Bilgisayar korsanları, gelişmiş yeni teknolojilerin yardımıyla eski insan davranışlarından yararlanarak kurumsal BT sistemlerini giderek daha fazla ihlal ediyor.
Tehdit aktörleri, kimliğe bürünme, gasp ve büyük sektörlere yönelik son derece yıkıcı saldırılar için şirket yöneticilerini, hükümet yetkililerini ve diğer yüksek profilli kişileri hedef alan, hedefe yönelik ve gittikçe kişiselleşen kampanyalar başlatmak için derin sahte videolar, yapay zeka destekli ses klonlama ve diğer araçları kullanıyor.
Sosyal mühendislik, Mayıs 2024’ten Mayıs 2025’e kadar olay müdahale vakalarında önde gelen erişim vektörüydü, Palo Alto Networks Temmuz ayında yayınlanan bir raporda şöyle söylendi.
Saldırganlar, Palo Alto Networks’ün o dönemde araştırdığı olayların %36’sında sistemleri ihlal etmek için sosyal mühendislik kullandı. Bu vakaların üçte ikisinde bilgisayar korsanları, hedeflenen sistemlere erişmek için ayrıcalıklı veya yönetici hesapları hedef aldı.
Palo Alto Networks’ün Birim 42 ekibinin kıdemli başkan yardımcısı Sam Rubin, “Hem hassas bilgilere hem de iş açısından kritik sistemlere yönelik geniş ayrıcalıklara sahip yöneticiler, kurumsal krallığın anahtarlarını elinde tutuyor” dedi. “Hem hasarı hem de gasp karını en üst düzeye çıkarmak isteyen saldırganlar, yöneticilerin kazançlı hedefler haline geldiğini biliyor.”
Sosyal mühendislik saldırılarının yarısından fazlasında bilgisayar korsanları hassas verilere erişebildi ve artan sayıda vakada saldırılar, kritik iş işlevlerini aksattı veya şirketlerin operasyonel performansı üzerinde ılımlı bir etki yarattı.
Kimliğe bürünme, güvenlik önlemlerini atlar
Tehdit grupları, üst düzey yöneticilerin kimliğine bürünmek için giderek daha fazla ses klonlama, deepfake ve diğer yapay zeka tabanlı teknolojileri kullanıyor.
Bazı durumlarda bilgisayar korsanları, gasp amacıyla doğrudan üst düzey yöneticileri hedef aldı veya kimliğe bürünme amacıyla seslerini klonladı. Saldırganlar bir yöneticinin sesini klonladıktan, e-posta kişilerine eriştikten veya resimlerini kopyaladıktan sonra, yardım masasına sahte kimlik bilgileri sıfırlama isteklerinde bulunabilir veya alt düzey çalışanlara hileli talepler gönderebilir.
Google’ın Tehdit İstihbarat Grubu’nun baş istihbarat analisti Scott McCollum, Cybersecurity Dive’a şunları söyledi: “Yapay zeka çağında, yöneticilerin sesli veya görüntülü sahtekarlıkları meşru bir risk haline geldi.” “Şüphelenmeyen kişiler yöneticilerinden veri veya erişim talebinde bulunan bir çağrı veya mesaj aldığında, bu durum şirket güvenliği için gerçek bir risk oluşturur.”
Bilgisayar korsanları son aylarda perakende, havacılık ve sigorta sektörlerindeki şirketler de dahil olmak üzere çeşitli sektörlere yönelik karmaşık saldırılar gerçekleştirmek için sosyal mühendisliği kullandı.
Bu yılın en dikkat çekici saldırılarından birinde İngiliz perakendeci Co-op, şu sonuçlara yol açan bir saldırı yaşadı: 275 milyon $ (206 milyon pound) satış kaybı.
Co-op grup dijital ve bilgi sorumlusu Rob Elsey, Avam Kamarası alt komitesine, bilgisayar korsanlarının bir çalışanın kimliğine bürünerek ve çeşitli güvenlik sorularını yanıtlayarak, hesabın kimlik bilgilerini sıfırlamalarına olanak tanıyarak şirket ağlarını ihlal ettiğini söyledi.
Elsey, “Bu etkinlik, hesabı kötü niyetli olarak kullanmaya başlamadan yaklaşık bir saat önce gerçekleşti” dedi. İş ve Ticaret Alt Komitesine anlattı Temmuz ayındaki duruşmada.
