Siber güvenlik firması Sophos tarafından bugün yayınlanan yeni araştırma, yazılım açıklarını ve çalınan giriş bilgilerini satın almak için bilgisayar korsanlığı forumlarını kullanan siber suçluların sürekli olarak birbirlerine kandıklarını ve her seferinde binlerce doları dolandırdıklarını ortaya çıkardı.
Üstelik, suçlular dolandırıldıklarından şikayet ettiklerinde, polise ve müfettişlere gerçek dünyadaki kimliklerini ifşa edebilecek kendi kişisel bilgilerinden oluşan bir izler de vermiş oluyorlar. Yani dolandırılanlar sadece normal insanlar değil, dolandırıcılar da başka dolandırıcılar tarafından devamlı kandırılıyorlar.
Bilgisayar korsanları ve siber suçlular, birbirleriyle iş yapmak için genellikle belirli forumlarda ve pazar yerlerinde toplanıyorlar. Yardıma ihtiyaç duydukları yaklaşan işlerin reklamını yapabilir, insanların çalınan şifrelerinin ve kredi kartı bilgilerinin veritabanlarını satabilir veya insanların cihazlarına veya sistemlerine girmek için kullanılabilecek yeni güvenlik açıklarını duyurabilirler. Ancak, bu anlaşmalar genellikle kötüye gidiyor.
Sophos X-Ops’ta bu pazarları ve meydana gelen bu tür olayları inceleyen bir araştırmacı olan Matt Wixey şöyle açıklıyor;
“Suç forumlarında ve pazar yerlerinde dolandırıcıları dolandıran dolandırıcılar, başlangıçta düşündüğümüzden çok daha büyük”
Wixey en önde gelen siber suç forumlarından üçünü incelemiş: Rusça konuşan forumlar Exploit ve XSS ile Nisan ayında ABD kolluk kuvvetleri tarafından ele geçirildiğinde RaidForums’un yerini alan İngilizce dilindeki BreachForums. Siteler biraz farklı şekillerde işlese de, hepsinde diğer suçlular tarafından dolandırıldıklarını veya haksızlığa uğradıklarını düşünen kişilerin şikayette bulunabilecekleri “tahkim” odaları vardır. Örneğin, birisi kötü amaçlı yazılım satın alır ve işe yaramazsa, site yöneticilerine şikayet edebiliyor.
Wixey, şikayetlerin bazen insanların paralarını geri almasını sağlayabildiğini, ancak daha çok diğer kullanıcılar için bir uyarı işlevi gördüğünü söylüyor. Analize göre, araştırmanın kapsadığı son 12 ayda forumlardaki suçlular diğer dolandırıcılara 2,5 milyon dolardan fazla para kaptırdı.
BlackHat Avrupa güvenlik konferansında sunulan araştırmaya göre, bazı insanlar 2$ kadar düşük bir kayıptan şikayet ederken, sitelerin her birindeki ortalama dolandırıcılık 200$ ile 600$ arasında değişiyor. Dolandırıcılık çeşitli şekillerde oluyor. Bazıları basit, diğerleri daha karmaşık. Wixey, alıcının aldıklarını ödemediği veya satıcının parayı aldığı ancak sattıklarını göndermediği “soyup kaçma” dolandırıcılıklarının daha fazla olduğunu söylüyor. Diğer dolandırıcılık türleri arasında sahte veriler veya işe yaramayan güvenlik açıkları bulunuyor.
Exploit forumundaki ekstrem bir olayda, bir hesap, birisine bir Windows çekirdek istismarı sağladıklarına ve bunun için kabul ettikleri 130.000 doların ödenmediğine dair uzun bir şikayet yayınlamış. Alıcı, yazılımı test ettikten sonra ödeme yapacaklarını söylemiş ama parayı ödememiş. Araştırmaya göre, bazı dolandırıcılıklarda birden fazla hesap veya kişi birlikte çalışıyormuş gibi görünüyor.
