2019 yılında nasıl hacklendik?

BU YIL NASIL
HACKLENDİK?
SPARTA BİLİŞİM
2019
www.sparta.com.tr / 0 312 909 33 02 / sparta@sparta.com.tr

2019 YILINDA NASIL
HACKLENDİK?
Siber suç grupları, veri ihlalleri, fidye yazılımından etkilenen sağlık kuruluşları
ve devlet kurumları, yeni çıkan zafiyetler, beklenmedik yerlerde karşımıza çıkan
arka kapılar, kişisel verileri ve kredi kartı bilgileri çalınan yüz milyonlarca kişinin
etkilendiği siber saldırılar ile dolu bir yılı daha geride bıraktık.
Hem 2019 yılında gördüğümüz olayların bir özeti ile geçtiğimiz yılı
değerlendirmek hem de 2020 yılı için uzman beklentilerinin ne yönde olduğu
konusunda bir değerlendirme yapmak istedik.
Özellikle geçtiğimiz yıl yaşanan saldırıları inceleyerek “Hackerlardan Ne
Öğrendik?” diye sorma yaklaşımını benimsiyoruz çünkü siber suçluların hep bir
adım önde olduğuna inanıyoruz.
Biz ne kadar önlem alırsak alalım yeni yöntemler geliştiriyorlar ve biz de
adımlarımızı buna göre atmak durumunda kalıyoruz.
Bununla birlikte, yıllardır mevcut zafiyetlere, bilinen açıklara karşı da
savunmasız kaldığımızı görebiliyoruz, bu nedenle geçmişten ders alabilmek için
geçmişi okumayı önemli buluyoruz.
Bu amaçla oluşturduğumuz bu dosyada 2019 yılında yaşanan siber saldırıları 3
ayrı bölüm olarak inceledik:
- 2019 Yılında Yaşanan En büyük 10 Siber Saldırı
- 2019 Ocak – Aralık arasında ay bazında yaşanan büyük siber olaylar
- Aylara göre düzenlenmiş sibersavascephesi.com haberleri (Biz neler yazdık?)
Faydalı olmasını umarız.
SPARTA BİLİŞİM
www.sparta.com.tr / 0 312 909 33 02 / sparta@sparta.com.tr SAYFA 2

İÇİNDEKİLER
2
EDITÖRDEN:
2019 YILINDA NASIL
HACKLENDIK?
4
2019 YILINDA TÜRKIYE VE
DÜNYADA VERI İHLALLERININ
MALIYETI
6
2019 YILINDA YAŞANAN EN
BÜYÜK 10 SIBER SALDIRI
18
2019 YILINDA YAŞANAN ÖNEMLI
SIBER SALDIRILAR
31
2019 YILINDA BIZ NELER
YAZDIK?
Siber Savaş Cephesinden Notlar

2019 Yılında Türkiye ve Dünyada
Veri İhlallerinin Maliyeti
IBM tarafından yayınlanan “Veri İhlallerinin Maliyeti” (Cost of Data Breach)
raporuna göre; olay inceleme giderleri, hesap sahiplerine yapılan zorunlu
bildirimler, hasar kontrolü ve sistemlerde yapılan gerekli düzeltmeler, para
cezaları ve açılan tazminat davaları işin içine katıldığında bir veri ihlalinin
ortalama maliyeti 3.92 milyon Dolar.
Bu maliyetin son beş yıl içerisinde %12 artış gösterdiği görülmüş.
Ülkemizde de durum çok farklı değil. KVKK konusunda hem ciddi bir
bilinçlenme yaşandığı ve kuruluşların önlem alma yoluna gittiği hem de gelen
ceza haberlerinin arttığını söyleyebiliriz.
Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir’in Mayıs ayında
yaptığı açıklamada, Kişisel Verileri Koruma Kuruluna yapılan veri ihlal
bildirimlerinin toplam 72 olduğu açıklanmış ve yaklaşık 5 milyon TL ceza
kesildiği belirtilmişti. Türkiye’de 2017 yılında kesilen cezaların toplam 125 bin
TL olduğu düşünülürse, hem veri ihlallerinde hem de kesilen cezalardaki
yaşanan artış açıkça görülebilir.
Yıl içerisinde karşılaştığımız bazı haber başlıkları şöyleydi:
- “Kişisel Verileri Koruma Kurumu, bir yatırım şirketinin, vatandaşı izinsiz
reklam amaçlı aramasına ilişkin firmaya 75 bin TL para cezası verdi.”,
- “İstenmeyen bilgi paylaşımına 30.000 TL ceza kesildi.”,
- “KVKK A.B.D’li otel zincirine yaklaşık 1.5 Milyon Liralık ceza uygulanmasına
karar verdi”,
- “ Bir turizm şirketine ait networkten çok sayıda müşterinin başta kredi kart
bilgileri olmak üzere tüm kimlik bilgileri çalındı. KVKK, 500 bin lira ceza kestiği
şirketin ismini açıklamadı.”

Ne Öğrendik?
Yaşanan Veri İhlallerinden
Siber saldırılar yalnız büyük kuruluşları hedef almıyor. Aksine, küçük ve orta
ölçekli işletmeler yüksek siber güvenlik yatırımları yapmaktan kaçındığı için daha
kolay ve cazip hedefler olarak görülüyor.
Büyük küçük demeden, her kuruluşu ilgilendiren veri ihlalleri için önlem almanın
maliyeti, bir ihlal yaşandıktan sonra karşılaşacağımız maliyetin yanında
çok daha düşük kalıyor.

2019 Yılında
Yaşanan En
Büyük
10 Siber Saldırı

WHATSAPP'IN HACKLENMESİ
Mayıs ayında Whatsapp üzerinden gelen aramaları yanıtlayan
kişilerin telefonlarına siber saldırganlar tarafından takip yazılımı
yüklendiği fark edildi. 1.5 milyar kullanıcısı olan uygulamanın
zafiyetinden kaç kişinin etkilendiği bilinmezken casus yazılımın
İsrail’in NSO grubuna ait olduğu ve özellikle hükümetler ile
çalışan özel kuruluşların ve üst düzey yetkililerin hedef alındığı
açıklandı. İsrailli firma ise suçlamaları reddetti.

IPHONE’UN HACKLENMESİ
Daha önce benzeri görülmemiş bir iPhone saldırısı ile Çin’deki
Uygur Müslümanları hedef alındı. Google Project Zero ve
araştırmacıların bulguları bazı zararlı yazılım yüklü internet
sayfalarını ziyaret eden kullanıcıların parola, mesajlar ve konum
bilgilerinin çalınmış olabileceğini gösterdi. Olayın ardında Uygur
Müslümanlarını hedef alan Çin Hükümetinin olduğu iddia edildi.

SINIR VE GÜMRÜK
VERİLERİNİN HACKLENMESİ
Haziran ayında siber saldırganlar Amerika Gümrük ve Sınır
Koruma verilerini çaldı. Seyahat eden kişilerin yüz tanıma
sistemindeki kayıtları ve plakaları ihlal edilen bilgiler içerisinde
yer alıyordu. 100.000 kişinin etkilendiği düşünülen veri ihlalinin
nedeni bir altyüklenicinin veri tabanındaki açık olarak
gösterildi.

DEVLETİN ANLAŞMALI TEKNOLOJİ
KURULUŞUNA EMOTET ZARARLI YAZILIMI
BULAŞMASI
Amerika Birleşik Devletleri’nin alt yüklenicisi olarak çalışan bir
savunma ve teknoloji kuruluşunun hacklendiği ve birçok bilginin
dark
web’de satışa sunulduğu açıklandı. Alt yüklenici olan firmanın
ABD Ulaştırma Bakanlığı, Ulusal Sağlık Enstitüleri ve ABD
Homeland Security ile bağları olduğu belirtildi. Miracle Systems
isimli firma genellikle e-posta ekleri ile bulaşan ve adı sıkça
duyulan Emotet zararlı yazılımından etkilendi.

11.9 MİLYON HASTANIN MEDİKAL VE
FİNANSAL VERİLERİNİN ÇALINMASI
Quest Diagnostics isimli klinik laboratuar Haziran ayında
yetkisiz kişilerce verilerine erişim sağlandığını ve yaklaşık 11.9
milyon hastanın kredi kartı ve sosyal güvenlik numarası da dahil
bilgilerine ulaşıldığını açıkladı. Siber saldırganın sisteme yetkisiz
erişiminin 1 Ağustos itibariyle başladığı ve ancak 30 Mart
2019’da fark edildiği anlaşıldı. Quest Diagnostics verileri tutan
American Medical Collection Agency’i (AMCA) suçladı. AMCA
bunun üzerine Quest de dahil olmak üzere en büyük 4
müşterisini kaybetti.

Quest Diagnostics isimli klinik laboratuar Haziran ayında
yetkisiz kişilerce verilerine erişim sağlandığını ve yaklaşık 11.9
milyon hastanın kredi kartı ve sosyal güvenlik numarası da dahil
bilgilerine ulaşıldığını açıkladı. Siber saldırganın sisteme yetkisiz
erişiminin 1 Ağustos itibariyle başladığı ve ancak 30 Mart
2019’da fark edildiği anlaşıldı. Quest Diagnostics verileri tutan
American Medical Collection Agency’i (AMCA) suçladı. AMCA
bunun üzerine Quest de dahil olmak üzere en büyük 4
müşterisini kaybetti.
MICROSOFT’UN HACKLENMESİ

ŞEHİRLERİN HACKLENMESİ
Tüm şehri etkileyen siber saldırılar bir önceki yıldan beri artarak
devam etti ve siber saldırganlar özellikle yerel yönetimleri hedef
alarak fidye istedi. Amerika’nın birçok eyaletinde (Baltimore,
Georgia,
Florida, Texas gibi) benzeri olaylar yaşandı.
Florida 1 milyon dolardan fazla ödeme yapmayı kabul ederken
diğer şehirlerde ödeme yapılmaması kararı alındı ve IT
altyapısının yeniden kurulabilmesi ve bu defa güvene
alınabilmesi için milyonlarca dolar harcama yapıldı.

FORTNITE’IN HACKLENMESİ
Ağustos ayında Fortnite isimli online oyunun bazı oyuncuları
fidye yazılımı saldırısına maruz kaldı. Oyuncularının
bilgisayarlarındaki dosyalar şifrelendikten sonra fidye talepleri
gelmeye başladı.
Fortnite yaklaşık 250 milyon oyuncusunu aimbot cheat aracını
indirmemeleri konusunda uyardı. Bu ve benzeri üçüncü taraf
uygulamalarının oyunda kullanılmaması ve indirilmemesi
gerektiği konusunda açıklama yapıldı.

ASUS’UN HACKLENMESİ
Siber saldırganların binlerce ASUS bilgisayara arka kapı
yerleştirdiği ve bunun için ASUS’un kendi yazılımını kullandıkları
anlaşıldı.
2018 yılında başlayan ancak 2019 yılına kadar fark edilmeyen
olayda ASUS’un Live Update Utility özelliği ile zararlı yazılım
dağıtıldı.
Bu olaydan, Microsoft Visual Studio’nun hacklenmesinde
olduğu gibi Çin menşeili Bairum grubu sorumlu tutuldu.

DÜNYAYI ETKİLEYEN
LOCKERGOGA FİDYE YAZILIMI
Dünya çapında pek çok üretici firma LockerGoga isimli fidye
yazılımı saldırısından etkilendi. LockerGoga bilgisayarları
tümüyle kapatan ve
siber saldırganlar talep ettikleri fidye ödemesini alana kadar da
işlevsiz hale getiren, agresif bir zararlı yazılım olarak tanındı.
Bilgisayarlardaki tüm dosyaları dakikalar içerisinde şifreleyen ve
sadece “Read Me” dosyasına erişim bırakan fidye yazılımı
notunda: “Tebrikler! Güvenlik sisteminizde ciddi bir açık vardı,
bu açık işini bilen kişiler tarafından istismar edildiği için
şanslısınız çünkü diğerleri tüm dosyalarınıza zarar verebilir ya
da sırf eğlence için hepsini silebilirdi” yazılıydı.

BONUS: CAPITAL ONE’IN
HACKLENMESİ
Finans kuruluşlarının tarihte yaşadığı en büyük siber saldırı
denilebilir. Haziran ayında Capital One bir veri ihlali duyurdu ve
on milyonlarca kredi kartı sahibinin ve kart için başvuranların
bu olaydan etkilendiği söylendi. Kullanıcıların banka bilgileri,
işlem geçmişleri, hesap bakiyeleri, kredi puanları, adresleri gibi
bilgiler çalındı. Bu olay nedeniyle Amazon’un eski bir çalışanı
olan Paige Thompson isimli yazılım mühendisi tutuklandı. 5 yıl
hapis cezası ve 250.000 Dolar para cezası ön görüldü.

2019 Yılında
Yaşanan Önemli
Siber Saldırılar

OCAK 2019
Sağlık Bakanlığı AIDS Kayıtları: Singapur Sağlık Bakanlığının yaşadığı
veri ihlalinde 14.000 kişinin AIDS kaydı bulunduğu açığa çıktı. (Bu bilgiler
özellikle ilaç ve sigorta pazarında alıcı bulabiliyor.)
Apple FaceTime: iPhone’lara gelen ve yanıtlanmasına gerek olmayan
FaceTime aramalarının ön kameraya ve mikrofona erişim sağlayabildiği
görüldü.
(https://sibersavascephesi.com/iphone-kullaniyorsaniz-facetimei-
hemen-devre-disi-birakin/)
Oklahoma Güvenlik Departmanı: İçerisinde FBI araştırma
raporlarının, hassas devlet dosyalarının da bulunduğu gizli hükümet
bilgilerinin yer aldığı terabaytlarca veri barındıran sunucudaki veriler
internete sızdı ve Shodan arama motorundan erişilebilir hale geldi.
Del Rio Fidye Yazılımı: A.B.D Texas Del Rio şehri sunucuları fidye
yazılımı ile çalışamaz hale gelince şehirdeki işlemlerin devam edebilmesi
için kağıt kaleme dönülmek zorunda kalındı.

