Phishing Saldırılarını Nasıl Tespit Edebilirsiniz?

1. Phishing Saldırısı Nedir?

Phishing, gerçek web sitesi veya e-posta gibi görünerek oturum açma kimlik bilgileri, kredi kartı numaraları, banka hesap numaraları veya diğer finansal bilgiler gibi hassas bilgileri ele geçirmeye çalışan bir siber saldırıdır. T.C. kimlik numarası , telefon numaraları ve sosyal medya hesap bilgileri de kimlik hırsızlığı yapan siber suçlular için ortak hedeflerdir.

Phishing saldırısı, sosyal mühendislikle birlikte aciliyet duygusu oluşturarak kurbanları kandırır. Kurban bir oltalama e-postası veya metin mesajını açıp kötü amaçlı bağlantıya tıkladığında, gerçek siteyle eşleşen sahte bir web sitesine yönlendirilir.

Yaygın olarak kullanılan phishing saldırılarında siber suçlular finansal kurumlarını, iş arkadaşlarından gelen e-postaları, devlet kurumlarını, sosyal medya sitelerini ve çevrimiçi ödeme işlemcilerini klonlayarak gerçekleştirirler.

Phishing en eski siber saldırılardan biri olmasına rağmen, birçok kuruluş için büyük bir tehdit olmaya devam ediyor. Bunun nedeni, yaygın kullanımı ve gelişmiş oltalama saldırısı kampanyalarıdır. Kimlik avcıları, phishing mesajlarının etkinliğini artırmak için hedefleri hakkında giderek daha fazla bilgi toplamaktadır.

Phishing girişiminin yaygın belirtileri şunlardır:

• Alt alan adlarının, yanlış yazılmış URL‘lerin (typosquatting) veya diğer şüpheli URL’lerin kullanımı
• Tehdit aktörü kurumsal bir e-posta yerine Gmail vb. bir ücretsiz eposta sağlayıcısını kullanıyor ve eposta içeriğindeki alan adı, linkin verildiği sahte alan adıyla doğrudan eşleşmiyor.
• Mesaj, korku veya aciliyet duygusu uyandırmak için tasarlanmıştır.
• Mesaj, banka oturum açma bilgileriniz veya sosyal medya parolanız gibi kişisel bilgileri doğrulama isteğini içerir.
• Mesaj ciddi yazım yanlışları ve/veya dil bilgisi hataları içerir.
• E-posta, kötü amaçlı yazılım veya fidye yazılımı olabilecek beklenmeyen veya olağandışı bir ek içeriyor.
• Gönderenin adını biliyorsunuz ama normalde onlarla iletişim kurmuyorsunuz, özellikle de e-postanın iş sorumluluklarınızla ilgisi yoksa
• Epostadaki URL, sosyal mühendislik için kullandığı sitenin URL’si ile eşleşmiyor.
• İletilen mesaj hiç girmediğiniz bir yarışmayı kazanmışsınız gibi gerçek olmayacak kadar kulağa hoş geliyor.

SOCRadar bilinen/tespit edilen phishing web sayfalarının listesini tutarak sisteminize beslemeler sağlar.

2. Son Dönemlerde Yaşanan Phishing Saldırıları

Hackerlar, Sony Şirket Verilerini Ele geçirmek İçin Phishing Saldırısı Gerçekleştirdi.

Sony çalışanlarına gönderilen bir dizi hedef odaklı phishing epostası (spear phishing) ile Sony’de büyük bir güvenlik ihlali oluştu. Tehdit aktörleri, LinkedIn’de Sony’de çalışan personelin adlarını ile unvanlarını araştırarak tespit ettikleri çalışanlara kendilerini şirket çalışanı gibi gösterip kötü amaçlı yazılım içeren epostalar gönderdi. Sonuçta, mali kayıtlar, müşteri verileri vb. kayıtları içeren 100 terabayttan fazla veri ele geçirildi. Bu phishing saldırısı Sony’ye 100 milyon dolardan fazla mali zarara neden oldu.

Şubat 2016’da Kaspersky Lab, Symantec, AlienVault, Invincea, Trend Micro, Carbon Black, PunchCyber, RiskIQ, ThreatConnect ve Volexity ile ortaklaşa Novetta firması koordinasyonunda hazırlanan ve yayınlanan raporda, saldırının Sony’den ayrılmış personel veya bir hacktvist tarafından yapılmış olamayacağı bildirildi. Ayrıca, malware analizi, kod yapıları, TTP’ler vb. hususlar (askeri casusluk kampanyasına da katılmış olması) incelendiğinde hangi grup olduğu tam bilinemese de devlet destekli bir grup tarafından yapıldığı değerlendirilmiştir.

