Hiçbir şirket çalışan hatası nedeniyle para kaybetmek istemez. İşe alma, özgeçmiş kontrolü, mülakat vb. gibi meşakkatli süreç, işletmenin amacına karşı mücadele eden varlıkları işe alırken en iyi seçimleri yapmak anlamına gelir. Ancak içeriden gelen tehditler herhangi bir departmandan gelebilir ve şirkete yalnızca milyonlarca zarara değil aynı zamanda itibarına da zarar verebilir.
Çalışanlarını eğitmek için bir işveren, çalışma saatleri içinde farkındalık egzersizleri planlayarak çeşitli fırsatları mümkün kılar, böylece çalışanlar yapılacaklar ve yapılmaması gerekenler konusunda bilinçli olurlar. Ancak tüm girişimlere rağmen çalışanların temel siber hijyene uygun hareket etmelerini sağlama konusunda başarısız oluyor.
Artan İçeriden Tehditler
İçeriden gelen tehditlerden kaynaklanan siber saldırılar son iki yıla kıyasla %44 arttı. İçeriden gelen tehditlerden kaynaklanan olaylardan kaynaklanan riski azaltmak için harcanan süre ortalama 77 günden 85 günün üzerine çıktı.
Çalışanlar bilerek veya bilmeyerek siber suçluların dijital altyapıya başarılı bir şekilde saldırmasına izin veriyor, bu da verilerin ele geçirilmesine ve düzenleyici önlemlerin alınmasına yol açıyor.
CISA’nın bir gönderisinde özetlenen İçeriden Gelen Tehditler bunun şunlar olabileceğini söylüyor:
- Kuruluşun verilerine erişim izni verdiği yüklenici, satıcı veya saklayıcı
- Çalışması için şirket cihazı verilen biri
- Kuruluş tarafından güvenilir olabilir
CISA’nın bir çalışanın şirket için nasıl bir risk oluşturduğuna değinen gönderide, söz konusu çalışanın kuruluşa yetkili erişime sahip olabileceği veya bunun olumsuz şekilde kullanılabilecek bir anlayışa sahip olabileceği belirtildi.
Bu kullanım, çalışanın veya çalışanı erişimle ilgili verileri yayınlaması için kandırabilecek veya rüşvet verebilecek başka bir kişinin elinde olabilir. İhmal, bir çalışanın fırsatçı bir bilgisayar korsanının sistem verilerine erişmenin bir yolunu bulmasına izin vermesinin başlıca nedenlerinden biridir.
Airbus siber saldırısı, içeriden birinin kimlik bilgilerini kullanarak sistemleri ihlal ettiğini itiraf eden USDoD adlı bir siber suçlu tarafından üstlenildi. Lapsus grubunun tutuklanan üyesi Arion Kurtaj’ın, örgütün sistemlerine girebilmek için ofis içindeki kişilere rüşvet verdiği biliniyordu. Olayları, bizzat faillerin ortaya çıkardığı şekliyle daha iyi anlayalım.
Airbus Siber Saldırısı: Şirket Verilerini Sızdırmak İçin Kullanılan İçeriden Bir Tehdit
Şu anda kapalı olan RaidForums’ta bir siber suçlu USDoD aktifti. NetSec. Infosec web sitesi DataBreaches ile 11 yaşında bilgisayar korsanlığına nasıl başladığını, daha iyi bilgisayar korsanlığı eğitimi aldığını ve sonunda kin beslediği kuruluşlara nasıl saldırdığını anlattı.
USDoD, üçüncü taraf bir Türk havayolunun çalışan kimlik bilgilerini kullanarak Airbus satıcılarına ait 3.200 kaydı başarıyla sızdırdıklarını duyurdu. Türk çalışan, siber suç firması Hudson Rock tarafından bulundu.
Hudson Rock’ın Baş Teknoloji Sorumlusu Alon Gal, benzer olayların azaltılmasını tartışırken The Cyber Express’e şunları söyledi: “Bilgi hırsızı enfeksiyonlarının izlenmesi, Airbus’ın yaşadığına benzer veri ihlallerini önlemenin kritik bir yönüdür.”
Avrupa’nın çok uluslu havacılık ve uzay şirketi Airbus gibi savunma, güvenlik ve kritik hizmet ve altyapıya sahip diğer kuruluşlara, bilgi hırsızlarının izlenmesi gibi güvenlik protokollerini izlemenin zamanı geldi.
Bilgi hırsızları veya Bilgi çalan kötü amaçlı yazılımlar, karanlık ağda küçük bir fiyat ve çeşitli kaçak tespit avantajları karşılığında reklam olarak bulunur. Hatta bazıları, minimum teknik uzmanlıkla sistem verilerini çalmak için adım adım talimatlar içeren bir kılavuzla birlikte daha uygun fiyatlı hale getirmek için abonelik karşılığında bile satılıyor.
