Güvenlik firması CrowdStrike, şirketin Falcon izleme platformuna, ürünü çalıştıran Windows bilgisayarlarını çökerten hatalı bir yazılım güncellemesi dağıttıktan sonra Cuma günü dünya çapında istemeden kargaşaya neden oldu. Olayın sonuçlarının çözülmesi günler alacak ve şirket, sistem yöneticileri ve BT personeli düzeltme üzerinde çalışırken başka bir tehdidin daha yaklaştığını söylüyor: Krizden yararlanmaya çalışan yırtıcı dijital dolandırıcılıklar.
Araştırmacılar Cuma öğleden sonra saldırganların alan adlarını ayırdıkları ve şirketin müşterilerini ve kaostan etkilenebilecek herkesi hedef alan “CrowdStrike Destek” dolandırıcılıkları yürütmek için web siteleri ve diğer altyapıları kurmaya başladıkları konusunda uyarmaya başladılar. CrowdStrike’ın kendi araştırmacıları da Cuma günü bu faaliyet hakkında uyarıda bulundu ve görünüşe göre şirketi taklit etmek için kaydedilmiş alan adlarının bir listesini yayınladı.
CrowdStrike kurucusu ve CEO’su George Kurtz bir bildiride, “Rakiplerin ve kötü niyetli aktörlerin bu tür olayları istismar etmeye çalışacağını biliyoruz,” diye yazdı. “Herkesi uyanık olmaya ve resmi CrowdStrike temsilcileriyle etkileşimde olduğunuzdan emin olmaya teşvik ediyorum. Blogumuz ve teknik desteğimiz en son güncellemeler için resmi kanallar olmaya devam edecek.”
Saldırganlar kaçınılmaz olarak, insanları kandırıp onlara para göndermeye, hedef hesap kimlik bilgilerini çalmaya veya kurbanları kötü amaçlı yazılımlarla tehlikeye atmaya çalışmak için önemli küresel olayların yanı sıra belirli coğrafi bölgelerdeki güncel sorunlardan da yararlanırlar.
FTI Consulting’de siber güvenlik ve veri gizliliği iletişimleri yönetici müdürü olan Brett Callow, “Tehdit aktörleri her zaman büyük bir olaydan yararlanmaya çalışırlar” diyor. “Bir kuruluş bir olay yaşadığında, müşterilerin ve iş ortaklarının buna hazırlıklı olması gerekir.”
Çoğu birey CloudStrike ile ilgili bilgisayar kesintilerini ele almaktan kişisel olarak sorumlu olmasa da, düzeltme üzerinde çalışan BT uzmanlarından bazıları çözüm için çaresiz olabileceğinden, olay istismara açıktır. Çoğu durumda, etkilenen bilgisayarlar için düzeltme, her birinin ayrı ayrı başlatılmasını ve düzeltilmesini içerir; bu da potansiyel olarak zaman alıcı ve lojistik açıdan zor bir işlemdir. Ve kapsamlı BT uzmanlığına erişimi olmayan küçük işletme sahipleri için, zorluk özellikle göz korkutucu olabilir.
CrowdStrike istihbaratından olanlar da dahil olmak üzere araştırmacılar, saldırganların kimlik avı e-postaları gönderdiğini veya CrowdStrike destek personeli gibi davrandıkları ve hatalı yazılım güncellemesinden kurtarma sürecini otomatikleştirdiğini iddia eden yazılım araçları sattıkları telefon görüşmeleri yaptığını gördüler. Bazı saldırganlar ayrıca araştırmacı gibi davranıp kurtarma için hayati önem taşıyan özel bilgilere sahip olduklarını iddia ediyorlar; durumun aslında bir siber saldırının sonucu olduğunu iddia ediyorlar, ki öyle değil.
CrowdStrike, müşterilerinin şirketin meşru çalışanlarıyla iletişim kurduklarından emin olmaları ve yalnızca şirketin resmi kurumsal iletişimlerine güvenmeleri gerektiğini vurguluyor.
Callow, CloudStrike müşterilerinin kendilerini savunmak için nasıl çalışmaları gerektiği konusunda, “Çalışanlara potansiyel riskleri ana hatlarıyla belirten hızlı uyarılar yardımcı olacaktır,” diyor. “Önceden uyarılmış olmak, önceden silahlanmış olmak demektir.”