BlankMediaGames: Town of Salem isimli oyunun geliştiricisi olan
BlankMediaGames 7.6 milyon kullanıcının kullanıcı verilerinin çalındığını
bildirdi. Kuruluş sistemlerinden birden fazla arka kapının
temizlendiği açıklandı.

ŞUBAT 2019
VFEmail: E-posta sağlayıcısı VFEmail çok büyük bir siber saldırı yaşadı ve
hem ana sistemindeki hem de yedek sistemindeki verilere zarar verildi.
Yaşanan olay o denli büyük etkilere sahipti ki VFEmail’in kapanmak
zorunda kalacağı söylendi.

UConn: Amerikadaki UConn Health (The University of Connecticut
Health Center) 326.000 hastanın sosyal güvenlik numaraları da dahil
olmak üzere kişisel verilerinin çalındığını açıkladı.
İsveç Ulusal Sağlık Hizmeti Aramaları: İsveç ulusal sağlık hizmetine
hattına yapılan yaklaşık 2.7 milyon çağrının kaydı internete açık bir
sunucuda barındırılıyordu. Yapılan çağrı kayıtları ve arayan kişilerin
telefon numaraları açığa çıktı.
620 milyon kullanıcı verisi: Dubsmash, Armor Games, 500px,
Whitepages ve ShareThis’in de aralarında bulunguğu 16 web
sayfasından ele geçirilen 620 milyon kişiye ait kullanıcı bilgisi Dark
Web’de satışa çıktı.
UW Medicine: Google’da kendi ismini adını aratan bir kişinin hasta
bilgilerin yer aldığı dosyaya ulaşması ile Washington Üniversitesi Sağlık
Merkezinde yaşanan veri ihlali ortaya çıktı. Açık bulunan veri tabanına
erişim için sadece tarayıcının yeterli olduğu ve Aralık 2018’den beri
yaklaşık bir milyon kişinin kişisel verilerinin bu şekilde
ihlale uğradığı anlaşıldı.

MART 2019
Afet Sirenleri: Texas’ta yaşanan olayda afet uyarı sirenlerinin 30 defa
yanlış alarm vermesi üzerine bir siber saldırı sonucu olayın gerçekleştiği
anlaşıldı ve sirenlerin devre dışı bırakılması gerekti.
ASUS yazılımının hacklenmesi: Operation ShadowHammer adı ile
duyulan bir saldırı sonucu ASUS Live Update Utility hedef alındı ve
binlerce ASUS bilgisayar istismar edildi. Bu olay 2017 yılındaki CCleaner
saldırısından bu yana yaşanan “en büyük tedarikçi kaynaklı siber
güvenlik olayı” olarak tanımlandı.

Facebook ve Instagram: Yüz milyonlarca kullanıcının etkilendiği
düşünülen olayda Facebook tarafından parola saklama yöntemi olarak
düz metin tercih edildiği ve bu verilerin açık halde saklandıkları anlaşıldı.

FEMA: Amerika Federal Acil Durum Yönetim Kurumu (Federal
Emergency Management Agency) 2.3 milyon felaket kurbanına ait adres,
finansal bilgiler, sosyal güvenlik numarası gibi verileri çaldırdığını
açıkladı. Olayda saklanan verilerin bir kısmının acil durum yönetimi ile
ilgili olmaması (finansal veriler gibi) ve bu bilgilerin neden saklandığı
konusu tartışma yarattı.
İşten çıkartılan IT çalışanının intikamı: Tembel olduğu gerekçesiyle
işten çıkartılan bir IT çalışanı kuruluşa ait 23 tane AWS (Amazon Web
Services) sunucusunu silince 700.000 Dolar hasara neden oldu ve silinen
veriler kurtarılamadı. Yakalanan siber saldırgan ise 2 yıl hapis cezası aldı.

NİSAN 2019
Intimediata Sağlık Grubu: Web sayfasının hatalı yapılandırılmasından
kaynaklanan olayda, dahili olması gereken web sayfalarının arama
motorları tarafından endekslendiği anlaşıldı. Olaydan 1.5 milyon hasta
bilgisinin etkilendiği söylendi.

Facebook kayıtları: İki farklı üçüncü parti kuruluş tarafından toplanan
ve Amazon Web Services (AWS)’de tutulan 540 milyon Facebook
kullanıcısının kayıtlarının açığa çıktığı anlaşıldı. İsimler, parolalar,
beğeniler, fotoğraflar, dahil olunan gruplar ve daha fazla bilginin sızdığı
belirlendi.

Georgia Tech: Sınırlanmamış (açık) erişime sahip bir web uygulaması,
mevcut ve eski Georgia Teknoloji Enstitüsü çalışanlarına ve öğrencilerine
ait 1.3 milyon kişisel verinin ihlaline neden oldu.

Toyota: Müşteri verilerinin etkilenmiş olabileceği düşünülen olayda
Japon araba üreticisi Toyota bayilerinden kaynaklanan bir veri ihlali
açıklaması yaptı.

Instagram: Milyonlarca Instagram kullanıcısının parolalarının düz metin
olarak saklandığı Facebook tarafından kabul edildi.

Hindistan hükümeti: Yaşanan ihlalde Hindistan hükümetine ait sağlık
merkezi verileri açığa çıkarken 12.5 milyon hamile kadın ile ilgili bilgiler
de internete sızdı.

MAYIS 2019
Canva: Avusturalyalı teknoloji firması Canva’nın GnosticPlayers
adıyla bilinen siber suç grubunun hedefi olması 139 milyon kullanıcının
isim ve e-posta adresinin Dark Web’e düşmesi ile sonuçlandı.

First American Financial Corp.: Emlak devi FAFC’den sızan milyonlarca
sigorta dökümanı ile 2003’e kadar uzanan bir banka hesap numarası,
banka beyanı, mortgage ve vergi bilgileri ve daha fazlası internette
bulunabilir hale geldi.

Otel güvenlik logları: Büyük otel zincirlerine ait 85GB’lık otel güvenlik
logu bir üçüncü taraf tedarikçisi nedeniyle ihlale uğradı.

Burger King: Kool King Shop adlı mağazadan yaklaşık 40.000
müşterinin (özellikle de çocukların) kayıtları bir veri tabanı sızıntısı
nedeniyle çevrimiçi hale geldi.

GitHub’a Fidye Saldırısı: Kaynak kod saklama ve paylaşma platformu
GitHub’ı hedef alan fidye yazılım saldırısı ile kaynak kodlar ortadan
kaldırılıp yerine “warning” (uyarı) konulu bir not bırakıldı. Sızdıkları
hesaplarda bulunan kaynak kodları silen saldırganlar, iade edilmesi ve
ifşa edilmemesine karşılık 0,1 Bitcoin (yaklaşık 568 A.B.D. Doları) talep
etti.

HAZİRAN 2019
American Medical Collection Agency (AMCA): Veritabanına yapılan
yetkisiz erişim sonucunda yaklaşık 20 milyon kişinin medikal verileri
açığa çıktı. Veri ihlali LabCorp ve Quest Diagnostics gibi farklı büyük
kuruluşları da etkiledi.

Akıllı telefonlardaki arka kapılar: Google bazı Android telefonların ön
yükleme yapılmış arka kapı zararlı yazılımı barındırdığını kabul etti.
Triada isimli truva atının henüz piyasaya sürülmeden önce Çin’de
üretilen bazı telefonlara yüklenmiş olduğunu öğrendik.

Tech Data Corp: Fortune 500 listesinde yer alan Tech Data Corp isimli
şirketin müşteri sunucuları, faturalar, SAP entegrasyonları ve düz metin
şifreleri bulunan ve toplamda 264GB veri içeren veritabanının erişilebilir
durumda olduğu fark edildi.
Telegram'a DDoS Saldırısı: Mesajlaşma hizmeti sunan Telegram büyük
bir DDoS saldırısı yaşadı. Saldırının Hong Kong’da süren politik gösteriler
nedeniyle iletişime zarar vermek isteyen Çin Hükümeti tarafından
gerçekleştirildiği düşünülüyor.
Dell: Teknoloji devi Dell, işletim sistemlerini satılan bilgisayarlarına
yüklemek için kullandığı ve müşterilerini bilgisayarlarını fabrika
ayarlarına döndürebilmesi için yönlendirdiği
"www.dellbackupandrecoverycloudstorage.com" alan adını yenilemeyi
unutunca, bu alan adı farklı birileri tarafından satın alındı ve sayfadan
zararlı yazılım dağıtılmaya başlandı.

TEMMUZ 2019
Equifax: Dünyanın en büyük üç tüketici kredisi raporlama
kuruluşundan biri olan Equifax, dünya genelinde 800 milyondan fazla
bireysel tüketici ve 88 milyondan fazla işletme hakkında bilgi
topluyordu. Eylül 2017’de yaklaşık 147 milyon kişinin verilerinin
çalınmasına neden olan veri ihlalinin davası 2019 yılında sonuçlandı ve
kuruluşa çıkan fatura yaklaşık 700 milyon dolar oldu.
Capital One: Kredi kartları, oto kredileri, bankacılık ve tasarruf hesapları
üzerine uzmanlaşmış bir banka holding şirketi olan Capital One veri
ihlaline uğradığını açıkladı. 100 milyon Amerikan vatandaşının ve 6
milyon Kanadalının etkilendiği bildirilen olaya veritabanındaki bir
yapılandırma zafiyetinin neden olduğu anlaşıldı.
Facebook: Cambridge Analytica skandalının faturası 5 milyar dolar
olarak belirlendi.
Bankaların hacklenmesi: Bangladesh, Hindistan, Sri Lanka, ve
Kırgızistanda bulunan bankalar saldırıya uğradı ve milyonlarca dolar
çalındı.
10 yıl süren veri ihlali: Amerika Virginia’da bulunan bir sağlık sigorta
firması olan Dominion National’ın güvenliği sağlanmamış bir sunucu
nedeniyle 10 yıldır süren bir veri ihlaline konu olduğu ve 2.9 milyon
üyesinin verilerinin açığa çıktığı anlaşıldı.

AĞUSTOS 2019
Choice Otelleri: Güvenliği sağlanmamış bir veritabanı nedeniyle Choice
Otellerinin yaklaşık 700.000 müşterisine ait veriler bir siber suçlunun
eline geçti ve sunucuya bir fidye talebi notu bırakıldı.

Biometrik veritabanı sızıntısı: İngiltere Metropolitan polis departmanı,
bankalar ve bazı büyük kuruluşlar tarafından tarafından
kullanılan biometrik veritabanındaki veri ihlali nedeniyle milyonlarca
kayıt çalındı.

Kiralık Hacker: 20 yaşındaki bir İngiliz genci veri çalmak ve sim
swapping gibi hizmetleri gerçekleştirmeyi teklif etmek suçundan 20 ay
hapis cezasına çarptırıldı.

Tanışma Uygulamaları: Grindr, Romeo ve Recon isimli büyük tanışma
uygulamalarının güvenlik açıkları barındırdığı ve kayıtlı kişinin lokasyon
bilgilerinin bulunabildiği anlaşıldı. Bunun nasıl bir tehlike doğurabileceği
hakkında çokça yazı yazıldı.

Asurion Sigorta: Asurion Insurance, siber saldırganların taleplerine
boyun eğdi ve binlerce çalışanına ve bir milyondan fazla müşterisine ait
yaklaşık 1 TB hassas veriyi çaldığını iddia eden bir saldırgana 300.000
dolar ödedi.

Uzayda siber suç: Bir NASA astronotu, ayrı olduğu eşinin banka
hesapları da dahil verilerine uzaydan izinsiz erişim sağlamakla suçlandı.

EYLÜL 2019
Malvertising: eGobbler isimli siber suç grubu tarafından, zararlı yazılım
yüklü web sitelerine yönlendirmek üzere yaklaşık 1.16 milyar reklam
gösterildiği ortaya çıkartıldı. Nisan ayında Google Chrome’daki bir
zafiyeti istismar ederek milyonlarca iOS kullanıcısını hedef aldığı bilinen
grup, 500 milyon zararlı reklam (malvertise) yayınlamıştı. Bu defa iOS
kullanıcıları ile yetinmeyerek Windows, Linux ve macOS masaüstü
cihazlarını da hedef aldıkları belirlendi.
DK-LOK: Güney Kore’de endüstriyel üretim yapan DK-LOK isimli
kuruluşa ait, güvenliği sağlanmamış bir Amazon Web Service
veritabanından e-postalar ve çeşitli iletişim verileri çalındı. Bu veriler
kuruluş ile müşterileri arasındaki gizli yazışmaları içeriyordu.
Ekvator: Güvenliği sağlanmamış ve hatalı konfigürasyon yapılmış bir
veritabanı Ekvator vatandaşlarının kişisel verilerinin sızmasına neden
oldu. Olaydan yaklaşık 20 milyon kişinin etkilendiği tahmin ediliyor.