Airbus siber saldırısında USDoD, bir çalışanın, diğer bir deyişle hesabının arkasında neler olup bittiğinin farkında olmayan, içeriden gelen bir tehdidin oturum açma bilgilerini çalma görevini tamamladı.
Bir Hacker Tarafından İçeriden Gelen Tehdit Nasıl Seçilir: USDoD’un Yanıtı
Röportajda USDoD’a NATO ve CEPOL’un hedef alınması sorulduğunda. Cevap şuydu: “NATO ve CEPOL’e erişimi zaten başardım, dolayısıyla operasyonların 1. Aşaması tamamlandı ve şimdi 2. Aşamaya geçeceğim.”
2. Aşamada yukarıda adı geçen örgütlerin zayıf noktalarını incelemesi ve kullanması gerektiğini söyledi. Sahte kimlik bilgileri kullanarak kayıt yaptırarak ve meşru personel gibi davranarak NATO ve CEPOL’e erişim sağladı.
CEPOL’ü kolluk kuvvetlerine yönelik bir e-öğrenme platformu olması ve Europol ile ilişkili olması nedeniyle seçti. Onun çalışma tarzı, savunma mekanizmasını yerinde anlayabilmek için satıcı web sitelerine katılmayı ve bu sitelerin işleyişini incelemeyi içerir.
Aynı şeyi açıklayarak şunları söyledi: “NATO, uç nokta güvenliği ve AV’nin özel ve değiştirilmiş versiyonlarını kullanıyor. Ayrıca kendi politika sürümleri, tarayıcıları vb. var. Yani ikisini bir araya getirirseniz onları devre dışı bırakabilirim çünkü yöntemlerini biliyorum ve kendilerini nasıl koruduklarını biliyorum. Bu daha fazla erişim elde etmem için yeterli.”
USDoD, Airbus’a erişmesine olanak tanıyan kimlik bilgileri nedeniyle üçüncü bir tarafı, Türk Hava Yolları çalışanını hedef aldı. Bu uzak bir ihtimal gibi görünse de, bilgisayar korsanları bu sınırlı erişimi, hassas kullanıcı kayıtlarını sızdırmak ve bunları çevrimiçi olarak ihlal forumlarında yayınlamak için yeterli buluyor.
Bu Senaryolarda Güvenlik Nerede Duruyor? Sahtekarları Tespit Etmek
Web sitesi yöneticisi tarafından hizmetin kullanıcısı olarak onaylanmasına kendisi de şaşıran USDoD’nin kullandığı yöntemin araştırılması, yoğun ilgi gerektiren önemli bir saldırı taktiğidir. Üst düzey bir çalışanın veya yönetimden erişim isteyen birinin adını görmek site yöneticisi üzerinde baskı oluşmasına neden olabilir.
Daha düşük bir atamaya sahip oldukları için kıdemli personel gibi davranan birinin talebini onaylayacaklar ve kıdemli personele erişimlerinin reddedilmesi halinde işlerini kaybetme riskiyle karşı karşıya kalacaklar. Bu senaryonun da vurguladığı gibi, her çalışanın başvurularının çapraz kontrol edilmesi süreci acil bir ihtiyaçtır.
Karşı tarafta kim olursa olsun, tüm çalışanlara ve web sitesi yöneticilerine, hiçbir erişim talebinin, olduğunu söylediği kişi tarafından gönderilen gerçek bir talep olup olmadığından emin olmak için kanıtla kontrol edilmeden önce onaylanmaması gerektiği açıkça belirtilmelidir.
İçeriden gelen bir tehdit olmaktan kaçınmak için, her başvuru sahibinin kimliğinin, unvanına veya sosyal statüsüne bakılmaksızın doğrulanması için dikkatli önlemler alınmalıdır. İlgili kişi iletişim numarasından aranabilir, şirket kayıtlarında belirtilen alternatif e-posta adresine e-posta gönderilmeli ve doğrulama için bir OTP veya kişisel ofis sohbet mesajlaşma hizmeti aracılığıyla onaylaması istenmelidir.
Kimliğe Bürünme Yoluyla Sosyal Mühendislik: İçeriden Gelen Tehditleri Aşmak İçin Favori Bir Araç
InfraGard siber saldırısı, 80.000’den fazla üyenin bilgilerini çalmasına olanak tanıyan USDoD tarafından üstlenildi. InfraGard, işletmeler ile FBI arasında bir köprü görevi gördüğü için USDoD tarafından hedef alındı. Bir satıcıyı veya üçüncü tarafı hedef alarak kritik bir altyapıyı hedeflemek bilgisayar korsanlarının ana odağı buysa, o zaman satıcı siber güvenliğini kendilerininmiş gibi eğitme ve yönetme zamanı gelmiştir.
