Gerçek bir Phishing Olayı: Yatçılık

Yat satan bir arkadaşıma aşağıdaki mail gelmiş. Benimle fazla zaman geçirmiş olacak ki durumdan şüphelenmiş ve e-postayı gönderenin gerçek adresine bakmış. Şüphelendiği gibi aslında gönderen adresin e-postada görünen kurumsal kimlikle ilgisi yok.

 

Sözde yat kiralamak için ekte müşteri bilgilerini içeren bir PDF dokümanı var. Güzel bir senaryo, işi bu olan birinin rahatlıkla kanabileceği bir şey açıkçası. Bu noktada kendisine “bunu bekliyor muydum?” diye sorması dosyayı açmasını engellemiş.

Ekteki dosya PDF gibi görünse de aslında bir VBS (Visual Basic Script) ve aşağıdaki VirusTotal sonuçlarından da görülebileceği gibi antivirüs yazılımlarının çoğu bu dosyayı zararlı olarak görmüyor.

 

Bunun basit bir nedeni var aslında, dosyanın kendisi zararlı değil. Bu betiğin amacı internetten asıl zararlı yazılımı indirmek. Bu sayede antivirüslerin bir kısmını atlatmayı hedeflemişler.

İndirdiği 2 dosyadan bir tanesi, aşağıda görüldüğü gibi, antivirüsler tarafından daha kolay bulunabilen bir trojan. Trojan’lar bulaştıkları sistemin uzaktan yönetilmesine imkan verdikleri için siber suçlular açısından son derece kullanışlı yazılımlardır.

 

Bu olaydan çıkartılabilecek birkaç basit ders var;

  1. Kullanıcılarınızın farkındalığını artırın

Bu olayda zararlı yazılım mevcut e-posta güvenlik çözümlerini (antispam ve antivirüs) atlatarak son kullanıcıya kadar ulaşabilmiştir. Dosyanın çalıştırılmasını engelleyen tek şey kullanıcının dikkati oldu. Kullanıcılarınızın gelen maillerle ilgili, en azından, aşağıdaki soruları kendilerine sormalarını sağlayabilmeliyiz;

  • Bu maili bekliyor muydum?
  • Mail görünen adresten mi geliyor, yoksa gerçek adres farklı mı?
  1. Senaryolar gerçekçi hale geldi

Görüldüğü gibi oltalama (phishing) senaryoları son derece gerçekçi ve düşünülmüştür. Yat gibi son derece niş ve nispeten dar bir kitleye hitap eden bir sektör için bile ayrıntılı bir senaryonun kurgulandığını görüyoruz. Kamu veya finans gibi daha geniş yayılımı olan sektörler olduğunu düşünürsek gerçekçi ve inandırıcı senaryolarla karşılaşma ihtimalimiz çok daha yüksektir. Kullanıcı farkındalığının ne denli önemli olduğu bir kez daha ortaya çıkıyor.

  1. Dosyanın kendisi zararlı olmayabilir

Objektif bakıldığında, mailin ekindeki dosya zararlı değil, gerçekten. Tek görevi internetten zararlı dosyayı indirmek. Bu durumda antivirüs yazılımınızın bunun için bir uyarı vermemesi gayet mümkündür. Güvenlik durumuşuzu ve mimarimizi bunun gibi birkaç kademeden oluşan saldırılara karşı yeniden gözden geçirmeliyiz. Bu olayda saldırının ilk adımlarını tespit edebilecek birkaç çözüme ihtiyaç olurdu;

 

 

  1. Bütün zararlı yazılımlar aynı değil

Bu olaydaki trojan hedef sistemin uzaktan yönetilmesini sağlıyor. Aynı şekilde bu bir fidye yazılım (ransomware) de olabilirdi. Bu durumda olay müdahale süreçleri çok daha farklı olacaktı. Kuruluş sistemlerinde bulunan zararlı yazılımın türünün anlaşılması ve olay müdahalesinin saldırganın ne hedeflediğini bilerek kurgulanması zararı asgari düzeyde tutmak içi