[By: Krishna Vishnubhotla, Vice President Product Strategy, Zimperium]
Vergi Günü yaklaşıyor ve kötü amaçlı yazılımları teşvik eden sahte vergi uygulamalarında önemli bir artış olduğu için bireylerin ve işletmelerin seçtiğimiz vergi uygulamaları konusunda aşırı dikkatli olmaları hayati önem taşıyor. Kişisel ve finansal bilgilerinizi güvende tutmak için bu uygulamalardan ne pahasına olursa olsun kaçınılmalıdır.
Kullanıcıların verilerini toplamak ve kimlik Hırsızı ve ödeme yönlendirmesi başarılı olduğundan, kötü aktörler meşru gibi görünen sahte uygulamaların kullanımını artırıyor. Genellikle sahte uygulamalar çoğunlukla üçüncü taraf uygulama mağazalarında bulunur, ancak iOS’ta App Store ve Android’de Google Play Store gibi birinci taraf uygulama mağazalarına da ulaşabilirler. Pek çok kişi, sahte vergi uygulaması indirme riskini en aza indirmek için alınması gereken bazı ek güvenlik önlemlerinin neler olduğunu soruyor ve cevap şu: her şey daha başlangıçta başlar. Tanınmış markalara bağlı kalmak, biraz daha maliyetli olsalar bile çok önemlidir; bu, harcamaya değer. Sahte uygulamaların çoğu, sosyal mühendislik yoluyla ücretsiz, çok düşük maliyetler ve diğer promosyonlarla kullanıcıları çeker. Buna kanmayın. Eğer bu, arkadaşlarınız veya aileniz tavsiye ettiği için denediğiniz yeni bir hizmetse, kendi araştırmanızı yapmanız ve daha da önemlisi, tüm tehlike işaretlerinin bilincinde olmanız tavsiye edilir. Bu yazı, kötü aktörlerin masum kurbanları istismar etmek için sahte uygulamalardan yararlandığı çeşitli yolları ele alacak.
Bize sıklıkla sorulan sorulardan biri, sahte uygulamaların resmi vergi beyanı API’lerini kullanabileceğidir.
Cevap ne yazık ki evet; eğer API’ler uygun şekilde güvenli değilse bunu yapabilirler. Çoğu API, istekte bulunanın kimliğini ve mesajın temel yapısını doğrular. Ancak cep telefonunda her ikisini de taklit edebilirsiniz. Uygulamanın tersine çevrilmesi, saldırganların uygulamada kullanılan tüm API’leri tanımlamasına ve ardından meşru bir isteği taklit edebilecek sahte uygulamalar oluşturmasına olanak tanır.
Peki, kötü aktörler meşru makamlara yönelik vergi ödemelerini çalmak veya yönlendirmek için sahte vergi uygulamalarını nasıl tasarlıyor? Sahte uygulamalar gerçek görünür çünkü gerçek uygulamalarda tersine mühendislik yapmak çok kolaydır. Kullanıcılar uygulamaları resmi mağazalardan indiriyor ve hazır araçlarla bunları tersine çeviriyor. Uygulama mağazalarının kötü niyetli bir aktörü tespit ederek indirme işlemini durdurmasını beklemek makul değildir. Zimperium araştırması, günümüzde çoğu uygulamanın tersine mühendislik ve kurcalamaya karşı yeterli korumaya sahip olmadığını gösteriyor.
Zimperium’un popüler vergi uygulamalarına ilişkin araştırması şunu gösteriyor:
-
%30 iOS uygulamalarının yüksek güvenlik riski taşıdığı belirlendi
-
%15 iOS uygulamalarının orta düzeyde gizlilik riski taşıdığı belirlendi
-
%80 Android uygulamalarının yüksek güvenlik riskine sahip olduğu belirlendi
-
%26 Android uygulamalarının yüksek gizlilik riskine sahip olduğu belirlendi
Ayrıca vergi uygulamalarının yaptığını gördüğümüz beş yaygın hata şunlardır:
-
Uygulama, web komut dosyalarının kötüye kullanılabilecek dahili işlevlerine erişmesine olanak tanır.
-
Uygulama, özellikle root yetkisine sahip cihazlarda yanlış kullanıldığında saldırganlara cihaz üzerinde kontrol sağlayabilecek güçlü komutlar çalıştırabilir.
-
Uygulama, tahrif edilmesi halinde zararlı olabilecek web komut dosyalarının çalıştırılmasına izin verir.
-
Uygulama, kötü amaçlı uygulamaların özelliklerinden yararlanmasına izin veren gizli izinleri kullanır.
-
Uygulama internetten yeni kod indirebilir, bu da istenmeyen değişiklikleri veya kötü amaçlı güncellemeleri riske atabilir.
Ekipler, öncelikle uygulamaların güvenliğinin sağlanmasından ziyade uygulamaları hızlı bir şekilde yayınlama konusunda daha motive olduklarından, güvenlik konusunda minimum düzeyde çaba gösterme eğilimindedirler. Gibi, Kötü amaçlı yazılımların yükselişiyle birlikte CISO’ların, iş dünyasının liderlerinin ve güvenlik profesyonellerinin, mevcut ve akıllarının önünde ortaya çıkan çok sayıda potansiyel tehdit konusunda toplumu eğitmeye devam etmesi çok önemlidir.
Her şeyde olduğu gibi, bir uygulamayı yükledikten sonra da dikkatli olmak ve olağandışı davranışları yakından takip etmek sizi ve değerli verilerinizi koruyacaktır. Örneğin istenmeyen/şüpheli mesajlar gönderen uygulama veya rastgele bir şekilde cihazın arızalanmasına neden olan bir uygulama. Olağandışı herhangi bir faaliyete dikkat ederek, bu vergi sezonunda maaş gününü arayan kötü aktörlerin kurbanı olmaktan kendinizi kurtarabilirsiniz.
Reklam