DoorDash: Amerika’nın “yemeksepeti” diyebileceğimiz şirketi DoorDash
yaklaşık 5 milyon müşterisinin bir veri ihlalinden etkilenmesine neden
oldu. Verilere izinsiz erişim sağlayan kişinin müşterilere, dağıtım yapan
kişilere ve ticari firmalara ait kişisel verilere eriştiği ve ayrıca olayda
yaklaşık 100.000 ehliyet ile kredi kartlarının son 4 hanesinin de çalındığı
söylendi.

EKİM 2019
Nikkei: Yılın en büyük BEC saldırısı. Nikkei firma çalışanlarından biri
kendisini üst düzey yönetici olarak gösteren siber saldırgan tarafından
bir banka hesabına 29 milyon dolar yatırmaya ikna edildi.
Yahoo: 2012 ve 2016 yılları arasında bir Yahoo hesabına sahip olanlar
için tazminat fonu başlatıldı. Bu tarihler arasında, siber saldırganların
var olan her Yahoo hesabına erişebildiği ve isim, e-posta, telefon
numarası, doğum tarihi, parola ve güvenlik sorusu cevaplarını ele
geçirebildiği öğrenildi.
UniCredit: İtalyan bankası UniCredit, 2015 yılına dayanan, güvenliği ihlal
edilmiş tek bir dosya nedeniyle müşterilerin adları, telefon numaraları,
e-posta adresleri ve ikamet ettiği şehirler de dahil olmak üzere üç
milyon kişiye ait kayıtların veri ihlaline uğradığını açıkladı.
Adobe: Adobe Creative Cloud’un 7.5 milyon müşterisinin ayrıntılı
bilgilerinin, erişim için kimlik doğrulama gerekmeyen çevrimiçi ortamda
ve güvenli olmayan bir veritabanında bırakıldığı anlaşıldı.
20 milyon Rus vatandaşı: Rus vatandaşlarına ait 20 milyondan fazla
vergi kaydı, güvenliği sağlanmamış bir veritabanında, çevrimiçi olarak
erişilebilir halde bulundu.
Avast: Antivirüs firması Avast kuruluş içi bir güvenlik ihlali duyurdu.
Olayın, bir çalışana ait güvenliği ihlal edilmiş kullanıcı bilgileri ile
CCleaner’ın içerisine zararlı yazılım yüklenmesi amacı taşıdığının tespit
edildiği açıklandı.

KASIM 2019
OnePlus: Akıllı telefon üreticisinin web sayfasındaki bir zafiyet siber
saldırganların yolunu açtı ve geçmiş müşteri bilgilerine erişim sağlandı.
Bilgiler içerisinde isimler, telefon numaraları, e-posta adresleri ve gönderi
dağıtım bilgileri yer alıyordu.

Facebook: Sosyal medya devinden bir veri ihlali haberi daha geldi. 100
adet geliştiriciye sahip olmamaları gereken (izin verilmeyen) profil
bilgilerine erişim hakkı sağlandığı açıklandı.

Trend Micro: Siber güvenlik firmasının kötü niyetli bir çalışanı, müşterilere
ait isim, e-posta adresi, teknik destek kayıt numarası ve telefon
numaralarını içeren müşterilerin bilgilerini çalarak dolandırıcılara sattı.

UK İşçi Partisi: İngiltere işçi partisine birden fazla DDoS saldırısı
düzenlendi. Saldırıda hem işçi partisinin web sayfası hem de kampanya
araçları hedef alındı.
Disney+: Hizmet başlatıldıktan sadece birkaç saat sonra, Disney+ içerik
akışı siber saldırıya uğradı ve hacking forumlarında hesaplar satılmaya
başlandı.

1.2 milyon kayıt: Güvenli olmayan bir veritabanında 1.2 milyon kişinin e-
posta, lokasyon, ünvan, telefon numarası ve sosyal medya profillerini
içeren hassas veriler araştırmacılar tarafından
bulundu.

ARALIK 2019
Türkiye’den 463.000 Kredi Kartı: Son yıllarda Türkiye'de yaşanan en
büyük kredi kartı hırsızlığı olarak anılan olayda 463,378 kredi kartı bilgisi
Dark Web’de satışa çıktı. Toplam değerinin 500.000$ civarında olduğu ve
satışa sunulan veriler içerisinde kart sahiplerinin isim bilgileri, kartın son
kullanma tarihi ve CVV/CVC bilgileri ile e-posta ve telefon numarası gibi
bilgilerin de bulunduğu tespit edildi.

Gündüz politikacı gece hacker: Hollandalı bir politikacı 100 kadının
iCloud hesaplarına izinsiz erişmek ve özel fotoğrafları ile videolarını
internete sızdırmak suçundan ceza aldı.

Mixcloud: 21 milyon Mixcloud kullanıcısının verileri Dark Web’de satışa
çıktı.

Laboratuvar sonuçları: LifeLabs isimli laboratuvarın veri ihlaline
uğraması sonucu 15 milyon Kanadalı müşterisine ait kişisel veri açığa
çıktı.

Lightinthebox.com: Çinli e-ticaret sitesi lightinthebox.com’un güvenliği
sağlanmamış bir sunucusu nedeniyle 1.3 TB web sunucu logunda veri
ihlali yaşandı.

İran telekomünikasyon sistemi: Bir haftada iki büyük organize siber
saldırı yaşayan İran telekomünikasyon sistemi ile devlet altyapısına
zarar verilmek istendiği açıklandı.

2019 Yılında
Biz Neler
Yazdık?
(Siber Savaş Cephesinden Notlar)

HABER DEĞİL MAKALE
Bir yandan siber güvenlik ile ilgili gündemi takip etmenize yardımcı
olmaya çalışırken diğer yandan yaşanan olaylardan alınabilecek dersler,
ipuçları, dosya konuları, acil önlem alınması gereken zafiyetler, blog
yazıları ve siber güvenlik makaleleri ile içerik üretmeye devam ettik.
Açıkçası sizlere yabancı internet sitelerinde çıkan haberlerin Google
translate ile kötü çevirisi yapılmış hallerinden fazlasını verebilmeye, bu
haberlere bir şeyler katmaya çalıştık.
2019 yılında 200'den fazla özgün içerik yayınladık.
Bu içerikleri haftalık e-posta bülteni, sibersavascephesi.com internet
sitesi ve @NotlarSiber Twitter hesabımız aracılığı ile duyurduk.
sibersavascephesi.com adresinde yazıların tamamına ulaşmak mümkün
olsa da, 2019 yılında en dikkat çeken, en çok okunan ya da bizce
okunması gereken yazılarımız için de bir derleme yaptık.

2019 Yılının En Kötü Zararlı
Yazılım Saldırılarının
Kazananları Belli Oldu!
Öncelikle; “en kötü” derken “en fazla zarar veren” kastediliyor.
Webroot firması tarafından yıllık olarak yayınlanan “Zararlı Yazılımların
En Kötüleri” listesinde siber güvenlik tehditlerinde başı çeken zararlı
yazılımlara yer veriliyor.
2019 yılı için yayınlanan listede, fidye yazılımlarından kriptopara
madenciliğine kadar pek çok farklı zararlı yazılımın adını görüyoruz ve
şunu açıkça anlıyoruz ki siber tehditler bu sene daha da gelişmiş ve
tespit edilmeleri gittikçe güçleşiyor.

Fidye Yazılımı Saldırıları
2019 yılında gerçekleştirilen fidye yazılımı saldırıları geçtiğimiz yıllara
göre daha hedefe yönelik bir model benimseyerek daha fazla “başarı”
sağladı.
Küçük ve Orta Ölçekli İşletmeler sınırlı siber güvenlik bütçesi ve çalışanı
ile bu saldırılarla başa çıkmak zorunda olduğundan ana hedef olarak
görülmeye devam ediyor.
Çalışanların hedef alındığı oltalama saldırıları ya da güvenli olmayan
uzak bağlantı noktalarına yapılan kaba kuvvet saldırıları (brute force) ile
fidye yazılımları bu listedeki yerini bu yıl daha da güçlendirmiş
görünüyor.
Fidye yazılımı saldırılarında listenin başını çeken isimler şöyle:
Emotet – Trickbot – Ryuk (“Üçlü Tehdit”): Verdiği finansal zarara
bakılarak 2019 yılının en başarılı zincirlerinden biri bu üçlü olmuş. “Keşif
temelli operasyonlar” olarak adlandırılan saldırılara yönelen,
hedefledikleri sisteme enfeksiyon bulaştırdıktan sonra keşif yapıp
“sistemine göre değer belirleyen” ve yanal hareket ederek yayılan bu
zararlı yazılımlar son olarak fidye taleplerini elde ettikleri verilere göre
belirliyor.
Trickbot/Ryuk: Emotet için ikinci aşama payload (yük) olan Ryuk genel
olarak Trickbot tarafından dağıtılıyor ve tüm ağların toplu olarak
şifrelenmesine yol açıyor.
Dridex/Bitpaymer: Dridex artık Bitpaymer adı verilen fidye yazılımı
enfeksiyon zincirinde bir implant olarak kullanılıyor ve Emotet’ten sonra
ikinci aşama bir payload olarak yükleniyor.
Sodinokibi – Sodin / REvil: Bu kombinasyon GansCrab’ın çok
kazandıran başarısının ardından ortaya çıktı ve “yeni bir proje ile elde
edilmiş olan başarının devam ettirilmeye çalışılması” olarak görülüyor.

GandCrab: RaaS terimi ile tanışmış mıydınız? Cevabınız hayır ise
tanıştıralım: "Ransomware as a Service" yani eğer fidye yazılımı saldırısı
düzenlemek istiyorsanız makul bir ücret karşılığında bu hizmeti satın
almak mümkün.
GandCrap RaaS'ın en çok başarı kazanmış ismi olarak karşımıza çıkıyor
ve bu zararlı yazılımı ortaya çıkartan kişilerin 2 milyar Dolar gibi bir kar
paylaşımı yaptığı düşünülüyor.
Crysis/Dharma: “En Kötüler” listesindeki ikinci yılını dolduran bu fidye
yazılımı 2019 yılının ilk yarısında aktif olarak görüldü. Analiz edilen
neredeyse tüm enfeksiyonların RDP istismarı ile dağıtıldığı ortaya
çıkmış.
Oltalama Saldırıları
E-posta temelli zararlı yazılım kampanyaları 2019 yılında hem
inandırıcılığını hem de karmaşık yapısını artırmaya devam etti. Kimlik avı
için yapılan saldırılar daha da kişiselleştirildi ve hedefli hale geldi, şantaj
e-postalarında ise veri ihlalleri sonucu internete düşen kişiye ait bilgiler
kullanılarak “başka bilgilerinize sahibiz” iddialarında bulunuldu ve para
istendi.
Webroot listesine “en kötüler” olarak giren bazı oltalama saldırıları şöyle:
Şirket kimliğine bürünme: 2019 yılında Facebook, Apple, Google,
Netflix ve benzeri birçok markanın kimliğine bürünen siber saldırganlar
kimlik avı saldırılarında bu marka isimlerini/logolarını kullanarak
“parolanızı yenileyin” dedi ve kullanıcıların genellikle birden çok yerde
(veya her yerde) kullanmakta olduğu parolasını çaldı.
Business Email Compromise (BEC): 2019 yılında iş e-postası ile yapılan
saldırılar (BEC) ciddi bir artış gösterdi ve banka havaleleri, kimlik bilgileri
gibi önemli bilgiler çalındı, çok sayıda kişi ve kuruluş mağdur oldu.

Botnetler
Botnet ağları saldırı zincirinde önemli bir güç olmaya 2019’da da devam
etti. Başka hiçbir kötü amaçlı yazılım türü tarafından bu kadar çok fidye
veya kriptopara madencilik yazılımı dağıtılmadı.
2019 yılının Botnet başlığında yer alan en kötüleri:
Emotet: 2018’in en yaygın kullanılan kötü amaçlı yazılımı 2019’da
egemenliğini sürdürdü. Haziran ayında yaşanan bir kesintinin ardından
Emotet, Eylül ayında, çeşitli kötü amaçlı yükler sunan en büyük botnet
olarak yeniden ortaya çıktı.
Trickbot: Trickbot’un modüler altyapısı, bulaştığı her ağ için ciddi bir
tehdit oluşturuyor. Ryuk fidye yazılımı ile birleşimi sonucu 2019’un en
yıkıcı hedefli saldırılarından biri ortaya çıkmış oldu.
Dridex: Daha önceleri en önde gelen bankacılık trojanlarından biri
olarak kabul edilen Dridex şimdi ise Bitpaymer fidye yazılımı ile birlikte
enfeksiyon zincirinde implant olarak kullanılıyor.

Hacklenen 773 milyon kişi
arasında siz de var mısınız?
773 milyon e-posta adresi ve parolaları açık halde internete düştü. Olayı
duyuran Troy Hunt buna “Collection #1” adını veriyor. Toplamda
2.692.818.238 (yazı ile iki buçuk milyardan fazla) satırdan oluşan bu dev
liste incelendiğinde 772.904.991 tekil e-posta adresine indirgenmiş.
Troy Hunt tarafından başlatılan Have I Been Pwned
(https://haveibeenpwned.com/) veritabanına şimdiye dek tek seferde
yüklenen en yüksek sayı. Bu liste içerisinde 21 milyondan fazla tekil
parola olması olayın bir diğer boyutu.
LinkedIn’de bu olayı duyurduğumda haklı isyanlar gelmişti; “hocam 26
karakter uzunluğunda küçük harf, büyük harf, küçük özel karakter ve
büyük sayıdan oluşan parolalar kullanıyorum, buna rağmen nasıl
bulabiliyorlar aklım ermiyor” diyenler oldu.