Çünkü söz konusu olan sadece satıcı verileri değil aynı zamanda müşteriye ve onların müşterilerine ait bilgilerdir. USDoD’un iddia ettiği gibi NATO’nun portalına erişim sağlamaya benzer şekilde, üye olmak için başvurdu ve InfraGard’a kabul edilmeyi hedefledi. Bunu yaptı!
Bu kez, üyesi olmayan ancak USDoD’un başvurusunun muhtemelen kabul edileceğini beklediği bir finans firmasının CEO’sunu taklit etti, hackerın DataBreaches’teki röportajını okudu.
Röportajda, başvurusunun daha fazla inceleme yapılmadan kabul edilmesi onu şaşırttı.
İçeriden Gelen Tehditleri Kullanarak Sosyal Mühendisliği Mükemmelleştirmeye Yönelik Deneme ve Yanılma
Taklitçi, tanınmış bir şirketin CEO’su gibi davranırken yakalanmamak için dikkatli davrandı. USDoD, “İlk olarak, bazı yanlış bilgiler içeren yarım yamalak bir uygulama oluşturdum ve bunu InfraGard’ın nasıl yanıt vereceğini görmek için gönderdim” dedi.
Şirket tarafından reddedilince aldığı geri bildirimleri kullanarak tekniğini doğaçlama yaptı. Şöyle yazdı: “Başvurumda söylediklerinin yanlış olduğunu görünce, neyin doğru olması gerektiğini anladım.”
USDoD’nin şu açıklaması, veteriner erişimine ve kayıt taleplerine daha fazla önem verilmesini sağlıyor: “Gerçi, taklit ettiğim CEO’nun profesyonel e-posta adresini kullanmadığım için son başvuruyu kabul etmelerine çok şaşırdım.”
Tutanota e-posta platformunda CEO’nun kimliğine bürünen sahte bir e-posta oluşturdu. E-posta kimliğinin şu olduğunu iddia etti: [email protected]
USDoD, sosyal mühendislik saldırılarına %100 güvendiklerini belirtti. Genellikle hacker forumlarında ve hackerların sızıntı sitelerinde adı geçen bir sonraki hedeflerle birlikte, artık yeni kayıt yaptıranları gözetlemenin zamanı geldi.
Sosyal mühendislik saldırıları, hackerların sezgilerine ve planlamasına dayanan, alıcıyı manipüle eden ve onları istekleri onaylamaları veya siber suçluların uygun bir şekilde siber suç işlemesine olanak tanıyan görevleri gerçekleştirmeleri için kandıran iletişimleri içerir.
Uber Verilerine Erişimde MFA Yorgunluğu
Ünlü Uber hack’i, Uber personelinin kullandığı mesajlaşma hizmeti Slack’e çok sayıda giriş kimlik doğrulama isteği gönderen genç bilgisayar korsanları tarafından üstlenildi. Bilgisayar korsanları, Uber çalışanları gibi davrandılar ve bir saatten fazla bir süre boyunca diğer Uber çalışanlarına bildirimler gönderdiler. Bu, Çok Faktörlü Kimlik Doğrulama Yorgunluğu olarak da adlandırılan hedef MFA Yorgunluğuna neden oldu.
Bu yorgunluk, MFA özelliğini atlatmaya yönelik bir sosyal mühendislik saldırısından başka bir şey değildir. Siber suçlu, e-posta, telefon veya kayıtlı cihazlardaki kimlik doğrulamayla ilgili çeşitli anlık bildirimler gönderir.
Öte yandan mağdur sıkılabilir, yorulabilir ve cihazına gelen birçok bildirimden kurtulma talebini onaylayabilir. Bilgisayar korsanları, diğer kişinin sabrını denemek için kışkırtma ve ısrar içeren çocuk oyununa benzer teknikler kullanabilir, böylece onları rahatsız eden kişiden kurtulmak için ne gerekiyorsa yaparlar.
Bir şirket siber güvenliğe ne kadar harcarsa harcasın, hükümetler personelini eğitsin, yasal kurumlar temerrüde düşen şirketlere ceza versin ve saldırıları önlemek için tehdit tespit araçları kullanılsın, bir çalışanın veya içeriden gelen tehditlerin basit bir tıklaması potansiyel olarak tüm çabayı bir anda sona erdirebilir.
Bu nedenle, siber suçlularla mücadele etmek için her türlü korumanın görevlendirilmesi gerekirken, iş gücünün kimlik ve erişim yönetimi konusunda netleştirilmesiyle içeriden gelen tehditlerden kaçınılmalıdır. Kim olursa olsun herhangi bir kişi üzerinde kimlik doğrulama kontrolü yapmaları durumunda işlerinin elinden alınmayacağından emin olunmalıdır.
Verileri kaybetmeye, kritik altyapıyı tehditlere maruz bırakmaya ve iyi eğitim almamış ya da ısrarcı bilgisayar korsanlarıyla savaşma becerisine sahip olmayan birinin toplumdaki konumunu içeriden gelen bir tehdide feda etmeye değmez.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Siber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.