Oltalama (Kimlik avı) saldırıları COVID-19 salgını sırasında neredeyse iki katına çıktı. Toplam sahte web sayfası sayısının yüzde 46’sını kimlik avı için açılan siteler oluşturdu. Group-IB tarafından 2020 yılının ilk yarısını ele alan raporda COVID-19 salgını sırasında çeşitli çevrimiçi hizmetleri hedefleyen oltalama saldırılarının neredeyse iki katına çıktığı görüldü. Rapora göre fidye yazılımı saldırılarının birinciliğini elinden alan oltalama (kimlik avı) saldırıları ilk sıraya yerleşti. 2020’nin ilk yarısında Oltalama Saldırılarının durumu hakkında detayları incelenebilirsiniz.

1. SPARTA BİLİŞİM
2020'n n lk yarısında
OLTALAMA SALDIRILARI

2. Oltalama (Kimlik avı) saldırıları COVID-19 salgını sırasında
neredeyse iki katına çıktı.
Toplam sahte web sayfası sayısının yüzde 46'sını kimlik avı için
açılan siteler oluşturdu.
Group-IB tarafından 2020 yılının ilk yarısını ele alan raporda
COVID-19 salgını sırasında çeşitli çevrimiçi hizmetleri
hedefleyen oltalama saldırılarının neredeyse iki katına çıktığı
görüldü.
Rapora göre fidye yazılımı saldırılarının birinciliğini elinden alan
oltalama (kimlik avı) saldırıları ilk sıraya yerleşti.
OLTALAMA SALDIRILARI İKİ KATINA ÇIKTI
SPARTA BİLİŞİM | www.sparta.com.tr

3. ANALİZ EDİLEN
HER 3 E-POSTADAN
1 TANESİ OLTALAMA
SALDIRISI ÇIKTI

4. CERT-GIB tarafından analiz edilen e-postaların %1’i zararlı
yazılım içerirken, her üç e-postadan bir tanesinin siber
saldırganlar tarafından kullanıcı bilgileri, kredi kartı ya da banka
giriş bilgileri veya diğer hassas verileri çalmak üzere hazırlanmış
olduğu tespit edildi.
Siber saldırganların bu verileri elde ettikten sonra dark web’de
satışa sunmak ya da veri sahiplerine şantaj yapmak gibi
yöntemler ile ciddi gelir elde ettiği biliniyor.
SPARTA BİLİŞİM | www.sparta.com.tr

5. ANALİZ EDİLEN E-
POSTALARIN %43’Ü
CASUS YAZILIM
BARINDIRIYOR

6. 2020’nin ilk yarısına ait raporda analiz edilen e-postaların %43’ü
spyware (casus yazılım) ya da zararlı yazılımları indirmek için
eklenmiş bağlantılar barındırıyor. Arka kapı ve bankacılık
trojanları ise ikinci ve üçüncü sırada yer alıyor.
SPARTA BİLİŞİM | www.sparta.com.tr

7. FİDYE YAZILIMLAR
TEKİL KULLANICILARI
DEĞİL KURULUŞLARI
HEDEFLİYOR

8. Fidye yazılımlar 2019 yılının ikinci yarısında en yüksek seviyesine ulaşmıştı.
Neredeyse her dakika bir fidye yazılım saldırısı düzenlendiği düşünüldüğünde
2020 yılının ilk yarısındaki verilere ait raporda bu zararlı yazılımların neredeyse
kaybolarak %1 gibi bir seviyeye düşmesi şaşırtıcı oldu.
Bu düşüşte önemli bir faktörün etkili olduğu düşünülüyor: Saldırganlar bireysel
kullanıcıları hedef aldıkları ve herkese aynı şekilde gönderdikleri e-postalar
yerine kendilerine hedef kuruluşlar belirleyerek bunlara saldırmaya başladı.
Saldırganlar kuruluşlara saldırırken tek bir kişinin bilgisayarına zararlı yazılım
bulaştırmak yerine ağda yanal olarak hareket ederek sistemde yetkilerini artırma
ve olabildiğince fazla sistem ve cihaza bulaşarak fidye yazılımı dağıtma
yöntemini benimsedi.
SPARTA BİLİŞİM | www.sparta.com.tr