2019 yılı için siber güvenlik beklentileri raporumuzu hazırlarken “büyük
ölçekli veri ifşaları” bir risk olarak karşımıza çıkmıştı ancak, henüz Ocak
ayı bitmeden bu kadar büyük bir olay ile karşılaşabileceğimizi biz de
düşünmemiştik.
Veriler dosya paylaşım sitesi MEGA’ya toplamda 87GB boyuta ulaşan
12.000’den fazla dosya halinde yüklenmiş ve burada hızlıca forumlara
yayılmış.Gmail, Twitter, Facebook, vb. kullandığımız herhangi bir hizmet
hacklendiğinde yapılması gerekenleri aşağıda özetledim:
https://haveibeenpwned.com/ adresini ziyaret edip kullandığınız kişisel
ve e-posta adreslerini aşağıdaki ekranda görüldüğü gibi yazın:
Aşağıdaki gibi “Eyvah!” ekranıyla karşılaşırsanız parolanızın hangi
olaylarda çalındığını da sayfanın altında görebilirsiniz.
Bu noktada hızlıca yapılması gerekenler;
Parolanızı değiştirin: Bu e-posta adresiyle birlikte kullandığınız parolayı
bütün sitelerde değiştirin. Bazı siteler en son giriş yaptığınız tarih, saat
ve konum gibi bilgileri tutuyor, bunlara göz atmanızda fayda var.
2 kademeli doğrulama (parolanızı girdikten sonra SMS ile doğrulama
kodu gönderilmesi) seçeneği sunan bütün sayfalarda bundan
faydalanın.

Genel tedbir olarak parolalarınızı belirli aralıklarla değiştirin.
Aşağıdaki “sorun yok” ekranı çıkarsa bunu “bilinen bir sorun yok” olarak
okumakta fayda var.
Bu son olayda parolalar tek seferde ve tek bir yerden çalınmamış. Dolayısıyla
üyesi olduğunuz, örneğin bir yelkenli tekne sitesi üzerinden parolanız çalınırsa
bunun fark edilmesi zaman alabilir. Bu ihtimale karşı parolanızı değiştirin ve
bu imkanı sunan sitelerde 2 kademeli doğrulama seçeneğini devreye sokun.

Mobil Cihazlarda Wi-Fi Neden
Kapalı Durmalı?
Bir kahve içmek için oturduğunuz yerde “ücretsiz” kablosuz ağa bağlanmak
için “Wi-Fi şifresini öğrenebilir miyim?” diyorsunuz ya, siz kahvenizi içip
ayrıldıktan sonra bile nereye gittiğinizi takip edebileceklerini bilin istedik…
Ücretsiz her şeyin aslında bir bedeli var
Ücretsiz Wi-Fi noktaları her yerde; iş yerleri, halka açık alanlar, alışveriş
merkezleri, havaalanları hatta mahalledeki küçük kahve dükkânı. Ancak
artık çok büyük bir çoğunluğumuzun öğrendiği üzere aslında hiçbir şey
ücretsiz değil, bir bedeli var: kişisel verileriniz ve mahremiyetiniz.

Siz ücretsiz Wi-Fi kullandığınızda bu hizmet büyük ihtimalle bir üçüncü taraf
tedarikçi tarafından sunuluyor ve sizi çevrimiçi hale getirmek karşılığında da
sizin giriş yaptığınız bilgileri (e-posta adresi, telefon numarası, sosyal medya
profili ve diğer kişisel veriler gibi) topluyor.
Tüm bu verilerin toplandığını, farklı gruplara ayrılarak hedefe uygun
kullanılmak üzere satıldığını biliyoruz. Yani verilerinizin sizin bilmediğiniz bir
“ücreti” var ve “ücretsiz” sandığınız hizmetler karşılığında genelde verileriniz ile
ödeme yapıyorsunuz.
Starbucks’da Wi-Fi kullananlar için
Örneğin eğer Starbucks’a gittiğinde Wispotter kullananlardansanız, Wispotter
sayfasında (https://wifi.wispotter.com/Wispotter) kişisel verilerinizin nasıl
kullanıldığına dair hiçbir bilgi bulunmadığını görebilirsiniz.
Türkiye genelinde 1000’den fazla noktada internet hizmeti verdiği söylenen
Wispotter’da veriler nasıl saklanıyor? Bu veriler kimlerle paylaşılabilir? Hangi
verileriniz saklanıyor? Bunları merak ettik ve Wispotter’ın çağrı merkezini
aradık. Telefona ilk çıkan kişi “kanuna uygun aslında”, “yani kendiniz üye
oluyorsunuz” gibi cevaplar verdiği için ikinci kez arayarak yukarıdaki soruların
cevaplarını yazılı olarak nasıl alabileceğimizi sorduk.
İkinci telefon görüşmesi sonrasında, https://www.doruk.net.tr/29-
kurumsal/769-kisisel-verilerin-korunmasi/ linkine ulaştık. Buradan hem bu
sorularınızın yanıtlarını alabilir hem de kişisel verileriniz üzerindeki haklarınızı
öğrenerek dilerseniz işlem yapılmasını talep edebilirsiniz.
“Ücretsiz” Wi-Fi noktalarına bağlantı yapmadan önce hiç okumadığımız
“Kullanma Koşullarını” ve neleri kabul ettiğimizi görürsek, hiçbir şeyin
“bedava” olmadığı konusunda hem fikir olabiliriz!

Wi-Fi ve Lokasyon Bazlı Pazarlama
Bu yazıyı yazmamıza neden olan gelişme ise lokasyon bazlı pazarlama
(location-based marketing) ile işlerin bir süredir yeni bir boyut kazanmış
olması.
Bilmeyenler için; lokasyon bazlı pazarlama size o an bulunduğunuz yere göre
reklam gönderilmesi anlamına geliyor. Bir alışveriş merkezine girdiğinizde
orada bulunan bir mağazadan “Bizde %50 indirim var” mesajı gelmesi tesadüf
değil.
Bazı Wi-Fi servis sağlayıcıları portala girmiş olduğunuz e-posta, telefon
numarası veya sosyal medya profiliniz ile laptop veya akıllı telefonunuzun
MAC (Media Access Control) adresini bağlayabiliyor. Wi-Fi açıldığında
cihazların yayın yaptığı benzersiz alfanumerik kimliğini gösteren MAC adresi,
tek başına cihazın ne olduğu dışında bir bilgi vermiyor (Akıllı telefon, iPhone
veya Samsung Galaxy gibi bilgiler). Ancak cihazın MAC adresi profilinize
bağlanmış ve Wi-Fi açık ise aynı “ücretsiz” wi-fi servis sağlayıcının bağlantı
noktaları tarafından takip edilebiliyorsunuz.
Şöyle de açıklayabiliriz; bir AVM içerisindeki hep gittiğimiz kahvecinin şubesi
bizim MAC adresimizi görüp, bizi tanıyıp “AVM’ye gelmişler” diyebiliyor. Hangi
şehirde, nerede, ne yaptığımız izlenebiliyor (Yemek mi yiyoruz, kahve mi
içiyoruz, alışveriş mi yapıyoruz?).
Hedefli reklamlar için biçilmiş kaftan!
Eğer takip edilmek istemiyorsanız bir önerimiz var;
Kullanmadığınız sürece Wi-Fi’ınızı kapalı tutun.

Bilgi ve İletişim Güvenliği
Tedbirleri Genelgesi Hakkında
Bilmek Gerekenler
Cumhurbaşkanlığı tarafından yayınlanan “Bilgi ve iletişim güvenliği tedbirleri”
genelgesi"nin içeriğinde söz edilen tedbirleri gözden geçirdik.
Bu tür genelgelerin ardından hızlıca türeyen ve kuruluşlara türlü çeşit
güvenlik çözümlerini “genelge kapsamında alınması gerekiyor” diye duyuran
özel firmaların ziyaretinize gelmesi ihtimaline karşın, öncelikle şunu
belirtmek isterim: bu genelgeye “uyumlu” hale gelmek için satınalmanız
gereken hiçbir şey yok. Tamamı mevcut güvenlik çözümlerinizle
uygulanabilir durumda. Bu anlamda kimseye yeni bir rant kapısı açmadığı
için ayrıca takdir edilebilir.

Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Neyi Amaçlıyor?
Verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak amacıyla, özellikle
milli güvenliği tehdit edebilecek türdeki verilerin korunması amaçlanmış.
Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Kimleri Kapsıyor?
Genelge olduğu için elbette öncelikle Kamu Kurumlarına hitaben yazılmış
ancak her kesimden kuruluşun kendi güvenliği için buradan çıkartabileceği
güzel dersler var.
Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi maddeleri:
· Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi
kritik bilgi ve veriler yurtiçinde güvenli bir şekilde depolanacaktır.
· Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve
fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacak,
bu ağda kullanılacak cihazlara erişim kontrollü olarak sağlanacak ve log
kayıtları değiştirilmeye karşı önlem alınarak saklanacaktır.
· Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri
veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama
hizmetlerinde saklanmayacaktır.
· Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar
tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil
uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme
yapılmayacaktır.
· Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme
yapılmayacaktır.
· Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların
kullanımı tercih edilecektir.
· Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği yerlerde
yayma güvenliği (TEMPEST) veya benzeri güvenlik önlemleri alınacaktır.
· Yerli ve milli kripto sistemlerinin geliştirilmesi teşvik edilerek, kurumlara ait
gizlilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi
sağlanacaktır.

· Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların
kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların
bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti)
açıklığı içermediğine dair üretici ve/veya tedarikçilerden imkânlar ölçüsünde
taahhütname alınacaktır.
· Yazılımların güvenli olarak geliştirilmesi ile ilgili tedbirler alınacaktır. Temin
edilen veya geliştirilen yazılımlar kullanılmadan önce güvenlik testlerinden
geçirilerek kullanılacaktır.
· Kurum ve kuruluşlar, siber tehdit bildirimleri ile ilgili gerekli tedbirleri
alacaktır.
· Üst düzey yöneticiler de dahil olmak üzere, personelin sistemlere erişim
yetkilendirmelerinin, fiilen yürütülen işler ve ihtiyaçlar nazara
alınarakyapılması sağlanacaktır.
· Endüstriyel kontrol sistemlerinin internete kapalı konumda tutulması
sağlanacak, söz konusu sistemlerin internete açık olmasının zorunlu olduğu
durumlarda ise gerekli güvenlik önlemleri (güvenlik duvarı, uçtan uca
tünelleme yöntemleri, yetkilendirme ve kimliklendirme mekanizmaları vb.)
alınacaktır.
· Milli güvenliği doğrudan etkileyen stratejik önemi haiz kurum ve kuruluşların
üst yöneticileri ile kritik altyapı, tesis ve projelerde görev alacak kritik önemi
haiz personel hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması
veya arşiv araştırması yaptırılacaktır.
· Kamu e-posta sistemlerinin ayarlan güvenli olacak biçimde yapılandırılacak,
e-posta sunucuları, ülkemizde ve kurumun kontrolünde bulundurulacak ve
sunucular arasındaki iletişimin şifreli olarak yapılması sağlanacaktır.
· Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim
yapılmayacak, kurumsal e-postalar şahsi amaçlarla (özel iletişim, kişisel sosyal
medya hesapları vb.) kullanılmayacaktır.
· Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmeciler Türkiye’de
internet değişim noktası kurmakla yükümlüdür. Yurtiçinde değiştirilmesi
gereken yurtiçi iletişim trafiğinin yurtdışına çıkarılmamasına yönelik tedbirler
alınacaktır.
. İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki veriler,
radyolink ve benzeri yöntemlerle taşınmayacak, fiber optik kablolar üzerinden
taşınacaktır. Kritik veri iletişiminde, radyolink haberleşmesi kullanılmayacak;
ancak kullanımın zorunlu olduğu durumlarda veriler milli kripto sistemlerine
sahip cihazlar kullanılarak kriptolanacaktır.

Bunların dışında genelgede bir Bilgi ve İletişim Güvenliği Rehberi hazırlanması
gerektiği ve uygulanması konusunda düzenli denetimlerin yapılması gerektiği
belirtilmiş.
Genelge bu haliyle daha önce yayınlanmış “Kamu Kurumların Uyması Gereken
Asgari Kriterler” başlığında Ulaştırma Bakanlığı tarafından yayımlanan kadar
teknik konulara girmemiş. Daha ziyade yönetim kadrosunun anlayabileceği
dilden yazılmış. Bu haliyle, en azından kamu kuruluşlarının bu konudaki
farkındalıklarını artırmaya faydası olacak gibi duruyor.

2019’un İlk Çeyreğinde
23 Milyon Kredi Kart Bilgisi
DarkWeb’de
Siber güvenlik firması Sixgill’in raporuna göre 2019’un ilk çeyreğinde
internetin yeraltı pazarında satışa çıkan kredi kartı sayısı 23 milyonu buldu.
“Yeraltı finans sahtecilik raporu” (Underground financial fraud report) isimli
rapor Dark Web’de bulunan çalıntı finansal veriler hakkında ilginç bilgiler
içeriyor.
Çalıntı ya da illegal yollardan ele geçirilen kredi kartlarının satışı uzun yıllardır
popüler. Yeni yayınlanan bu rapor ise kredi kartı çalınması olaylarının ne denli
organize, sistematik ve büyük miktarda olduğunu ve çalıntı kredi kartı
bilgilerini satın almak isteyen kişiler için bu bilgilere erişmenin ne kadar kolay
olduğunu gösteriyor.

