ABD kolluk kuvvetleri, ABD genelindeki şirketlerin çalışanlarını hedef alan büyük ölçekli bir kimlik avı planına karışan beş kişiye karşı cezai suçlamaları açıkladı.
Bu sanıkların, hassas verileri çalmak için kimlik avı metin mesajlarından yararlandıkları ve bu mesajların daha sonra şirket sistemlerine ve sanal para hesaplarına erişmek için kullanıldığı ve bunun sonucunda milyonlarca dolarlık kripto para biriminin çalındığı iddia edildi.
Suçlamalar 19 Kasım 2024’te kamuoyuna açıklandı ve yetkililer bu planı son yıllardaki en karmaşık siber suç operasyonlarından biri olarak tanımladı.
Çalışan Kimlik Avı Düzeni Dolandırıcıları Tutuklandı
Sanıklar, elektronik dolandırıcılık için komplo kurmak, komplo kurmak ve ağırlaştırılmış kimlik hırsızlığı da dahil olmak üzere çok sayıda suçla karşı karşıya bulunuyor. Suçlanan kişiler şunlar:
- Ahmed Hossam Eldin Elbadawy23 yaşında, College Station, Texas’tan “AD” olarak biliniyor.
- Nuh Michael Urban20, Palm Coast, Florida’dan “Sosa” ve “Elijah” olarak biliniyor.
- Evans Onyeaka Osiebo20, Dallas, Teksas’tan.
- Joel Martin Evans25 yaşında, Jacksonville, Kuzey Carolina’dan “joeleoli” olarak biliniyor.
- Tyler Robert Buchanan22 yaşındaki İngiltere’den benzer suçlamalarla suç duyurusunda bulunuldu.
Evans, Kuzey Carolina’da tutuklanırken, Urban halihazırda Florida’daki ayrı bir federal davada ek dolandırıcılık suçlamalarıyla karşı karşıya bulunuyor. Bu vaka, gelişmeye devam eden ve hem işletmelere hem de bireylere zarar veren bir siber suç türü olan kimlik avı tehdidinin giderek arttığını vurgulamaktadır.
Suç grubunun kimlik avı saldırılarını Eylül 2021 ile Nisan 2023 arasında başlattığı bildirildi. Mahkeme belgelerine göre saldırganlar, ABD genelinde çok sayıda şirketin çalışanlarına gönderilen SMS (Kısa Mesaj Servisi) kısa mesajları aracılığıyla toplu kimlik avı kampanyaları başlattı. Bu mesajların, mağdur şirketlerin kendileri veya anlaşmalı BT hizmet sağlayıcıları gibi meşru kaynaklardan geldiği anlaşılıyordu ve alıcıları, hesaplarının devre dışı bırakılmak üzere olduğu konusunda uyarıyordu.
Mesajlar, şirketlerin veya hizmet sağlayıcılarının meşru web sitelerini taklit etmek üzere tasarlanmış sahte web sitelerine bağlantılar içeriyordu. Çalışanlar bu bağlantılara tıkladığında kendilerinden, kullanıcı adlarını, şifrelerini ve hatta mobil cihazlarına gönderilen iki faktörlü kimlik doğrulama kodlarını içerebilecek hesap kimlik bilgilerini girmeleri istendi. Sanıklar, bu kimlik bilgilerini toplayarak şirketlerin iç sistemlerine ve çalışanların kişisel hesaplarına yetkisiz erişim elde etti.
Hasarın Kapsamı
Bu kimlik avı planının etkisi geniş kapsamlıydı. Suçlular çalınan kimlik bilgilerine erişim sağladıktan sonra bunları kurbanların şirket sistemlerine sızmak için kullandılar. Bu onların fikri mülkiyet, özel veriler ve hesap erişim bilgileri, isimler, e-posta adresleri ve telefon numaraları gibi kişisel bilgiler dahil olmak üzere gizli ve değerli bilgileri çalmalarına olanak sağladı.
