
Baiting saldırılarını çoğu zaman tespit etmek zor değil. Neyse ki, birkaç önlem almak ve baiting saldırılarının sizi nasıl kandırdığını farkında olmak, sizi korumak için uzun bir yol kat edecektir.
Önce size baiting saldırılarını tanımanın en yaygın ipuçlarını göstereyim!
1. Kırmızı Bayraklar
- Acil E-posta Konu Satırı
Başlangıçta, eğer panik yaratan bir e-posta konu satırı görüyorsanız, dolandırıcılık uyarınız zaten çalmalıdır.
Bu tür konu satırları “Şifrenizi Hemen Değiştirin” veya “Hala Buradayken Bu İndirimi Alın” gibi olabilir.
Diğer taraf, aciliyet duygusu yaratmaya çalışıyorsa ve duygusal tepkilerinizi tetiklemeye ve sizi düşünmeden kararlar almaya zorlamaya çalışıyorsa, niyetlerini sorgulamaya başlamalısınız.
Ya bu gerçek bir (?) pazarlama e-postasıdır veya sizi kandırmayı amaçlayan bir baiting saldırısıdır. Birçok durumda, ikisi arasındaki fark o kadar belirgin değildir umduğumuz gibi.
- Kişisel/Duyarlı Bilgi İsteme
Eğer karşı taraf kişisel veya duyarlı bilgilerinizi (örneğin kredi kartı numaranızı) istiyorsa, BUNU sağlamayın.
Hiçbir meşru şirket, hassas bilgilerinizi e-posta veya doğrudan iletişim yoluyla istemez. Çünkü hassas bilgi, sadece sizin kimliğiniz için hassastır ve yalnızca siz bilmelisiniz.
Tüm bu bilgileri isteyen e-postaların %99.99’u baiting saldırılarıdır. Geriye kalan %0.01 ise ya profesyonel olmayan şirketlerdir ya da özellikle ciddi güvenlik sorunlarıyla başa çıkan şirketlerdir.
- Gönderen Adresi veya Alanı Sahte
Bir kişiden (hatta üstünüzden bile) tuhaf bir e-posta aldığınızda, gönderen e-posta adresine veya alanına bir göz atın.
Daha sonra bu e-postada kullanılanı gerçek kişinin iletişim listesinden kontrol edin. Aynı mı? Yoksa e-postada kullanılan farklı mı?
Belki bir fazladan harfi vardır veya büyük harf kilidi kullanıyorlardır, veya harflerden biri tekrarlanmıştır. Bu, sizi kandırmak için dikkatlice (veya dikkatsizce) hazırlanmış bir phishing e-posta adresidir.
2. Eğitim Önlemleri ve Teknolojik Korumalar
Baiting saldırıları, phishing saldırılarının bir alt kategorisi olduğu için, sizi phishing saldırıları hakkındaki [rehberime](https://www.privacyaffairs.com/why-is-phishing-so-common/) yönlendireceğim.
Önleme yöntemleri ve kırmızı bayraklar her ikisi için de tamamen aynıdır:
- Gramer hataları
- Beklenmeyen eklerin varlığı
- Tuhaf yerlerde büyük harf kilidi kullanımı
- Acil ton
Ücretli bir antimalware hizmet sağlayıcısı, bir baiting saldırısına yanlışlıkla düşerseniz ve bir kötü amaçlı yazılım indirirseniz sizi enfeksiyonlardan korumanıza yardımcı olacaktır.
Ayrıca daha özel ve güvenli bir e-posta sağlayıcısı seçmek isteyebilirsiniz, örneğin Proton. E-posta filtreleri, potansiyel spam ve phishing saldırılarını tanımlamak için daha uygun bir şekilde ayarlanmıştır (bu e-postalar Otomatik olarak Spam’a gönderilecektir).
Bu, bu e-postalardan ne beklemeniz gerektiği konusunda size daha iyi bir fikir verecektir. Ancak dikkatli olun – Spam klasörünüzdeki tüm e-postalar phishing e-postaları değildir.
E-posta filtreleri her zaman%100 doğru değildir, bu nedenle hata yapabilirler.
Sonuç
Baiting saldırıları, en yaygın phishing saldırıları türlerinden biridir. Sizi enfekte bir bağlantıya erişmeye veya kötü amaçlı bir ek dosya indirmeye kandırmak için psikolojiyi kullanırlar.
Ancak savunması en kolay saldırı türlerinden biridirler. Bir baiting saldırısını işe yaramaz hale getirmek için sadece iki şeye ihtiyaç vardır:
- Siber farkındalık – Bir baiting saldırısının bir baiting saldırısı olduğunu bildiğinizde, tuzağa düşmezsiniz
- Öz kontrol – Neyle karşı karşıya olduğunuzu anlamadan, düşünmeden davranmayın. Baiting e-postaları, sizin düşünmeden hareketlerde bulunmanızı sağlamak için yapay bir aciliyet üretir
Ciddiyetle söylemek gerekirse, bir daha asla bir baiting saldırısına düşmemek için sadece bu iki şeye ihtiyacınız var.
Ancak bir baiting saldırısını nasıl tanıyacağınızı bilmek her zaman kolay değildir. Bu nedenle, bunu öğrenmek için bu rehber (ve genel olarak phishing hakkındaki diğer rehber) size yardımcı olacaktır!
Kaynaklar
CRN – Pentagon, ABD Askeri’ne Karşı 2008 Siber Saldırısını Onayladı
CSO Online – Stuxnet Açıklandı: Bilinen İlk Siber Silah
Gizmodo – Stuxnet’in Nasıl Keşfedildiğinin İç Hikayesi
JPost – “Stuxnet Virüsü İran’ın Nükleer Programını 2 Yıl Geri Attı”
CS Monitor – ABD İş Sırlarını Çalıyor: Uzmanlar Çin’de İki Büyük Siber “Çete”yi Tanımlıyor
Google Blog – Çin’e Yeni Bir Yaklaşım
Privacy Affairs – Neden Phishing O Kadar Yaygın ve Buna Karşı Nasıl Korunulur?