Ülkesel bazda bakıldığında çalıntı kart bilgilerinin en büyük kısmının
Amerika’dan olduğu görülebiliyor (yaklaşık 15 milyon kişinin kart bilgileri
çalınarak toplam rakamın üçte ikisini (%64.49) Amerikalılar oluşturmuş).
Çalıntı kredi kartlarının ikinci sıradaki kaynağı ise İngiltere. Rusya ise sıfıra
yakın bir rakam ile ilgi çekiyor (23 milyon çalıntı kartın yalnız 316 tanesi
Rusya’dan.)
Rakamlara bakılarak Rusya’nın toplamda %0.0014 gibi bir rakam ile kredi kartı
sahibi olma konusunda en güvenli ülke olduğu gibi bir sonuca varılabiliyor.
Ancak rapora göre Rusya’nın bu denli güvenilir görünmesinin farklı nedenleri
var: Bu bilgilerin peşinde olan organize siber suç gruplarının büyük çoğunluğu
Rusya’dan ve kendi vatandaşlarının mali bilgilerini çalmaları ve yakalanmaları
durumunda onları bekleyen ağır cezalar da yeterince caydırıcı. Bir diğer
önemli etken olarak ise Rusya’nın ekonomik durumu ve Amerika’ya göre
düşük kalan gayri safi yurtiçi hasılası olarak belirtilmiş (GDP’nin Amerika’nın
yaklaşık altıda biri olması siber suçlular için Amerika pazarını çok daha değerli
hale getiriyor.)
Kredi kartı sahtekarlıklarının Amerikalı tüketicilere faturası yılda yaklaşık 12
milyar dolar.
Bir başka deyişle çalıntı kredi kartı bilgilerinin illegal yollarla kullanımı popüler
perakende ve çevrimiçi işletmelerin çoğunu ciddi şekilde geride bırakarak en
büyük uluslararası “iş”lerden bir tanesi haline gelmiş durumda.
Visa, Mastercard ve AMEX en büyük kredi kartı firmaları ve bunların arasında
hırsızlıklar için en az tercih edileni AMEX (American Express). Visa ise %57 gibi
bir oranla siber hırsızlıkta en çok tercih edilen kredi kartı olarak tespit edilmiş.
Çalınan kredi kartı için DarkWeb’de talep edilen tutarlar 5 dolara kadar
düşebiliyor ancak fiyatlar bilginin kalitesine bağlı olarak değişiyor. Düşük
bedeller ile satılan kredi kartı bilgileri genellikle toplu halde satılan ve binlerce
potansiyel numaranın klon kart ile fiziksel alışveriş yapılmasında
kullanılabilecek olanlar.

En değerli olanlar ise kredi kartlarının arkasında yer alan 3 haneli numarayı
(CVV) içerenler çünkü bu rakamlar çalıntı kredi kartı bilgilerini hemen
kullanılabilir hale getiriyor.İsim, kart numarası, CVV kodu ve son kullanma
tarihi bilgilerinin tamamı ele geçirilen bir kart ile dolandırıcılar ister fiziksel
ister çevrimiçi olarak dilediği gibi alışveriş yapabiliyor.
Kredi Kartı Bilgilerimizi Nasıl Çalıyorlar?
Kredi kartı bilgilerini çalmak için birçok farklı teknik ve teknoloji kullanılıyor.
Bankamatiklere yerleştirilen kart kopyalama cihazları, restoranlarda
çalışanların kullandığı tespit edilen ve ödeme esnasında kartı kopyalayabilen
basit ama güçlü cihazlar, bilgisayarları enfekte ederek veya zararlı yazılımlar
yoluyla bilgisayar sahibinin kart bilgilerini çalan siber suçlular ve büyük
firmaların ağlarına sızarak tek seferde milyonlarca kredi kartı bilgisini çalan
saldırganlar teknoloji ilerledikçe kendilerini geliştirerek bu kârlı dolandırıcılık
için her yöntemi denemeye devam ediyor.
Çalıntı kredi kartı bilgilerinin alıcıları ve satıcıları chat siteleri üzerinden
konuşarak anlaşıyor, alıcılar kart bilgilerinin doğruluğunu ölçmek için ufak bir
ödeme karşılığında kart bilgilerinin bir kısmını alıyor ve kullanılabilirliğini test
ediyor. Hatta IRC (Internet Relay Chat) kanallarından bir tanesinde otomatize
edilmiş bir bot aracılığı ile kart bilgilerinin doğruluğunu hemen denemek bile
mümkün.
Rapora göre bu bot hizmeti 2019’un ilk yarısında 425.000 kere
kullanılmış.Dark Web illegal şeylerin satışı için her daim popüler bir yer oldu
ancak emniyet güçleri peşlerinde olduğundan birçok platformun başarıyla
kapatıldığına şahit olduk. Buna karşılık siber suçlular da her zamanki gibi yeni
yöntemler buluyor. Rapora göre illegal işlerin yeni mecrası IRC ve şifreli
Telegram kanalları olmuş.
Kredi Kartı Bilgilerimizin Çalınmaması için Ne Yapmalıyız?
Kredi kartlarımızın çalınması iki yöntemle gerçekleşiyor: Fiziki olarak çalınması
(kartın kopyalanması) ve sanal olarak çalınması.

Fiziki olarak kart kopyalanması kartımızı ödeme için teslim ettiğimiz restoran
veya ATM gibi yerlerde olabiliyor. Bunun için ödeme yaparken gözümüzü dört
açmak ve kartın nerede kullanıldığına mutlaka bakmak gerekli. ATM’lerde ise
hiç yapılmayan ancak yapılması şart olan tuş takımını ve kartı taktığımız
yerleri kontrol etmek, tuş takımını kaldırmaya veya kartın takıldığı yerin çıkıp
çıkmadığına bakmak. ATM’nin nasıl kontrol edilmesi gerektiğine dair “card
skimming” yazarak yapacağınız bir Youtube araması ile birçok farklı çeşidini
incelemeniz mümkün.
Kredi kartlarımızın sanal olarak çalınmaması ve bu haberde olduğu gibi 23
milyon kart bilgisinin içerisinde yer almaması için ise internetten alışveriş
yaparken mutlaka sanal kart kullanmamız gerekiyor. Böylece çalınsa bile
sanal kartımız çalınacağı riske attığımız tutar sanal kartta tuttuğumuz tutar
kadar olacaktır. Sanal kartta para bulundurmak zorunda da değiliz elbette,
alışveriş yapacağımız zaman yükleme yapıp sonrasında kartta para
bulundurmamak da bir seçenek. Diğer bir yöntem kredi kartımızı internet
alışverişine kapatıp yalnız kullanacağımız zamanlar açmak ve işimiz bittiğinde
tekrar kapatmak.
İnternet alışverişleri için bir limit belirlemek, kart ile alışveriş yapıldığında cep
telefonumuza mesaj gelmesini istemek ve tüm kredi kartı ekstrelerimizi de
inceleyip bilgimiz haricinde bir alım olup olmadığını kontrol etmek de diğer
önemli adımlar.
Bir şekilde kredi kartı bilgilerimizin ele geçirildiğini düşündüğümüzde ise
yapılacak şey derhal bankamızı bilgilendirmek ve kart değişikliği talep etmek.

Kredi Kartlarına Çevrimiçi
Güvenlik için Basit ama Etkili
6 Yöntem
Siber suçluların genellikle bir adım önde olduğunu biliyor ve söylüyoruz.
Onlar buluyor, biz engelliyoruz, onlar başka bir yol buluyor şeklinde devam
eden bir döngüdeyiz. Öngörülü olup onlardan önce bulmaya, tespit etmeye,
engellemeye yönelik çalışmalar sürekli olarak yapılıyor ancak gittikçe daha
da gelişen ve “sofistike” denilen saldırılar ile pek çok farklı yöntem
geliştirerek saldırmaya devam ediyorlar çünkü çok kârlı!
Pek çok farklı siber suçtan bir tanesi kimlik ve kredi kartı hırsızlıkları. "2019
yılının ilk çeyreğinde 23 milyon kredi kartı verisi DarkWeb’de" isimli yazıda
kredi kartı hırsızlıklarının Amerikalılara faturasının yaklaşık 12 milyar dolar
olduğundan bahsetmiştik.
Özellikle çalınan kartın fiziksel olarak bulunmadığı yani çevrimiçi olarak
kullanıldığı durumlarda %40 oranında bir artış olduğu görülmüş.

Siber suçlular tek tek kart bilgisi çalmaktansa genellikle binlerce hatta
milyonlarca veriyi tek seferde çalabilecekleri operasyonları tercih ediyor.
Toplu halde veri çalabildikleri için de hedef genellikle kartlarımızı emanet
ettiğimiz kuruluşlar oluyor.
Kuruluşlar kurban seçildiğinde elimizden gelen bir şey yok gibi görünse de
bireysel olarak alabileceğimiz önlemlere bir göz atmakta fayda var:
Her şeyin başında elbette “uyanık olmak” geliyor. Şüphe ile yaklaşmak
standart bir internet yaklaşımı olmak durumunda. İnsanlara, web sayfalarına,
ilanlara, alışveriş sayfalarına, sosyal medyada gördüklerimize, aslında tüm
internete her daim şüphe ile yaklaşmayı başarabilirsek birçok tatsız olayın da
önüne geçebileceğiz. Şüpheli link ve e-postalar, SSL sertifikası bulunmayan
web sayfaları, SSL sertifikası bulunmasına rağmen ters bir şeyler olduğunu
düşündüren web sayfaları ve “gerçek olamayacak kadar iyi” gibi duran her
şeyden uzak durmamız bizi ilk adımda koruyacaktır.
Örneğin, aşağıdaki ilk resimde 390TL yerine 129TL’ye düştüğü iddia edilen
kahve makinası reklamı, ikinci resimde ise bu "aşırı avantajlı" kampanyadan
yararlanmak için sipariş verenlerin eline geçen kahve makinası ve bir küçük
soğuk su görülebiliyor.

Ücretsiz Wi-Fi Sandığınız Kadar Ucuz Değil!
Bunun dışında yapılması gerekenler aşağıdaki gibi sıralanabilir:
1.
Bu konuda sıklıkla uyarı yapmaya çalışıyoruz, ücretsiz Wi-Fi’ın bir bedeli var ve
farkında olmadan bunu ödemek zorunda kalabilirsiniz. Kredi kartı
bilgilerinizin istemediğiniz birilerinin eline geçmesi de bu bedeller içerisinde
olabilir. Kafe veya otel lobisi gibi açık ağlardan internete bağlandığınızda bir
hırsızın hedefi olma ihtimaliniz hem yüksek hem de çok kolay. Eğer
bağlanacaksanız da müzik dinlemek veya bir şeyler izlemek için kullanmanızı
ancak sosyal medya hesaplarınıza girmek, e-posta parolanızı yazmak, uzak bir
bilgisayara (iş yerinize mesela) veya banka hesaplarınıza erişmek için ASLA
kullanmamanızı öneriyoruz. Yani; o anda karşınıza çıkan hayatınızın en
avantajlı kampanyası olsa bile onu almak için güvenli bir ağa bağlanmayı
bekleyin.
2. Kredi Kartı Ekstrenizi Düzenli Olarak İnceleyin.
Son yaptığınız harcamaları ve aylık harcamalarınızı denetlemek bilginiz
dışında kartınızın kullanılmış olabileceği durumları erken tespit etmek için
oldukça gerekli bir yöntem. Siber suçlular genellikle ufak tutarlarda ve dikkat
çekmeyecek alışverişlerde kullandıkları kart bilgileri ile bu hırsızlıkları uzun
süre devam ettirebiliyor.
3. Parolanızın Kolay Hatırlanması Değil Zor Ele Geçirilmesi Önemli!
Evet çok fazla parola kullanmamız ve hepsini hatırlamamız, her birinin
birbirinden farklı olması ve zor olması gerekiyor ve bu can sıkıcı. Ancak siber
suçlular bir tane internet sayfasındaki verileri ele geçirirse ondan sonra
diğerlerini aynı kullanıcı adı ve parolalar ile deneyerek tüm hesaplarınızı ele
geçirebiliyor. Bu sayfalardan bir tanesinde kart bilgileriniz kayıtlı duruyorsa o
da artık hırsızların eline geçiyor ve sıkıntı başlıyor.
4. Bazı bilgileriniz size özel kalsın!
Sosyal medya hesaplarınızda kendiniz hakkında verdiğiniz bilgilerin direkt
olarak kredi kartı verilerinizin çalınması ile alakası yok gibi görünebilir ancak
aslında bu bilgiler siber suçluların işlerini çok kolaylaştırıyor.
Doğum tarihiniz, yaşadığınız şehir, doğum yeriniz, okuduğunuz okullar,
tuttuğunuz takım ve buna benzer birçok bilgi parola tahminleri için
kullanılabiliyor.