ABD Adalet Bakanlığı, üç Kuzey Koreli bilgisayar programcısını (Park Jin Hyok, Jon Chang Hyok ve Kim Il), 2014 yılında Sony Pictures Entertainment’ın hacklenmesini içeren küresel bir siber planın parçası olarak 1,3 milyar dolardan fazla parayı gasp etmeye ve çalmaya çalışmakla suçladı. Çalınan paranın bir kısmını akladığı iddia edilen Kanadalı asıllı bir Amerikan vatandaşı da suçunu kabul etti. Ayrıca, bahse konu üç Korelinin 150 ülkedeki bilgisayarları etkileyen ve en önemlisi İngiltere Ulusal Sağlık Hizmetinin bilgisayar ağını zarar veren 2017 WannaCry 2.0 fidye yazılımı saldırısının arkasında olduğuna inanılıyor.

FBI, Kuzey Kore’nin var olmadığını söylediği bir adam için ‘Aranıyor’ posteri yayınladı.

Kaynak: https://www.bbc.com/news/world-asia-45522654

Ücretsiz iPhone 12? Bu Sahte ‘Apple Chatbot’ Davetine Dikkat Edin

Dünyanın en büyük akıllı telefon şirketlerinden biri olan Apple bir smishing kampanyasının hedefi olduğu bildirildi. Sahte bir Apple chat box mesajı ile, kullanıcılara Apple’ın yeni iPhone 12 için 2020 test programının bir parçası olma şansına sahip olduklarını bildirildi. Alıcılardan bir teslimat ücreti ödemeleri istendi. Kötü amaçlı bir web sitesine yönlendiren tehdit aktörleri, kurbanların ödeme kartı kimlik bilgilerini ele geçirdi.

Tehdit Aktörlerinin Kullandığı Mesaj Örneği

Kaynak: https://nakedsecurity.sophos.com/

3. Phishing Saldırıları Nasıl Önlenebilir?

Phishing saldırılarını önlemenin en önemli yollarından birisi farkındalık eğitimleri ile phishing saldırıları konusunda personelin bilinçlendirilmesidir. Lehigh University, personelinizi eğitmek için kullanabileceğiniz son zamanlardaki phishing örneklerinden oluşan önemli bir kaynağa sahiptir.

Ayrıca, personel eğitiminde phishing saldırısında aşağıdaki önlemleri uygulamaları yönünde personelinizin eğitimini sağlayın:

1. Anti-spam ayarlarınızı doğru şekilde kişiselleştirin ve güçlü spam filtreleri kullanın: Malware içeren dosyaları kullanıcılara ulaşmasını engelleyebilen güçlü spam filtrelerine ihtiyacınız vardır.
2. Şüpheli görünen ekleri açmayın: Bu madde sadece tanımadığınız kişiler tarafından gönderilen mesajlar için geçerli değildir. Aynı zamanda tanıdıklarınız olduğuna inandığınız göndericiler için de geçerlidir. Oltalama kaynaklı olarak başlayan fidye yazılım saldırılarının büyük çoğunluğu yönetici seviyesindeki çalışanların kimlik bilgilerinin ele geçirilmesi sonucunda oluşmaktadır.
3. Kişisel bilgileri vermekten kaçının: Saldırganların saldırıya hazırlanma sürecinde bir phishing epostası göndermeyi hedefleyebilirler ve bilgilerinizi bir yerden almaları gerekir. Önemli bilgiler için sosyal medya gönderilerinizi veya genel profillerinizi gözden geçirerek OSINT tekniklerini kullanarak elde edebilirler.
4. Dosya Uzantılarını Göster özelliğini kullanın: Bu, dolandırıcıların, bir dosyanın iki veya daha fazla uzantıya sahip gibi göründüğü kafa karıştırıcı bir teknik kullanmaya çalıştığı durumlarda yararlıdır.
5. E-posta kullanıcılarının kimliğini doğrulayın: Kötü niyetli kişilerin e-posta sahtekarlığı tekniklerini kullanmasını önlemek için Gönderen Politikası Çerçevesi (SPF), Etki Alanı İleti Kimlik Doğrulaması Raporlama ve Uygunluğu (DMARC) ve Etki Alanı Anahtarları Tarafından Tanımlanmış Posta (DKIM) gibi teknolojileri de kullanmalısınız.
6. Çalışanları sosyal mühendisliğe karşı periyodik olarak eğitin.
7. Bilinen kötü niyetli Tor IP adreslerini engelleyin.
8. Aciliyet duygusu yaratan e-postalara karşı dikkatli olun.
9. 2FA doğrulamayı mümkün olan her sisteminizde kullanılmasını sağlayın.
10. SSL uzantılarını kontrol edin.
11. URL yönlendirmeleri konusunda dikkatli olmaları konusunda personeliniz eğitin (Aynı tasarıma sahip farklı sitelere gitmeme)

