Siber Suçlar, Hizmet Olarak Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Denetlenemeyen Sözler İçin Ödeme Yapmak, Kurbanlara Tekrarlanan Saldırı Hedefi Gösterir
Mathew J. Schwartz (euroinfosec) •
2 Ocak 2023
Fidye yazılımı kullanan birçok saldırgan, kurbanlarının ortalığı temizleme dürtüsünü avlama konusunda uzmandır.
Ayrıca bakınız: Kimlik Avının Anatomisi: Gelişmiş Kimlik Avı Saldırılarını Önlemek İçin En İyi Kimlik Doğrulama Uygulamaları
Bu nedenle kurbanlar genellikle bir seçenekler menüsüyle karşı karşıya kalır: Bir şifre çözücü için fidye ödeyin ve zorla şifrelenmiş verilerin kilidini açabileceksiniz. Daha fazla ödeyin ve adınız bir fidye yazılımı grubunun veri sızdırma sitesindeki kurbanlar listesinden silinsin. Daha da fazla ödeyin ve çaldıkları – veya zaten sızdırdıkları – verilerin hemen silineceğine dair bir söz alın.
Elbette birçok kurban, çalınan verileri gecikmeli olarak koruyabilecekleri ve itibarlarını kurtarabilecekleri yanılsaması için bir şeyler yapma dürtüsünü hissedeceklerdir. Bu dürtü anlaşılabilir. Ama sadece çok geç değil, aynı zamanda gaspçılar tarafından onlara karşı kullanılıyor. Psikolojik olarak konuşursak, suçlular bir kurbanı harekete geçmeye zorlayacak araçları bulmakta tereddüt etmezler – tıpkı onlara para vermek gibi.
Çoğu fidye yazılımı grubunun vaatleri boştur ve en önemlisi, bir kurbanın doğrulayamayacağı garanti ettikleri her şey.
Ne yazık ki, kurbanların veri silme vaatleri için para ödediğini görmek yeni değil. Binlerce hayır kurumu, üniversite, sağlık kuruluşu ve diğerleri tarafından kullanılan bulut tabanlı pazarlama, bağış toplama ve müşteri ilişkileri yönetimi yazılımı sağlayan, halka açık, Güney Carolina merkezli bir şirket olan BlackBaud’u ele alalım. Mayıs 2020’de verilerin çalınmasını da içeren bir fidye yazılımı saldırısına maruz kalan işletme, üç ay sonra şunları bildirdi: “Müşterilerimizin verilerini korumak bizim önceliğimiz olduğundan, siber suçlunun talebini, kaldırdıkları kopyanın imha edildiğini onaylayarak ödedik.”
Suçlulardan Mağdurlara: ‘Bize Güvenin’
Bu tür onaylar, üzerine basılabilecekleri kağıda değmez (bakınız: Toplu Dava Davası Blackbaud’nun Hacker Getirisini Sorguluyor).
Recorded Future’ın baş istihbarat analisti Allan Liska, “Verilerinizi silmeyecekler. Yani, düpedüz, verilerinizi silmiş gibi yapacaklar,” diyor (bkz: Çoğu Sağlık Hizmeti Fidye Yazılımı Saldırısı Hasta Veri Hırsızlığını İçerir). “Bunu defalarca gördük ve bence kuruluşlar bunun tamamen farkında. O zaman soru şu oluyor: ‘Verilerin kaldırıldığı yanılsamasının bedelini ödeyecekler mi?'”
Ne yazık ki, cevap genellikle “evet” gibi görünüyor. Temmuz ayında İngiliz yetkililer, avukatları müvekkillerine suçlulardan veri silme garantileri için ödeme yapmamalarını tavsiye etmeye çağırdı. Genel Veri Koruma Yönetmeliği de dahil olmak üzere Birleşik Krallık gizlilik yasalarını uygulayan Bilgi Komiserliği Ofisi, bir kuruluşu bir ihlalden sonra soruşturursa ve siber güvenlik kusurları bulursa, veri silme taahhüdü için ödeme yapması gerçeğinin geçerli olmayacağını söyleyerek bu noktayı vurguladı. karşılaşabileceği para cezasını herhangi bir şekilde azaltmak (bkz: Fidye Ödemeyin, Birleşik Krallık Hükümeti ve Gizlilik Koruma Teşkilatı Tepkisi).
Kuruluşların fidye yazılımı saldırılarına yanıt vermesine yardımcı olan Coveware’in kurucu ortağı ve CEO’su Bill Siegel, kurbanları veri silme taahhütlerini ödemeyi bırakmaya teşvik etmeye devam ediyor, özellikle de kendileri için kötü olduğu için (bkz:: Fidye Realpolitik: Verilerin Silinmesi İçin Ödeme Yapmak Enayilerin İşidir).
“Açıkçası, sorunu şiddetlendirebilir” diyor. Soyut güvenceler için para ödeyen bir kurbanın, saldırganları geri gelmeye ve onlardan daha fazlasını almaya zorlamaya ikna ettiği ortaya çıktı.
İş açısından bakıldığında, şirketlerin bir fidye ödemesiyle neler başarabilecekleri konusunda nüanslar var.
Liska, “Şifrelemeyle, kurtarmanın gerçek bir maliyeti vardır ve yedeklemeleriniz isabet alırsa vb., ödeme yapmaktan başka seçeneğiniz olmayabilir” diyor.
Ancak bir araç için ödeme yapmak, bir söz için ödeme yapmaktan farklıdır. “Bir şifre çözme aracı veya anahtarı için fidye öderseniz ve şifre çözme aracı veya anahtarı alırsanız, bozulmaz, kaybolmaz, değil mi?” Coveware’den Siegel diyor. “Önceden doğru özeni ve testi yaptıysanız, umarım verilerinizi kurtarabilirsiniz.”
Sigortacılarla çalışanlar da dahil olmak üzere çok sayıda olay müdahale grubu ve hukuk firması, fidye yazılımı gruplarını izleyerek müzakere yaklaşımlarını ve çalışan şifre çözücüler sağlama eğilimlerini inceliyor. Tüm bunlar, bir kurbanın fidye ödeyip ödememe ve karşılığında ne alacakları konusundaki kararını daha iyi belirleyebilir.
Fidye yazılımı grupları söz konusu olduğunda, bilgilendirilmek ve herkesin iyiliği için, doğası gereği boş vaatler peşinde koşarak fidye yazılımı ekosistemini devam ettirmemek faydalıdır.