Javelin Strategy’nin araştırmasına göre sosyal medyada aktif olan kişilerin
hesaplarını çaldırma ihtimali diğerlerinden %46 oranında daha fazla. Gizlilik
ayarlarınızı mutlaka gözden geçirin ve sizinle ilgili bilgileri sadece ve yalnızca
sizin istediğiniz kişilerin görebildiğinden emin olun.
5. Kademeli Kimlik Doğrulaması Kullanın.
Bir süre önce “iki kademeli kimlik doğrulaması” diyorduk ama bu da yetmedi
çünkü SMS mesajlarını da ele geçirmeye ve bunun da sahteciliğini yapmaya
başladılar. Size gelen mesajları okuyabiliyor veya siz görmeden kendilerine
alıp sizin fark etmemenizi sağlayabiliyorlar. Bu nedenle artık “çok faktörlü
kimlik doğrulaması” öneriyoruz. Ancak en azından iki kademeli kimlik
doğrulamasının tüm hesaplarımız için mutlaka kullanılması şart. Bir
hesabınıza daha önce kayıtlı olmayan bir cihazdan erişim sağlandığında e-
posta ile uyarı gönderilmesini de isteyebilirsiniz.
6. 3D Güvenlik Doğrulamalarını kullanın.
Böylece her online alışverişinizde cep telefonunuza gelecek ekstra bir PIN
girmeniz gerekecektir. MasterCard’ın SecureCode’u ve VISA’nın benzer bir
uygulaması bulunuyor.
%100 güvenlik diye bir şey maalesef yok ancak en azından elimizden geleni
yaptığımız takdirde kredi kartı borcumuzun bize ait olmayan satın almalar ile
dolmadığını görme ihtimalimiz yükseliyor.

Kuruluş İçi Tehditlerden
Nasıl Korunuruz?
(Trend Micro
Dolandırıcılığı)
Teknik destek personeli gibi davranarak yapılan telefon dolandırıcılıkları çok
uzun zamandır hayatımızda.
Bu yöntem yani teknik destek personeli gibi davranmak genellikle rastgele
teknik veriler kullanarak kullanıcıların bilgisayarlarına ve/veya kredi kartlarına
erişim için kullanılıyor ancak bu defa Trend Micro müşterileri bu
dolandırıcılığın oldukça gelişmiş bir versiyonu ile karşılaştı.
Trend Micro müşterileri bilindik Windows dosya adlarının kullanılmasından
daha inandırıcı veriler ile arandı: isimleri, e-posta adresleri ve teknik destek
talebi için oluşturdukları ticket (bilet) numaraları dolandırıcılar tarafından
biliniyordu.

Firmanın kendi bloğunda yapılan açıklamaya göre 68.000 müşteriye ait
verileri çalan ve dolandırıcılara satan Trend Micro’nun kendi çalışanlarından
bir tanesiydi.
Çalınan veriler arasında, Trend Micro’nun tüketici güvenliği ürünlerini
kullanan kişilerin isim, e-posta adresleri, telefon numaraları ve Trend Micro
destek bileti numaraları bulunurken, finansal verileri çalınmamıştı.
Trend Micro sözcüsü yaptığı açıklamada Ağustos ayının başlarında bazı
tüketicilerin firmanın teknik destek hattı gibi davranan dolandırıcılar
tarafından arandığını fark ettiklerini, bu çağrılarda kullanılan bilgiler nedeniyle
güvenlik ekibi tarafından “koordineli bir saldırı” olduğundan şüphelenildiğini
söyledi.
Ekim ayında tamamlanan araştırma sonrasında ise veri sızıntısının kaynağı
tespit edildi. Firma çalışanlarından biri, müşteri destek verilerini indirmiş ve şu
anda tespit edilememiş bir üçüncü taraf dolandırıcıya satmıştı.
Etkilenen tüm müşterilere bilgi verildiğini belirten firma sözcüsü bu
müşterilerin dolandırıcılar tarafından kandırılıp kandırılmadığı konusunda
henüz bilgileri olmadığını söyledi. Yetkisiz hesap erişiminin devre dışı
bırakıldığı, söz konusu çalışanın işinin feshedildiği ve emniyet güçleri ile
birlikte çalışmaların devam ettiği de belirtildi.
Kuruluş içerisinde gerçekleşebilecek bu tip olaylardan
nasıl korunabiliriz?
Öncelikle şunu bilmek gerekiyor: Bu tür dolandırıcılık çağrılarına karşı kişisel
olarak en iyi savunma eğitim. Trend Micro veya benzeri teknoloji şirketleri,
bankalar, devlet kurumları veya emniyet sizi durduk yere arayıp sizden bilgi
talep etmez. Bu şekilde gelen bir telefonun neredeyse her defasında bir
dolandırıcıdan geldiğini düşünebiliriz. Emin olmadığımız takdirde hiçbir
verimizi ve bir şekilde emin olsak bile finansal verilerimizi kesinlikle
paylaşmamak gerekiyor.
Kurumsal olarak yapabileceklerimiz ise kullanıcılara yetki sınırlandırması
getirmek ile başlayabilir.

Örneğin, teknik destek personelinin hangi verilere erişebileceğini,
bilgisayarına indirebileceğini, mail atabileceğini veya ekran görüntüsü
alabileceğini sınırlandırmak bu gibi olaylar yaşanmasına engel teşkil
edebilecektir.
"Sans 20 Siber Güvenlik Kontrol Noktası" gibi dokümanlarda yer alan güvenlik
prosedürlerinin devreye alınması da mutlaka faydalı olacaktır.
Kuruluşunuza özel bir veri envanteri çıkartılması, yetki ve erişim matrislerinin
hazırlanması ve veri güvenliği odaklı bir denetim yapılması sadece bu ve
benzeri olayların yaşanmasını engellemekle kalmaz aynı zamanda KVKK
uyumu için ihtiyaç duyduğunuz bir çok noktayı kapsar.
Sparta Bilişim olarak veri odaklı güvenlik konusunda sizler için neler
yapabileceğimizi öğrenmek için bize hemen ulaşabilirsiniz.

Yeni Nesil Oltalama Saldırıları:
Lateral Phishing
Oltalama saldırıları hakkında sık sık yazıyoruz çünkü kuruluşlar ve tüketiciler
bu konuda bilinçlendikçe, siber saldırganlar da tekniklerini yeniliyor. Gittikçe
daha ileri seviye, karmaşık saldırılar düzenliyorlar ve bu saldırılara yakın
zamanda “lateral phishing” yani “yatay oltalama saldırıları” eklendi.
Oltalama saldırılarının başarısı ikna ediciliğine bağlı ve Lateral Phishing adı
verilen bu yeni teknik oldukça ikna edici, buna bağlı olarak da başarı
kazanıyor.
Oltalama Saldırılarının Kaynağı Ne?
Bu yıl içerisinde yaşanan veri ihlalleri ile milyonlarca kişinin kişisel verileri
açığa çıktı. E-posta adresleri, doğum tarihleri, isimler ve diğer hassas veriler
siber saldırganların eline geçti. Böylece saldırılarında kullanabilecekleri
büyük bir kaynağa da toplu halde erişmiş oldular.

Siber suçlular, elde edebildikleri tüm bilgileri kullanarak kurbanlarını daha
kolay kandırmanın peşinde.
Lateral Oltalama Saldırısı Nedir?
Bildiğimiz Oltalama Saldırılarından Farkı Ne?
Bilindik oltalama saldırılarına benzer şekilde, lateral oltalama saldırısı da
hassas verilere erişme maksadı taşıyor ve kurbanın kimlik bilgilerini çalmaya
yönelik gönderilen bir e-posta ile başlıyor. Ancak iki saldırı methodu arasında
çok önemli bir fark var: Lateral oltalama saldırısında kuruluş içerisinde bir
kişinin yasal e-postası hali hazırda ele geçirilmiş oluyor ve saldırılar bu e-posta
adresi kullanılarak yapılıyor.
Bu saldırılarda e-posta adresi ele geçirilerek dolandırıcılık için kullanılan kişiler
arasında stajyerden CEO’ya kadar pek çok örnek mevcut. Ve bu kişilere ait e-
posta adresleri kullanılarak kuruluştaki diğer hedeflere yönelik saldırılar
düzenlendiği tespit edilmiş.
Lateral Oltalama Saldırıları Neden Çok Etkili?
Lateral oltalama saldırıları çok etkili çünkü siber saldırganlar kurbanlarının
tanıdığı birini (kuruluş içerisinden bir kişiyi) taklit ederek e-posta gönderiyor.
Kurbanın, kuruluş içerisinde tanıdığı birinden geldiğini düşündüğü bir e-
postadan şüphelenmesi ihtimali çok düşük ve bu nedenle de saldırılar başarı
kazanıyor.
Gelişmiş lateral oltalama saldırıları doğrudan bilinen bir e-posta
göndericisinden ve inandırıcı içerikler ile geliyor.Maalesef bu saldırılar kişisel
verileri olduğu gibi gizli kuruluş bilgilerini de ele geçirmek için kullanılabiliyor
ve hem çalışanları hem kuruluşu ciddi bir risk altında bırakıyor.
Kuruluşlar Önlem için Ne Yapabilir?
Kuruluşların verilerini korumak ve lateral oltalama saldırılarına engel olmak
için uygulamaları gereken bazı yöntemler şöyle:

1. E-posta sağlayıcının kendi güvenlik önlemleri: Kendi içerisinde güvenlik
tedbirleri bulunan bir e-posta sağlayıcı ile çalışın. Gelişmiş e-posta filtreleme,
zararlı URL ve ekleri engelleme ve kuruluş dışından gelen şüpheli e-postaları
işaretleme gibi güvenlik önlemlerinin alındığından emin olun. Her ne kadar bu
özellikler “atlatılamaz” olmasa da, oltalama saldırılarının çoğuna engel
olabilecektir. Siber saldırganların meşru olanlardan neredeyse ayırt
edilemeyecek denli iyi hazırlanmış e-postalar ve gelişmiş yöntemler ile
saldırdığı düşünüldüğünde, kuruluşu korumak için bundan fazlasına ihtiyaç
duyulacağı kesin, ancak bir ilk adım olarak mutlaka ihtiyaç var.
2. Şüpheli girişleri tespit etme yeteneği olan güvenlik çözümlerini kullanın ve
bir veri ihlali yaşamadan önce önleminizi alın: Bu güvenlik çözümleri; kullanıcı
bilgilerini doğrulama, olası izinsiz girişleri veya giriş denemelerini tespit etme,
iki veya daha çok kademeli kimlik doğrulaması (multi factor authentication)
yapma gibi güvenlik önlemlerinin alınmasını sağlayabilir ve bir siber
saldırganın hesaplara erişimini gerçek zamanlı olarak sınırlandırabilmektedir.
Örneğin bir kuruluş çalışanının kimlik bilgilerinin aynı anda birden fazla
lokasyonda giriş yapmak için kullanıldığını fark edebilecektir. Lateral oltalama
saldırılarının ne denli tehlikeli olabileceği düşünüldüğünde bu gibi güvenlik
çözümleri de ciddi derecede önem kazanmaktadır.
3. Yılda bir kere, bir kaç saatliğine alınabilecek bir eğitim ile fark yaratın: Her
siber güvenlik öneri listesinde olduğu gibi kilit nokta yine çalışanlara verilecek
olan eğitimler. E-posta güvenliği de bu eğitim konuları içerisinde en
önemlilerinden bir tanesi. Doğru güvenlik önlemlerinin, kontrollerinin veya
teknolojilerinin alınması mutlaka gerekli ancak tek başına yeterli
olmuyor.Siber güvenliği bir kuruluş kültürü haline getirmek, çalışanları
özellikle oltalama saldırıları hakkında eğitmek ve lateral oltalama saldırıları
gibi güncel saldırılardan da haberdar etmek çok önemli. Çalışanların bir e-
postadan hangi durumlarda şüpheleneceğini, böyle bir e-posta aldığı
takdirde ne yapması gerektiğini, her bir çalışanın kuruluş siber güvenliği için
kendi kilit rolünü anlamasını sağlamak en başta gelen önlem olarak
düşünülebilir.

Kuruluşlarda Veri Güvenliği için
5 Kolay Yöntem
Kuruluşlarda veri güvenliği nedir sorusunun cevabını ve uygulanması
gereken kolay ama etkili 5 yöntemi bu yazıda bulabilirsiniz.
Veri Güvenliği Nedir?
Kuruluşunuzun en önemli değerlerinden biri olan verilerinizin tamamını bir
anda kaybetmenize neden olabilecek yüzlerce farklı siber saldırı yöntemi
var. Bu nedenle siber güvenlik dendiğinde veri güvenliğinin önemi en başta
geliyor.
Düşünün; bir sabah işe geliyorsunuz ve bilgisayarlarınızda veya şirket
genelinde verilerin hiçbirine ulaşamaz durumdasınız. İş akışınızın durması,
üretimin yapamamanız, müşteri bilgilerinizi kaybetmeniz, çalışanlarınızın
verilerinin çalınmış veya kaybolmuş olması, finansal bilgilerinizin açığa
çıkmış olması gibi sayılabilecek pek çok felaket ile bir anda karşılaşmak
aslında an meselesi.