Eğitimler ile phishing saldırılarının etkilerinden azaltabiliriz ancak Verizon DBIR 2021 raporunda da belirtildiği üzere tamamen kaldırmak mümkün değildir. Örneğin, 1148 kullanıcıya gerçek phishing epostası ile simüle edilmiş phishing epostası gönderiliyor. Kullanıcılar simule epostaya hiç tıklamazken gerçek phishing epostasına %2.5’i tıklıyor. Bu kapsamda, firma tarafında phishing e-postalarının personelinize ulaşmasını önlemek için katmanlı bir siber güvenlik programı kullanılması gerekmektedir.

4. SOCRadar’ı Phishing Saldırılarını Erken Tespit Amaçlı Nasıl Kullanabilirsiniz?

SOCRadar Unified olarak sunduğu Threat Intelligence servis ile aşağıdaki maddelerle phishing saldırılarından korunma sağlamaktadır.

SOCRadar Attack Surface Management modülü sayesinde internet üzerinde yer alan assetleriniz keşfederek & takip ederek phishing saldırılarını engellemeye ve hızlı tespit etmeye olanak sağlar:

• İnternete açık dijital varlık envanterinin çıkarılması,
• Eposta sahtekarlığı tekniklerini kullanmasını önlemek için kullanılan MX kayıtllı domainlerinizde SPF, DMARC ve DKIM kontrolünün yapılması

SOCRadar Digital Risk Protection Modülü sayesinde assetlerinize ve şirketinize yönelik olarak ortaya çıkan istihbarati bilginin tespit edilmesine olanak sağlar:

• Şirketinize ait domainlerin taklitleri yaratıldığında bilgilendirme ve taklit domainin izlenmesi
• Sahte domainlerin takedown edilmesi
• Şirketinize ait sosyal medya hesaplarının taklitleri yaratıldığında bilgilendirme yapılması ve taklit hesabın izlenmesi
• Şirketinizin mobil uygulamalarının kötücül marketlerde bulunma durumunun incelenmesi
• Çalışanlarınıza ait eposta hesaplarınızın Dark&Deep Web’te araştırılarak firma çalışanlarının e-posta hesaplarının açığa çıkma, şifrelerinin ele geçirilme durumunun bildirilmesi
• Müşterilerinizin özel epostalarının Dark&Deep Web’te araştırılarak açığa çıkma, parolalarının ele geçirilme durumunun bildirilmesi
• VIP ve kritik personelin (finans, developer, bilgi güvenliği, hukuk kısmı vb.) özel e-postalarının Dark&Deep Web’te araştırılarak açığa çıkma, parolalarının ele geçirilme durumunun bildirilmesi
• DLP identifiers özelliği sayesinde şirketinize ait kredi kartı, kritik personele ait bilgilerini (Kimlik Numarası, Telefon Numarası) Dark&Deep Web’te araştırılarak açığa çıkma durumunun bildirilmesi

SOCRadar DLP Identifier modülünü kullanmak için;
AttackMapper >Digital Footprint>Brand Monitoring >DLP Identifier alanına girdi yapabilirsiniz.

SOCRadar Cyber Threat Intelligence Modülü sayesinde güncel siber olaylara yönelik istihbaratın tespit edilmesine olanak sağlar:

• Tehdit aktörleri tarafından kullanılan IOC lerin güvenlik cihazlarına entegrasyonu,
• Oltalama amaçlı kullanılan phishing domainlerin tespit edilerek engellenmesi için entegrasyonların yapılması,
Phishing saldırıları konusunda yapılan tehdit paylaşımları sayesinde güvenlik personelinin aktif bilgilendirilmesi
• Malware Analysis modülüyle şüpheli dosyaların analiz edilmesi

SOCRadar Malware Analysis modülünü kullanmak için;
ThreatFusion>Malware Analysis>Upload alanına belirtilen formatta dosya upload edip online kontrolünü yapabilirsiniz.

 

SOCRadar Türkiye ekibi tarafından hazırlanmıştır.

Yorum Yaz

E-posta hesabınız yayımlanmayacak.

*
*

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.