9. SALDIRILARDA EN ÇOK
HANGİ ARAÇLAR
KULLANILDI?

10. İzlenen saldırılarda en çok kullanılan araçlar aşağıdaki gibi:
- Bankacılık Truva Atı RTM (% 30),
- Casus yazılım LOKI PWS (% 24),
- Casus yazılım AgentTesla (% 10),
- Keylogger ve kullanıcı bilgisi çalma zararlı yazılımı Hawkeye (% 5)
- Trojan ve kullanıcı bilgisi çalma zararlı yazılımı Azorult (% 1)
Yılın ilk yarısında tespit edilen yeni araçlar ise şöyle:
- Açık kaynak tabanlı bir uzaktan erişim aracı olan Quasar,
- Kullanıcıların oturum açma kimlik bilgilerini çeşitli uygulamalardan çalan casus
yazılım Gomorrah,
- Malware as a Service (Zararlı yazılım hizmeti) olarak dağıtılan ve kullanıcı
verilerini toplamaya yarayan bir yazılım olan 404 Keylogger
SPARTA BİLİŞİM | www.sparta.com.tr

11. ZARARLI YAZILIMLAR
NASIL
BULAŞTIRILDI?

12. Zararlı yazılımların yaklaşık %70’i web sayfaları aracılığıyla, %18'i ofis belgeleri
(.doc, .xls ve.pdf dosya uzantılarıyla), % 14'ü yürütülebilir dosyalar ve komut
dosyaları olarak bulaştırıldı.
SPARTA BİLİŞİM | www.sparta.com.tr

13. SSL SERTİFİKALI
OLTALAMA SALDIRI
SİTELERİ

14. 2020’nin ilk 6 ayında engellenen oltalama web sayfalarının bir önceki yılın aynı
aylarına göre %9 arttığı ve güvenli kabul edilen SSL/TLS bağlantısı kullanan
sayfaların iki katı artarak %33’ten %69’a çıktığı görülebiliyor.
Kullanmakta olduğumuz tarayıcıların çoğu SSL / TLS bağlantısı olmayan web
sitelerini tehlikeli olarak etiketlediği için saldırganların düzenledikleri kimlik avı
saldırılarını daha inandırıcı hale getirebilmek üzere sertifika kullanımına geçtiği
anlaşılıyor.
Tarayıcılarda gördüğümüz kilit işareti ve “bağlantı güvenli” yazısının kullanıcılar
tarafından yanlış anlaşılması saldırıların etkisini artırmak için kullanılıyor.
SPARTA BİLİŞİM | www.sparta.com.tr

15. PANDEMİ DÖNEMİ
HEDEFLER

16. 2019’un ikinci yarısında olduğu gibi 2020’nin ilk 6 ayında da e-ticaret web siteleri gibi
çevrimiçi hizmetler kimlik avı saldırılarında ana hedef oldu. COVID-19 salgını nedeniyle
çevrimiçi hizmetlerde ciddi bir artış olurken bu alandaki oltalama saldırılarında da
%46’lık bir artış oldu.
E-ticaret sitelerinin çekiciliği, saldırganların kullanıcı bilgilerini çalarak kullanıcı
hesaplarına bağlı banka kartlarının verilerine de erişim sağlamasıyla açıklanabilir.
İkinci sırada ise e-posta hizmet sağlayıcıları %24’lük bir orana sahip. Bunu finans
kuruluşları %11 ile izliyor.
Kimlik avı saldırısının en sık yapıldığı diğer kategoriler: ödeme hizmetleri, bulut
depoları, sosyal ağlar ve eş bulma siteleri olarak sıralanıyor.
SPARTA BİLİŞİM | www.sparta.com.tr

17. Kaynak: Bu doküman hazırlanırken https://www.group-ib.com/media/ransomware-vs-malicious-emails/ adresi kaynak olarak kullanılmıştır.
SPARTA BİLİŞİM | www.sparta.com.tr