Kuruluşların kendisini koruyabilmesi için yapması gereken çok iş var ancak
kolay uygulanabilir ve etkili olabilecek yöntemlerin bir kaçını sıralamaya
çalışacağız.
Veri güvenliği nedir ve nasıl sağlanır sorusunun birden fazla yanıtı var:
Güvenlik mimarisinin doğru kurgulanması, VPN kullanılması, veri
yedeklemelerinin alınması, bilgisayarların güncellemelerinin yapılması ve
kuruluş çalışanlarının farkındalığının artırılması öncelik verilmesi veri güvenliği
için gerekenler.
Güvenlik Mimarisinin Doğru Kurgulanması
Fidye yazılımı saldırıları büyük/küçük kuruluş ayrımı yapmadan veba salgını
gibi yayılıyor. Bu saldırılara karşı etkin bir güvenlik mimarisi kurgulamak
verilerimizin güvenliğini sağlamak için yapılması gerekenlerin başında geliyor.
Zararlı yazılımların bilgisayarlarınıza bulaşmasını engellemek çoğu zaman
bunların bulaşmasının ardından temizlemeye çalışmaktan çok daha kolaydır.
Eğer bir fidye yazılımı saldırısına maruz kalındıysa ve öncesinde verilerin
yedekleri alınmadıysa, çoğunlukla yapılabilecek bir şey kalmıyor.
Bugüne kadar destek verdiğimiz yüzlerce olayın çok azında elimizdeki araçları
kullanarak verileri kurtarabildik. Kalanında ise, ne yazık ki şifrelenen verileri
kurtarmak mümkün olmadı.
Kuruluşların güvenlik mimarisini oluşturmak bir miktar yatırım gerektirse de
sizi beklemediğiniz ve çok daha büyük olacak maliyetlerden kurtarabileceği
kesin. Bu nedenle, doğru bir güvenlik duruşunun kurgulanması için
danışmanlık alabilir, mevcut durumunuzu ve eksiklerinizi anlayabilmek için
sızma testi yaptırabilir, siber sigorta yaptırarak kendinizi güvence altına
alabilirsiniz.
Veri Güvenliği için Hangi Programları Kullanmalı?
Evde veya işyerinde kullandığınız her bilgisayarda bir antivirüs yazılımı
bulunmalıdır. Antivirüs yazılımlarının etkinliği tartışılsa bile bu ellerimizi
yıkamak gibi, basit bir hijyen kuralı olarak düşünülmelidir.

DLP (Data Loss Prevention) kullanılması: Bu yazılımların amacı
bilgisayardan dışarıya veri sızmasını engellemektir. DLP çözümlerinin %100
etkili olmadığı hatırlanmalıdır, görevleri daha ziyade verilerin yanlışlıkla
dışarıya gönderilmesini engellemektir.
USB bellek kullanımını denetleyecek bir uygulamanın kullanılması: Bu
görevi üstlenebilen çok sayıda antivirüs ve DLP çözümü mevcut. Hangisinin
kullanılacağı kuruluş özelinde değerlendirilmelidir.
Kullanıcı yetkilerini denetleyecek bir çözüm (Account Management veya
Privileged Account Management uygulamaları) kullanılması: Hangi
kullanıcının, bilgisayar veya uygulama üzerinde hangi işlemleri yapabileceğini
yöneten ve denetleyen bu uygulamalar sayesinde siber saldırganların verilere
erişimi de zorlaşmaktadır.
Bu liste kuruluşunuzun veri güvenliği konusundaki ihtiyaçları ve karşı karşıya
olduğu risklere bağlı olarak uzatılabilir.
VPN Kullanımı
Satış personeli veya yöneticiler gibi, kuruluş sistemlerine dışarıdan
bağlananlar varsa, VPN yani Virtual Private Network kullanımı kuruluşun
genel güvenlik seviyesini destekleyecek önemli bir bileşendir. VPN kullanımı
esnasında iletişim şifrelenerek kuruluş verilerinin güvenliği sağlanabiliyor.
Burada dikkat edilmesi gereken önemli iki nokta var;
1. VPN bağlantısının güvenilir olması. İnternette bulunabilen ücretsiz VPN
hizmetlerinin kullanılması yağmurdan kaçarken doluya tutulmaya neden
olabilir.
2. VPN iletişimi şifreler ancak sizi zararlı yazılım içeren web sayfalarından veya
uygulamalardan korumaz.
Her zaman yedek alın
Basit ve etkili bir yöntem. Tüm güvenlik önlemlerini almış da olsanız yine de
veri kaybı yaşanması söz konusu olabilir. Düzenli ve gerektiğinde kullanılabilir
yedekler alınması ihtiyaç anında verilerin kurtarılmasına imkan verir.

Sadece siber saldırılar değil, doğal afetler, kullanıcı hataları veya teknik
arızalar gibi pek nedenle veri kayıpları yaşanabilmektedir. Yedeklerin sadece
şirket içerisinde başka bir sisteme alınması günümüzde yeterli değildir. Bulut
üzerinden bu konuda hizmet alınması, şirket dışında tutulan veya yedekleme
işlemi tamamlandıktan sonra şirket dışına çıkartılan ortamlara da yedek
alınması çok önemlidir.
Bilgisayarlarınızı Güncel Tutun
İstatistiklere göre, siber saldırıların %80’inden fazlası basit bir güncellemeyle
giderilebilecek güvenlik açıklarını hedef alıyor. Geçtiğimiz yıllara dünya
genelinde yaşanan ve Türkiye’de de pek çok şirketi etkileyen Wannacry fidye
yazılım salgını bu konuda verilebilecek örneklerin başında geliyor. Microsoft
tarafından Mart ayında yayımlanan bir güncellemeyle giderilen güvenlik
açığını hedef alan Wannacry, Mayıs ayında ortaya çıkmıştı. Dünya genelinde
yüzbinlerce bilgisayarı etkileyen ve milyonlarca dolar hasara neden olan bu
saldırı, eğer güncellemeler zamanında yapılsaydı kimseyi etkilemeyecekti.
Kullanılan bilgisayarların lisanslı ve düzenli olarak güncellenen bir işletim
sistemi kullanması bu nedenle çok önemlidir.
Çalışanlarınızı Veri Koruma Konusunda Bilgilendirin
Sadece siber saldırıların değil, internet ortamında yapılan dolandırıcılıkların da
önemli bir kısmında kuruluş çalışanları ve bireyler hedef alınıyor. Bilgisayar
kullanıcısını kandırarak bir bağantıya tıklamalarını veya bir dosya indirmelerini
amaçlayan bu saldırılara oltalama (phishing) saldırısı denir. Bu saldırılarla
mücadele edebilecek teknik bir çözüm ne yazık ki yoktur. Bu nedenle
bilgisayar kullanıcılarının dikkatli olması ve tuzağa düşmemeleri çok
önemlidir. Kuruluş personelinin düzenli olarak bu tehditler konusunda
bilgilendirilmesi saldırıların etkilerini ciddi oranda azaltabilmektedir.

Çalışanların bilgi sahibi olması gereken konu başlıkları:
- Zararlı olabilecek web sayfalarının, bağlantıların, reklamların ve e-postaların
nasıl tespit edilebileceğine dair ipuçları,
- Bilgisayarlara gelen güncellemelerin yapılmasının önemi,
- Veri güvenliği konusunda yedeklerin önemi ve bu yedeklerin nasıl alınması
gerektiği,
- Şirket dışına veri sızdırmak için kullanılan yöntemler ve bunların tespit
edilmesini sağlayacak ipuçları,
- Dolandırıcıların kullandığı veya yeni kullanmaya başladığı teknikler.
Söz konusu bilgisayar sistemleri olduğunda %100 güvenlikten söz etmemiz ne
yazık ki mümkün değildir. Siber saldırıların izlediği trend incelendiğinde ise
saldırganların büyük/küçük ayrımı yapmadan bütün şirketleri hedef aldıkları
açıkça görünebilmektedir. Bu nedenle siber güvenlik ve veri güvenliği
konusunda tedbirlerin alınması ve bu tedbirlerin etkinliklerinin düzenli olarak
denetlenmesi büyük önem taşır.
Gördüğünüz gibi veri güvenliği nedir sorusunun birden fazla yanıtı ve bu yazı
ile çözülemeyecek kadar uzun bir süreci var. Tamamen güvende olmak
mümkün olmasa da farkındalık yaratmak, önlem almak, basit ancak etkisi
büyük olabilecek bu uygulamaları hayata geçirmek büyük farklar yaratabilir.
Veri güvenliği konusunda danışmanlık ve eğitimlerimiz hakkında bilgi almak
isterseniz bize sparta@sparta.com.tr mail adresimizden ulaşabilir, siber
güvenlik ile ilgili verdiğimiz tüm hizmetlere Sparta Bilişim web sayfamızdan
göz atabilirsiniz.

İş Dünyasının Salgını: Business
E-mail Comprimise ve
Korunmak İçin 6 Basit Yöntem
İş e-postasının ele geçirilmesi (Business E-mail Comprimise – BEC) olayları
en az oltalama saldırıları kadar sık karşımıza çıkmaya başladı ve kuruluşların
en büyük belalarından bir tanesi haline geldi.
BEC Nedir?
FBI, Business Email Compromise’ı (BEC), yabancı tedarikçilerle çalışan
işletmeleri ve düzenli olarak banka havalesi ödemeleri yapan işletmeleri
hedefleyen karmaşık bir dolandırıcılık yöntemi olarak tanımlamaktadır.
Yetkisiz para transferleri yapmak için resmi ticari e-posta hesaplarının
kullanıldığı bu yöntem ile FBI’ın İnternet Şikayet Merkezi IC3 raporuna göre
Ekim 2013’ten Mayıs 2018’e kadar kuruluşların bu şekilde kaybettiği toplam
tutar 12.5 Milyar Dolar yani yaklaşık 68 Milyar 288 Milyon TL.
Küresel olarak bakıldığında ise, siber suçluların ABD dışındaki ülkelerdeki
kurbanlardan 50 milyon dolar çaldığını görüyoruz.

Rakamlar öyle büyük ki insan düşünürken bile zorlanıyor ancak aynı zamanda
konu hakkında acil ve ciddi önlemler alınması gerektiğini de açıkça gösteriyor.
E-posta yoluyla kuruluşlar arası dolandırıcılık yapan kişiler gittikçe
profesyonelleşirken, aynı şekilde çalışanların da bu saldırılar konusunda
mutlaka iyi eğitim alması ve bilgilendirilmesi korunmak için en başta alınacak
önlem.
Birçok kuruluş siber güvenlik farkındalığı programlarına BEC konusunun
eklenmesini de dikkate almaya başladı. İş e-postasının bir başkası tarafınca
ele geçirilmesi veya taklit edilmesi konusu genellikle sosyal mühendislik
saldırılarının oltalama e-postaları, telefon veya her ikisinin birleşimi ile hassas
dosyaların ele geçirilmesi, kişilere hatalı banka transferleri yaptırılması
şeklinde gerçekleşiyor.
Hazırlıklı olmak, nasıl yanıt verileceğini bilmek veya en az zarar ile kurtulmak
için alınabilecek ilk akla gelen 6 önlem ise şöyle:
1. Herkesin BEC konusunda bilgisi olduğunu varsaymayın
Social-Engineer Inc. firmasının kurucusu Chris Hadnagy güvenlik uzmanlarının
genellikle herkesin BEC’nin ne olduğunu bildiğini zannettiğini söylüyor ancak
maalesef durum böyle değil. Birçok kuruluş çalışanı oltalama saldırısı
(phishing) ile hedefli oltalama saldırısının (targeted spear phishing) arasındaki
farkı bilmiyor, bir de bunların üzerine eklenen “vishing” kavramı var yani
BEC’lerin sesli olarak yapılanı. Hatta saldırganların tüm yöntemleri birlikte
kullanarak, gönderdikleri sahte e-posta üzerine telefonla da arayıp çalışan
üzerinde hızla baskı kurarak istedikleri transferi yaptırdıkları durumlar da söz
konusu.Kuruluşlar mutlaka çalışanlarını bu konularda bilgilendirmeli, bu
tehditler ve çeşitleri konusunda yeterli bilgiye sahip olmalarını sağlamalı.
2. Kuruluş çalışanlarının BEC yaşanan durumlarda korkmadan, hemen
rapor etmelerini sağlayabilecek bir ortam yaratın
Çalışanlar BEC sebebiyle dolandırıldıklarında işlerini kaybetmek, kanunla ilgili
başlarının belaya girmesi gibi hususlarda korku duymamalı. Açık bir iletişim
ortamı yaratılması, kime ve nereye bilgi/rapor verileceğinin bilinmesi ve hatta
çalışanların pozitif şekilde ödüllendirilmesi daha sonra yaşanabilecek benzeri
durumlar için önem kazanıyor.

Sosyal mühendislik saldırılarını tespit eden ve durduran çalışanlara maddi bir
ödül ile karşılık verilmesi durumunda kuruluşlara binlerce dolarlık fayda
sağlanabildiği tespit edilmiş. Kuruluş içerisinde herkesin yaşanan olayı ve
BEC’yi durduran personeli duyacağı bir e-posta gönderilmesi veya herkese
açık bir toplantı yapılarak duyurulması da etkili oluyor.
BEC sebebiyle dolandırılan bir çalışanı işten çıkartmak ise her zaman son çare
olmalı.
Mimecast firmasının siber güvenlik iş geliştirme stratejisti Bob Adams, bir
çalışanın BEC’ye bir kereden fazla mağdur olması durumunda ise bunun bir
yaptırımı olması gerektiğine inanıyor. Çalışanı görevden almanın son çare
olması gerektiğini ancak bu kişinin yoğun bir ek eğitim alması ve uyarı cezası
alması gerektiğini söylüyor. Bu çalışanın ikinci kere kurban haline geldiği
durumda, o kuruluşun çalışanlarına yeterli eğitimi vermediği için kendini de
suçlaması gerektiği bir gerçek.
3. BEC eğitimi için uzun dönem planları yapın
Social-Engineer Inc. firmasının kurucusu Hadnagy kuruluşların BEC eğitimleri
için uzun dönem yatırım planı yapması gerektiğini vurguluyor. BEC
konusunun çalışanların eline bir check list vermek kadar kolay olmadığını,
gerçekten sonuç alabilmek için tutarlı bir eğitim sürecinin yapılması
gerektiğini de belirtiyor. Yalnızca eğitim videoları sunmak veya yazılı
materyallerin okunmasını sağlamak yerine aylık veya üç aylık dönemlerde
phishing ve vishing testlerinin yapılması, çalışanların birkaç ayda bir nasıl
performans gösterdiğine dair değerlendirilme yapılması gerektiğini de
belirtiyor. Bu uygulamayı hayata geçiren kuruluşların çalışanlarının bir ila üç
yıl içerisinde %70 oranında bir iyileşme göstererek BEC olaylarını rapor eder
hale geldiğini ve yalnız %10’undan oltalama saldırılarına yakalanan kişiler
olduğu belirtiliyor.
Eğitimler ve kurum kültürü açısından bu noktaya gelinmesinin zaman aldığı
bir gerçek. Genellikle test programlarına ilk başlandığında çalışanların %70’i
oltalama saldırı maillerine tıklıyor.
Mimecast firmasından Adams ise eğitimlerin her bir çalışanın gelişimi
konusunda da bilgi vermesi gerektiğini belirtiyor. Alınan puanlara göre
kuruluşlar hangi personelin en yüksek riski taşıdığını ve ekstra eğitime ihtiyacı
olduğunu bu şekilde tespit edebilecektir.

