Kendi sızma testi ekibimize sahip olacak ve onu sürdürecek kadar şanslı bir şirket olarak, saldırı güvenliği konusunda uzmanlığımızı sağlamak veya yardımcı olmak için sıklıkla diğer kuruluşlarla iletişim kuruyoruz.
Kerala Polis Siber birimiyle işbirliği yaparak Hindistan Devlet Bankasını (SBI) hedef alan büyük bir dolandırıcılığın araştırılmasına yardımcı olabildik. SBI, yarım milyardan fazla müşterisi ve hesap sahibiyle Hindistan’ın en büyük bankası ve dünyanın en büyük 50 bankasından biridir. Önemli bir hedef ortaya koyuyor ve ne yazık ki bu kadar ilgi gören tek kurum bu değil.
Peki saldırı nedir ve ne işe yarar?
Söz konusu saldırı tipik bir sosyal mühendislik vektörüyle başlıyor: Hesap güvenliği sorunu hakkında uyarı veren ve hedeflerden ekteki .apk dosyasını indirmelerini isteyen bir SMS veya Whatsapp mesajı. APK dosyası (bir Android uygulaması) elbette sahtedir ve SBI ile hiçbir ilgisi yoktur.
Şaşırtıcı olmayan bir şekilde, uygulama SBI’nin YONO markasını kötüye kullanıyor, sessizce ve menü bağlamının dışında çalışıyor ki bu, bu tür uygulamalar için oldukça normal bir özelliktir. Sahte uygulama tersine mühendislikten iyi korunuyor ve APK’nın kendisinin araştırılmasını engellemek veya kısıtlamak için adli tıp karşıtı teknikler kullanıyor. (Uygulamayı analiz ederken karşılaşılan zorluklar ve sıkıntılarla ilgileniyorsanız bu yazıya göz atın.)
Uygulama, son kullanıcıdan veri (ör. hesap numarası, kart numarası, şifre vb.) toplamak ve bu verileri daha sonra meşru siteye giriş yapmak için kullanacak olan saldırgana göndermek için SBI bankası giriş sayfasını taklit eder.
Banka, kurbana SMS yoluyla ikinci kimlik doğrulama faktörünü gönderdiğinde, kötü amaçlı uygulama bunu saldırganın kontrol ettiği bir telefon numarasına iletir ve saldırgan artık bankacılık portalına giriş yaparak kurbanın hesaplarını boşaltabilir.
Dolandırıcılığın sanayileşmesi şaşırtıcı: Farklı kurbanlara eşlenen 100’den fazla farklı alt alan vardı ve dönüşümlü olarak benzersiz telefon numaraları atandı, bu da hiçbir telefon numarasının iki kez kullanılmadığı anlamına geliyor (klasik kayıt numaraları). Bulgulara dayanarak her hafta en az 100 yeni kurbanın sahte uygulamayla hedef alındığı anlaşılıyor. Polis soruşturması hâlâ devam ettiği için, nihai kurbanların gerçek sayısını bilmiyoruz ve onlardan on binlerce kişi orada olabilir.
Azaltma ve sonuçlar
Yani onu analiz edersek burada iki bariz kusur var.
Bunlardan ilki, .APK’lerin dışarıdan yüklenebilme kolaylığıdır. Çoğu modern Android platformunda bunu önlemek için varsayılan yapılandırmalar mevcut olsa da, günümüzde Android versiyonlarının çok sayıda ve çeşitliliği, bunun gibi “püskürt ve dua et” saldırılarının hâlâ işe yaradığını garanti ediyor. Doğal olarak bu, iOS platformuna büyük bir avantaj sağlıyor, çünkü iOS cihazlarına jailbreak yapılmadan yandan yükleme uygulamaları en hafif tabirle zordur.
Bir sonraki kusur, ikinci bir kimlik doğrulama faktörünü almanın yolu olarak SMS’in kolayca tehlikeye atılması ve güvenli uygulamalarda veya herhangi bir finansal uygulamada gerçekten yeri olmamasıdır. Birçok bankanın hala bunu seçenek olarak kullanıyor olması endişe verici. Örneğin, HSBC (Avrupa’nın en büyük ve dünyanın en büyük 8’inci bankası) işlem onayları için hala varsayılan olarak SMS kimlik doğrulamasını kullanıyor, ancak artık ağırlıklı olarak uygulama tabanlı kimlik doğrulayıcılara ve soft token’lara yönelmeye başladı.
Kurumsal bağlamlarda, “sıfır güven” kavramına doğru oldukça ilerledik ve ilerledik ve artık SMS kimlik doğrulayıcıları gibi teknolojilere çok fazla güvenmiyoruz. Tüketici cephesinde ise Apple, Microsoft ve Google gibi satıcılar artık tüketici tabanlı uygulamalarda geniş ölçekte geçiş anahtarları dağıtmaya başladı; aşırı parola yüklemesinden ve güvenli olmayan 2FA teslim yöntemlerinden hoş bir rahatlama.
Büyük küresel finans kurumlarının tehdidi daha ciddiye aldığını ve eski kimlik doğrulama seçeneklerinden uzaklaştığını, böylece endüstriyel ölçekte tüketici banka hesaplarındaki hırsızlık ve dolandırıcılığın geçmişte kaldığını görmek güzel olurdu.