Wixey’nin tespit ettiği en organize dolandırıcılık, 2017’den beri çevrimiçi olan ve otel oturum açma bilgilerini, çerezleri ve güvenliği ihlal edilmiş sistemlerden verilere erişim satan Genesis pazarına yönelik bir soruşturmadan kaynaklanmış. Sophos, Genesis’i araştırırken, Google’ın arama sonuçlarında üst sıralarda görünen web sitesinin sahte bir sürümünü keşfetti. Resmi Genesis pazarına benzememenin yanı sıra, sahte sürüm başka garip davranışlar da gösterdi: Başka bir siber suç web sitesine bağlandı, insanların ödeme yapabileceği Bitcoin adresi, birisi web sitesindeki kopyala ve yapıştır düğmesine tıkladığında değişti ve Reddit’te de reklamı yapılıyordu.
Wixey, bu işaretlerin sahtenin “koordineli” bir çaba olabileceğini ima ettiğini söylüyor. Metnin bazı bölümleri ve kripto para adresleri de dahil olmak üzere sahte Genesis web sitesindeki ayrıntılarla donanan araştırmacılar, hepsi aynı grup veya kişi tarafından birbirine bağlı ve yönetiliyor gibi görünen 20 web sitesi keşfetti. Web sitelerinin tümü aynı görünüyor ve Ağustos 2021 ile Haziran 2022 arasında kayıt edildi; bunlardan sekizi hâlâ yayında. Wixey, bu web sitelerinin neredeyse tamamının feshedilmiş suç pazarlarını taklit ettiğini ve insanların bunlara erişmek için para ödediklerini söylüyor. Dolandırıcılık da işe yarıyor gibi görünüyor. Araştırmacı, dolandırıcılık sitelerinin Bitcoin adreslerinin toplu olarak 132.000 dolar aldığını söylüyor, ancak paranın tamamının sahte web sitelerinden gelmiş olmayabileceğini de ikaz ediyor.
Sophos, sitelerin arkasında olabilecek bir tehdit kullanıcısı bulmuştu; “waltcranston” olarak anılan bir aktör. Waltcranston’ın sahte siteler ağının arkasında olduğunu tam olarak doğrulayamasa da Wixey, dolandırıldıklarından şikayet eden ve anlaşmazlıklarını tahkim yoluyla çözmeye çalışan suçluların müfettişler için potansiyel olarak zengin bir istihbarat kaynağı olabileceğini söylüyor.
Dolandırıcılıktan şikayet edenler, iddialarını desteklemek için kanıt yayınlamak zorunda olduklarından, genellikle amaçladıklarından daha fazla kişisel bilgi içeren ekran görüntüleri paylaşırlar. Sophos, kripto para birimi adresleri, işlem kimlikleri, e-posta adresleri, kurbanların adları, bazı kötü amaçlı yazılım kaynak kodları ve diğer bilgiler dahil olmak üzere bir “hazine hazinesi” verisi gördüğünü söylüyor. Tüm bu ayrıntılar, kullanıcı adlarının arkasındaki kişiler hakkında daha fazla bilgi ortaya çıkarmaya veya nasıl çalıştıklarına dair ipuçları sağlamaya yardımcı olabilir.
Bir dolandırıcılık şikayetinde bir kullanıcı, birinin Telegram kullanıcı adlarını, e-posta adreslerini, Jabber sohbet adlarını, ayrıca Skype ve Discord kullanıcı adlarını gösteren bir ekran görüntüsü paylaştı. Diğerlerinde, IP adresleri ve kullanıcıların bulunduğu ülkeler görüntülenir. Ekran görüntüleri, insanların kullandıkları yazılımların yanı sıra ziyaret ettikleri web sitelerini ve bilgisayar kurulumlarıyla ilgili ayrıntıları gösterir. Bazı durumlarda Wixey, siber suçluların hedef aldığı kurbanların ayrıntılarını gördü.
Suçlular, yaptıkları işin doğası gereği, kendilerini tanımlayabilecek herhangi bir şeyi paylaşma konusunda genellikle çok dikkatlidirler. Gerçek isimler kullanılmaz; genellikle Tor gibi anonimleştirme hizmetlerini kullanırlar. Wixey, “Genellikle oldukça iyi bir operasyonel güvenlik kullanırlar, ancak dolandırıcılık raporlarında durum pek öyle değildir” diyor.