4. Politika ve prosedürler tanımlayın
Lastline firmasının yöneticisi Andy Norton, kuruluşta yeni bir personel
çalışmaya başladığında verilecek olan oryantasyon ve eğitim programı
dahilinde siber güvenlik farkındalığı konusunun yer alması gerektiğini ve
sosyal mühendislik tehditleri ve bunlar karşısında nasıl davranılacağının
belirlenmesinin önemini vurguluyor.
Kuruluşlar para transferlerinin nasıl ve ne zaman gerçekleşebileceği
konusunda da net prosedürler oluşturmalı, gerekli görülen durumlarda yalnız
e-posta ile değil telefonla da onay alınmalı.
Çalışanları para transferi yapılması istenen e-postalar sonucu acele hareket
etmemek konusunda eğitmek gerekiyor. Saldırganlar genellikle sahte bir
aciliyet durumu yaratarak kurbanları acele düşünmek, hatayı anlayamayacak
kadar hızlı davranmak konusunda zorluyor.
Önceden belirlenmiş ve spesifik iletişim politikaları da anahtar rolde.
Çalışanlar bir BEC saldırısı durumunda hangi IT personeli ile görüşeceklerini
bilmeli. Eğer büyük bir miktarda bir para kaybı söz konusuysa finans
departmanı ile iletişim kurularak yapılacak işlemler (örneğin polise veya
sigortaya haber vermek gibi) konusunda bir yol haritası çizmek gerekiyor.
5. Teknolojiden nasıl yardım alabileceğinizi öğrenin
Lastline’ın yöneticisi Norton, BEC’ler için hızlı bir sorun çözücü uygulama
bulunmamasına karşın bunları tespit edebilecek faydalı teknolojilerin
olduğunu belirtiyor.
Örneğin davranış analizi araçları, genellikle kullanıcı kimlik bilgilerini çalmak
amacıyla gönderilen, kötü amaçlı yazılımlar içeren e-postalardaki ekleri ve
URL’leri analiz edebiliyor.
Kuruluşların genellikle birden fazla güvenlik programı bulunuyor ancak
bunların mevcut tüm özelliklerinden gerektiği gibi faydalanılamıyor. Örneğin,
e-posta güvenlik programı bulunuyor ancak oltalama saldırıları ile ilgili
ayarları yapılmamış veya devreye sokulmamış oluyor. Farklı bir alet veya
program satın almadan önce elinizdeki mevcut araçların neler yapabildiğini
iyice öğrenmek bu nedenle önemli. Ayrıca kuruluşlar eğitim modülleri,
videolar, oltalama testleri ve bunlara ait raporlamalar için de teknolojiden
faydalanabilir.

6. Siber Sigortanız BEC saldırılarını kapsıyor mu kontrol edin
Birçok siber sigorta poliçesi kurbanın kandırılarak para transferi yaptığı
durumları kapsamıyor. Eğer sigorta firmanız BEC’i otomatik olarak
kapsamıyor ise bir avukat yardımıyla bunun da poliçeye eklenmesini talep
edin.

İş Süreçlerini Hedef Alan Siber
Saldırılar (BPC Nedir?)
İş e-postalarının ele geçirilmesi (Business E-mail Compromise – BEC)
konusuna zaman zaman değiniyoruz. Atlanmaması gereken bir diğer önemli
ve artan siber saldırı konusu ise İş Süreçlerinin Ele Geçirilmesi (Business
Process Compromise – BPC).
BPC olarak sınıflandırılabilecek siber saldırılar, siber saldırganların maddi
kazanç sağlamak amacıyla belirli iş süreçlerinin parçalarını veya bu süreçleri
gerçekleştirmeye yarayan sistemleri ele geçirmesi olarak açıklanabilir. Bu tür
saldırılarda, işletmelerin “normal” kabul edilen davranışlardaki değişiklikleri
kolay tespit edememesi en büyük sorundur. Saldırganlar, uzun süre kuruluş
sisteminde dikkat çekebilecek herhangi bir davranışta bulunmadan gizlenip
analiz yapabilir ve her zamanki sürece uyumlu bir şekilde saldırı
gerçekleştirebilir.

Bu türde saldırılarda, saldırganlar kendilerine hedef olarak seçtikleri
kuruluşun ağ yapısını, iç süreçlerin işleyişini, sistemlerini ve standartlarını
derinlemesine inceler ve anlamaya çalışır. Bu sayede, üretim işlemleri, satın
alma, hesap yönetimi, ödeme ve teslimat gibi iş akışlarına fark edilmeden
sızmayı başarabilirler.
BPC saldırılarında dikkat çeken örneklerden bir tanesini 2016 yılında
Bangladeş Merkez Bankası’nın 81 milyon dolar çaldırdığı olaydır. Siber
saldırganlar bu olayda, SWIFT sisteminin ve bağlı iş süreçlerinin nasıl çalıştığını
çok iyi kavradıklarını ve onu kullanan partner bankalardaki zayıf yanları tespit
edebildiklerini gösterdiler. Bankanın bilgisayar ağını istismar ederek,
transferlerin nasıl gerçekleştirildiğini takip edebilmişler ve yetkisiz işlemleri
gerçekleştirebilmek için bankanın kullanıcı bilgilerini çalmışlardı.
BPC ile ilgili olaylar sadece finansal işlemlerde yaşanmadı. 2013 yılında
Hollanda merkezli bir uyuşturucu çetesi ile siber saldırganlar işbirliği yaptı.
Belçika’nın Antwerp Limanı’ndaki liman yetkililerinin hesaplarını ve nakliye
şirketlerinin sistemlerini hedefli oltalama saldırıları ve zararlı yazılım
kullanarak ele geçirdiler. Konteyner teslim yerlerini ve teslim tarihlerini
değiştirdiler ve uyuşturucu yüklü nakliye konteynerlerini alması için kendi
nakliyecilerini yönlendirdiler. 1 ton kokain, 1 ton eroin ve içerisinde 1,3 milyon
Euro bulunan bir çantanın kaçakçılığı yapılırken, nakliye şirketlerinin bir
şeylerin ters gittiğini anlaması üzerine gerçekleşen polis operasyonu ile 9 kişi
tutuklandı. Birkaç yıla bu olayın filmi çekilebilir, o zaman bu yazıyı hatırlarsınız.
Her ne kadar BPC ile hedefli oltalama saldırıları aynı araç ve teknikleri
kullansa da BPC saldırılarında amaç sadece hassas verileri ele geçirmek
değildir. Saldırganlar, iş süreçlerini ve hedef kuruluşun iş yapış biçimini hedef
alıp kazançlarını buradan çıkartmayı amaçlar.
Her iki saldırgan türü de standart, normal görünen bir kuruluş işlemi
vasıtasıyla hırsızlık yapma peşindedir ancak BEC saldırganları amaçlarına
ulaşmak için iş süreçlerinin değiştirmekten ziyade sosyal mühendislik kullanır.
BEC saldırılarında kuruluş çalışanlarından birinin e-posta bilgileri çalınarak
veya taklit edilerek, o kişi gibi davranılır ve diğer kuruluş çalışanları istenen
banka hesabına para transferi yapsın diye ikna etmeye çalışılır.

BPC Çeşitleri
İlk grupta, kuruluşun nakit akış sistemindeki güvenlik boşluklarından
yararlanan siber suçlular, meşru gibi görünen hesaplara para transferi
gerçekleştirir. Bordro sahtekarlığı (bordro sistemine erişimi olan siber
saldırganların, gerçek olmayan kişileri kuruluş çalışanı gibi göstererek
kuruluştan para sızdırması), sahte banka havaleleri (bir bankanın para
transfer sistemindeki boşluklar bulunup, saldırganlara ait hesaplara
yönlendirmek için gerekli kodların değiştirilmesi), bankanın para transfer
sisteminde açıklar bulunarak saldırganların kendi kontrollerindeki hesaplara
para aktaracak kod veya zararlı yazılım kullanması gibi sahtekârlıklar bu gruba
dahildir.
İkinci grupta yer alan BPC saldırganları sadece iş süreçlerinde değişiklik
yaparak bunlardan faydalanır. Yukarıda verilen liman, konteyner ve nakliye
şirketlerinin hacklenmesi ile uyuşturucu taşınmaya çalışılması bu gruba
verilebilecek en iyi örnektir.
Çeşitli finansal değerlerin değiştirilmesi ve/veya kuruluşu ilgilendirecek
önemli kararları etkilemek/çarpıtmak sonucunda finansal kar elde etmeyi
hedefleyen saldırılar üçüncü gruba girmektedir. Stok değerleri çarpıtılarak
hisse senedi alım satımlarının manipüle edilmesi ile kar elde edilmesi bu
gruba örnek olabilir.
BPC’ye Karşı Savunma Stratejileri
İş süreçlerinizin içerisine anomali tespiti sensörleri yerleştirin: İş
süreçlerinizi kâğıda döküp, bir şeylerin ters gitmesi veya izinsiz değiştirilmesi
halinde bunun hangi etkileri olacağına bakın. Bu etkileri tespit edecek kontrol
noktaları yerleştirmek bir BPC saldırısını tespit etmenizi kolaylaştırır.
OPSEC (Operation Security – Süreç Güvenliği) bakış açısıyla iş
süreçlerinizi yeniden değerlendirin: Sparta Bilişim olarak bu konuda
sunduğumuz Red Team hizmeti, iş süreçlerinizin güvenliğini objektif olarak
değerlendirmenize imkan verir.

Otomasyona dikkat edin: Süreçlerin otomatize edilmesi işlerimizi tabii ki
kolaylaştırıyor ancak bunların istismar edilmesi durumunda bize uyarı
verecek sistemlere ihtiyacımız var. Olay müdahalesine gittiğimiz bir yerde
maaşların otomatik olarak banka sistemine aktarıldığı bir Excel dosyasındaki
bütün banka hesap IBAN’larının saldırgana ait IBAN’larla değiştirildiğini
görmüştük. Bu durumda ay başında kuruluşun ödediği 1.200’dan fazla maaş
saldırgana gidecekti. Olay müdahalesi sürecinde bu değişiklik fark
edilmeseydi, sürecin devamı otomatik olarak işlediği için fark edildiğinde çok
geç olabilirdi.
Görev ayrımlarına dikkat edin: Bir iş sürecinin tek bir çalışan tarafından
başlatılması, takip edilmesi, onaylanması ve neticelendirilmesi mümkün
olmamalıdır. Aksi takdirde, sadece suistimal değil, bir siber saldırganın bu
kullanıcıyı ele geçirmesi halinde de iş süreçleri bundan olumsuz etkilenir.
Kritik iş süreçleri en az 2 onaya bağlı olsun: Özellikle finans ve itibara etkisi
olabilecek süreçlerin (ödemeler, web sayfasının değiştirilmesi, vb.) en az 2 kişi
tarafından onaylanmalıdır.
Sosyal mühendislik saldırıları konusunda farkındalığı arttırın: Özellikle
BPC ve BEC saldırılarında sıkça kullanıldığını gördüğümüz sosyal mühendislik
teknikleri konusunda personelimizin farkındalığının artırılması çok önemlidir.
Bu sayede saldırı girişimleri zamanında fark edilir ve olumsuz sonuçlar
yaşanmadan müdahale edilebilir.

Siber Güvenliğin Geleceği
Hakkında CEO’ların Bilmesi
Gerekenler
Yöneticiler, siber güvenlik riskleri konusunda bilgi veren ve karar vermelerine
yardımcı olabilecek birçok rapor alıyor, okuyor, inceliyor. Ancak, bu
yöneticilerin bazıları bu risklere karşı nasıl karar vermeleri gerektiğini ve
kuruluşlarında hangi iyileştirmelerin yapılması gerektiğini anlamayabiliyor.
Günümüzün küresel iş çevresinde ise önemli risklerin ne olduğunu, neler olup
bittiğini, ne gibi gelişmeler yaşandığını ve korunmak için neler yapılması
gerektiğini tam olarak anlamak, özellikle yöneticiler ve yönetim kurulunda
bulunan kişiler için çok önemli.
Risk analizleri doğru anlaşılmadığı takdirde verilen kararlar hatalı olabileceği
gibi, kuruluşları beklenmedik riskler ile de karşıkarşıya bırakabilir.

2019 yılında nasıl hacklendik?

2019 yılında nasıl hacklendik?

Recommended

Recommended

More Related Content

What's hot

What's hot (18)

Similar to 2019 yılında nasıl hacklendik?

Similar to 2019 yılında nasıl hacklendik? (20)

More from Sparta Bilişim

More from Sparta Bilişim (11)

2019 yılında nasıl hacklendik?