Sanıklar, şirket sistemlerine izinsiz girmenin yanı sıra, elde edilen bilgileri bireylerin kripto para birimi hesaplarını hedeflemek için de kullandı. Sızan verilerden ve yetkisiz erişimden yararlanarak, şüphelenmeyen kurbanlardan milyonlarca dolarlık sanal para çalmayı başardılar. Kripto para hırsızlığı vakaya başka bir karmaşıklık katmanı daha ekliyor çünkü bu dijital varlıkların çalındıktan sonra izini sürmek ve kurtarmak oldukça zor.
Yasal Sonuçlar ve Olası Cezalar
Suçlamalar ciddi cezalar içeriyor. Suçlu bulunması halinde her sanık, elektronik dolandırıcılık amaçlı komplo kurmak suçundan federal hapishanede maksimum 20 yıla kadar hapis cezasıyla karşı karşıya kalacak. Ayrıca, komplo suçlaması nedeniyle beş yıl, ağırlaştırılmış kimlik hırsızlığı nedeniyle ise art arda iki yıl zorunlu hapis cezasıyla karşı karşıya kalabilecekler. Elektronik dolandırıcılıkla da suçlanan Buchanan, suçlu bulunması halinde 20 yıla kadar hapis cezasıyla karşı karşıya kalabilir.
Amerika Birleşik Devletleri Başsavcısı, “Bu siber suçlu grubu, savunmasız bireyleri ve şirketleri hedef alan, milyonlarca dolar çalan ve çok sayıda sistemin güvenliğini tehlikeye atan son derece karmaşık bir plan yürüttü” dedi. Martin Estrada. “Bu vakanın da gösterdiği gibi, kimlik avı artık basit bir rahatsızlık değil, ciddi mali kayıplara ve itibar kaybına yol açabilecek ciddi bir suçtur.”
Soruşturma Çabaları ve Kanun Uygulama Desteği
Federal Soruşturma Bürosu (FBI), ABD’nin Kuzey Carolina Doğu Bölgesi Başsavcılığı, İskoçya Polisi ve Charlotte, Denver, Houston ve Portland’daki FBI saha ofislerinin yardımıyla soruşturmayı yürüttü. FBI Sorumlu Direktör Yardımcısı Akil Davis vurguluyorKimlik avı planlarının yaygın yapısına dikkat çekerek, bu tür dolandırıcılık girişimlerinin yaygın olduğunu ancak mağdurlar için yıkıcı sonuçlara yol açabileceği konusunda uyarıda bulundu.
Davis, “Sanıkların, bu kimlik avı planında şüphelenmeyen kurbanları avladıkları ve kişisel bilgilerini, kripto para birimi hesaplarındaki milyonları çalmak için bir geçit olarak kullandıkları iddia ediliyor” dedi. “Bu tür dolandırıcılık faaliyetleri, insanların zorlukla kazandıkları paralarını tek bir tıklamayla çalıyor. Suçlu olduğu iddia edilen bu kişileri adalete teslim edebilen siber ajanlarımızın yaptığı çalışmalardan gurur duyuyorum.”
Devam Eden Siber Güvenlik Teyakkuzu
Kimlik avı kritik bir tehdit olmaya devam ediyor ve bu durum, hem bireylerin hem de işletmelerin sürekli dikkatli olması gerektiğinin altını çiziyor. Siber suçlular, mağdurları hassas bilgileri ifşa etmeleri için kandırmak amacıyla karmaşık teknikler kullanma konusunda giderek daha usta hale geliyor. Uzmanlar, bireylere istenmeyen mesaj veya e-posta alırken dikkatli olmalarını ve şüpheli görünen her türlü iletişimi doğrulamalarını tavsiye etmeye devam ediyor.
ABD Adalet Bakanlığı’nın bu sanıkları adalet önüne çıkarma çabaları, hükümetin siber suçlarla mücadele konusundaki kararlılığını vurguluyor; kişisel ve finansal faaliyetler çevrimiçi hale geldikçe bu durum büyük bir endişe kaynağı olmaya devam ediyor. Yasal işlemler ilerledikçe, yetkililerin siber suçları kovuşturmanın zorluklarını nasıl ele aldıklarını ve bu eylemlerin gelecekte kimlik avı düzenleri ve diğer dijital dolandırıcılık türlerine yönelik girişimleri caydırıp caydıramayacağını izlemek önemli olacaktır.
İlgili