Diğer birçok kuruluş gibi Co-op da böyle bir olaya saldırı simülasyonu ve kırmızı takım tatbikatları yoluyla hazırlık yapmıştı. Ancak siber suç çetesi Scattered Spider’ın aylarca süren bir hackleme çılgınlığı sırasında gerçekleştirdiği birçok saldırıda olduğu gibi, gerçek olayın yarattığı baskı, hackerların şirketlerin bu tür saldırıları önlemek veya en azından hafifletmek için güvendiği stratejilerin çoğunu atlamasına olanak tanıdı.
Co-op saldırısı, dikkatleri The Com olarak bilinen gevşek bir yeraltı ağında çeşitli bağlı kuruluşlarla birlikte çalışan, İngilizce konuşan genç bilgisayar korsanlarından oluşan bir siber suç grubu olan Scattered Spider’a yeniden odakladı.
Ağustos ayında Workday bunu doğruladı. bir sosyal mühendislik saldırısı yaşadım Bilgisayar korsanlarının, çalışanları hesaplarının şifrelerini sıfırlamaları için kandırmak amacıyla BT ve insan kaynakları yetkililerinin kimliğine büründüğü olay. Bilgisayar korsanları daha sonra üçüncü taraf bir müşteri ilişkileri yönetimi platformundan bilgilere erişebildiler.
Gelişen taktikler
Siber güvenlik ve olaya müdahale uzmanları, sosyal mühendislik taktiklerinin son yıllarda geliştiğini söylüyor. Tehdit aktörleri geleneksel olarak insanları e-posta eklerine yerleştirilmiş kötü amaçlı yazılımları indirmeleri için kandırmaya odaklanıyordu, ancak çok faktörlü kimlik doğrulama ve diğer güvenlik önlemlerinin artan kullanımı, saldırganları ilk erişim elde etmek için daha yaratıcı ve kişisel yöntemler benimsemeye zorladı.
Proofpoint’teki araştırmacılar, değişikliğin ardındaki önemli nedenin Microsoft’un bu hamlesi olduğunu söylüyor XL4 ve VBA makrolarını devre dışı bırak Bilgisayar korsanlarının sıklıkla kötüye kullandığı Office ürünlerinde.
Proofpoint’te personel tehdit araştırmacısı ve istihbarat analizi ve stratejisi lideri Selena Larson, Cybersecurity Dive’a şunları söyledi: “Buna karşılık, tehdit aktörleri sıkıştırılmış yürütülebilir dosyalara, alternatif dosya türlerine ve giderek daha karmaşık hale gelen saldırı zincirlerine yöneldi.”
2024’ten bu yana tehdit grupları, yaygın olarak kullanılanlar gibi yeni ilk erişim yöntemlerine yöneldi. Kimlik bilgilerini çalmak için ClickFix tekniği ve mali dolandırıcılık yapmak.
Yüksek değerli hedefler
Haziran ayında Ponemon Institute ve BlackCloak bir rapor yayınladı şirket yöneticilerine ve yüksek net değere sahip bireylere yönelik sosyal mühendislik saldırılarının arttığını ve 10 katılımcıdan yaklaşık dördünün derin sahte kimliğe bürünme saldırısı bildirdiğini gösteriyor.
BlackCloak güvenlik operasyonları başkanı Brian Hill, Cybersecurity Dive’a şunları söyledi: “En yaygın saldırılar, ödeme veya bilgi talep etmek için güvenilir varlıkların kimliğine bürünmeyi içeriyor ve yöneticilerin önemli bir kısmı dijital saldırıların fiziksel zarara dönüşebileceğinden korkuyor.”
Hill’e göre, bilgisayar korsanlarının aile üyelerini ve diğer kişisel kişileri hedef almasıyla sosyal mühendislik saldırıları giderek daha istilacı hale geldi.
Şirketler ve üst düzey yöneticiler, sistemlerini gelecekteki saldırılara karşı daha iyi korumak ve kişisel güvenliklerini artırmak için bir dizi adım atabilir.
Bu adımlar şunları içerir:
- Seyahat dahil kişisel etkinliklerle ilgili sosyal medya paylaşımlarını sınırlayın.
- Aile üyeleri hakkındaki bilgileri kamuya ifşa etmekten kaçının.
- Kimlik avına dayanıklı çok faktörlü kimlik doğrulamayı kullanın.
- Parolalarda, MFA sıfırlamalarında ve bankacılık bilgilerinde değişiklik yapmak için bant dışı yöntemler kullanın.
Google Tehdit İstihbarat Grubu özel istihbarat yöneticisi Sam Lewis, Cybersecurity Dive’a şunları söyledi: “Yöneticiler, kendileri, aileleri ve şirketleri hakkında çevrimiçi olarak kolayca toplanabilen bilgilere dayalı hedeflemeye karşı giderek daha savunmasız hale geliyor.”