Internet kullanıcılarına ait kredi kartı numaraları ya da banka hesap bilgilerini çalan ve kullanıcıların PC’lerine kötü amaçlı yazılımlar bulaştıran sahte Web sitelerinin en büyük sorumlusunun Avalanche olarak bilinen sofistike bir hacker çetesi olduğu saptandı.
Aralarında Web mağazacılığı, yazılım, güvenlik ve finans sektörlerinde faaliyet gösteren firmaların oluşturduğu Anti-Phishing Çalışma Grubu’nun (Anti-Phishing Working Group – APWG) yayınladığı bir rapora göre 2009’un son altı ayında dünya çapında artış gösteren phishing saldırılarından büyük ölçüde Avalanche adlı çete sorumlu. Çete sofistike malware phishing taktikleri kullanmasıyla tanınıyor.
Anti-Phishing Çalışma Grubu’nun yayınladığı rapor oldukça kapsamlı ve e-mail’den jenerik Web sitelerine, finans sektörüne yönelik hedefli saldırılardan sanal mağazacılığa varan dek pek çok alanda yapılan saldırıları bir araya topluyor.
APWG’nin araştırmasında Avalanche’nin dünyanın en büyük phishing operasyonu yürüten çetesi olduğuna dikkat çekiliyor. Aynı anda hem kitlesel phishing siteleri üreten hem de kötü amaçlı kodlar dağıtan çete, iki ayaklı mekanizmaları sayesinde çok daha fazla saldırıda bulunabiliyorlar.
Araştırmanın ortaya koyduğu belki de tek iyi haber ise bu çetenin faaliyetlerinin her geçen gün daha fazla güvenlik sağlayıcısı tarafından tanınması ve etkin önlemler alınabilmesi. Özellikle .biz, .info, .org ve .hk ile biten alan adları hem daha etkin güvenlik önlemleri kullanmaları hem de hedeflerin çok çekici olmaması nedeniyle Avalanche tarafından en az kullanılan domainler. Çete tarafından en fazla kullanılan domainler ise .com, .eu, .net ve .uk ile bitenler.
APWG araştırma raporuna göre 2009’un ikinci yarısında kurulan phishing amaçlı sahte web sitesi sayısı 126,697. 2009’un ilk yarısında bu rakam 56,697 idi. Şaşırtıcı olan ise 126.000’den fazla sahte sitenin 84.000 kadarının Avalanche imzalı oluşu.
Raporun ortaya koyduğu bazı çarpıcı rakamlara göz atacak olursak:
- 2009’un ikinci yarısında gerçekleştirilen 126.697 saldırı 28.775 özgün alan adından (unique domain name) geldi. 2009’un ilk yarısında bu rakam 30.131 idi. 2009 yılı içinde dünya genelinde kaydı yapılan toplam yeni alan adı sayısı ise 13 milyon.
- Alan adları dışında bir başka saldırı kaynağı ise kullanılan IP adresleri. 2009’un ikinci yarısında phishing saldırılarında kullanılan 2.031 özgün IP adresi (unique IP adress) tespit edildi. 2009’un ilk yarısında bu rakam 3.563 idi. Phishing amaçlı kullanılan IP adresleri arasında IPv6 kullanımı görmezden gelinecek kadar düşük düzeyde.
- Phishing gerçekleştirmede kullanılan 28.775 özgün alan adından 6.372’si özellikle phishing saldırısı yapma amacıyla alınırken kalan büyük çoğunluk hack yöntemleriyle ele geçirilmiş domainler. Bu 28.775 özgün alan adının sadece 12’si IDN (Uluslar arası Alan Adı) olarak dikkat çekiyor.
Araştırma raporu Avalanche çetesinin her bir botnet-hostlu sahte sayfadan ortalama 40 farklı saldırı gerçekleştirdiğini ortaya koyuyor. Bu saldırıların ortak yanı PIN numarası, kredi kartı numarası, banka hesap numarası gibi kişisel bilgileri çalmaya yönelik oluşu. Kullanılan sitelerde genellikle bir Zeus botnet programı yer alıyor ve aynı anda birden fazla PC’ye kötü amaçlı yazılım bulaştırmak hedefleniyor.
Araştırma raporunda ayrıca sahte Web-sitelerinin ortalama yayında kalma sürelerinin (uptime) sürekli düşmekte olduğuna dikkat çekiliyor. Bu durum hem güvenlik camiasının artık daha dikkatli oluşundan hem de saldırganların yakalanma riskini azaltmak istemesinden kaynaklanıyor.
Son olarak, raporda yer alan Üst Seviye Alan Adlarına (TLD) Göre Phishing İstatistikleri ve Yayında Kalma Süresi başlıklı ekte Türkiye’ye ait bazı istatistikler de göze çarpıyor. Rapora göre .tr uzantılı TLD’lerden yapılan özgün phishing saldırı sayısı 52. Ülke bazında bakıldığında 14,387 saldırı ile .uk uzantısını kullanan İngiltere ilk sırada. İngiltere’yi 2.826 özgün saldırı ile Çin, 1.597 özgün saldırı ile Rusya ve 1,329 saldırı ile Polonya izliyor.
TLD uzantısı bazında en fazla phishing saldırısı ise 39.355 saldırı ile .com, 28.793 saldırı ile .eu ve 14.609 saldırı ile .net uzantılarında yaşanmış durumda. Tr uzantılı 52 phishing saldırısında Avalanche grubu saldırılarına ise rastlanmamış.
Kaynak : 