2021 Nisan ayı içerisinde birçok bilinen yüksek profilli firmadan veri sızıntısı haberleri geldi. Bunların bir kısmı günceldi, bir kısmı ise aylar hatta yıllar öncesinde gerçekleşen sızıntıların yeni ortaya çıkmasıydı. Haberleri gördük, ilgimizi çekiyor ise belki okuduk ve “artık bunlar normal” diyerek geçip gittik.
Öncelikle şunu belirtmeliyim, veri sızıntısı haberlerinin son zamanlarda artması sızıntıların arttığı anlamına gelmiyor. Bu tür saldırılar ve sızıntılar dijital çağa adım attığımızdan beri yaşanıyor fakat pek azı açığa çıkıyordu. Son yıllarda GDPR, KVKK gibi düzenleyici kurumların yayınladığı kanunlar nedeni ile sızıntı veya saldırı yaşayan kuruluşlar bunu bildirmek zorundalar. Dolayısı ile karşımıza her gün yeni bir haber çıkıyor.
Sızan veriler ne için kullanılıyor?
Her gün çalışan ve internete düşen veriler siber suçlular için büyük bir gelir kaynağı. Saldırganlar sızdırdıkları verileri birkaç farklı şekilde kullanıyorlar.
- Verilerinizi başka suçlulara satıyorlar: Çalınan veriler karanlık web dediğimiz aramaya kapalı sadece bilenlerin girdiği internet sitelerinde bir, iki dolardan başlayarak on binlerce dolara çıkan fiyatlarla satıştalar. Satın alanlar bu verileri kendi art niyetli amaçları için kullanıyorlar.
- Kimlik hırsızlığına giden yolun köşe taşları: Sızan verilerimiz arasında bulunan telefon numarası, adres, kimlik bilgilerimiz gibi veriler sahte kimlikler yaratmak amacı ile kullanılıyor. Suçlular bu sayede adımıza kredi kullanmaktan, cep telefonu hattı satın almaya kadar her şeyi yapabiliyorlar.
- Diğer hesaplarımızı ele geçirmek için: Çalınan kişisel verilerimiz sayesinde alışveriş sitelerindeki hesaplarımız kolayca ele geçirilebiliyor. Hesapta ödeme bilgilerimiz de kayıtlı ise saldırganların adresi değiştirip yüklü miktarda alışveriş yapmaları işten bile değil.
- Phishing saldırıları: Birçok kişisel bilgimize sahip olan saldırganların kredi kartı ve ödeme bilgilerimizi de ele geçirmek için oltalama saldırıları düzenlemeleri oldukça kolay oluyor.
- Kişisel veriler firmaları ele geçirmek için kullanılıyor: Bireysel zararların yanı sıra bu veriler sayesinde hedeflenen bir şirket çalışanının oltaya gelmesi durumunda tüm şirket tehlike altına giriyor.
Peki nasıl?
Yaşanan gerçek sızıntılardan yola çıkarak, bir örnekle durumu daha net anlamaya çalışalım.
2021 Nisan ayında Facebook, Yemeksepeti, LinkedIn sızıntıları ile karşılaştık. Bu olaylardaki veriler birbirinden bağımsız saldırılar sonucu farklı zamanlarda ele geçirilerek karanlık web’de yayınlandı. LinkedIn verilerin bir saldırı sonucu sızmadığını zaten halka açık profillerin toplandığını iddia etti. Birbirinden farklı günlerde ve birbirinden bağımsız haberler halinde okuduğumuz için bize çok bir şey ifade etmiyor. Fakat gerçek yaşama etkisi öyle değil.
Sızan verilerin neler olduğunu biliyoruz, gerçek isim ve bilgileri kullanmadan şekle büründürelim. Diyelim ki Facebook’dan sızan veriler içerisinde “Ahmet Yılmaz” isimli bir kişi var.
Adı: Ahmet Yılmaz
Telefon Numarası: 5322222222
Eposta Adresi: [email protected]
Doğum Tarihi: 01.01.1975
Ve arkadaş listesi elimizde.
Yemeksepeti verilerini tarıyoruz ve aynı ad, telefon ve eposta adresine sahip Ahmet’i orada da buluyoruz. Artık elimizde ev belki iş adresi ve verdiği siparişler var. Ahmet haftada bir iki defa hemen hemen aynı saatlerde sipariş veriyor. Genellikle hamburger yiyor.
Taramalara devam ederek aynı isme ve eposta adresine sahip Ahmet’i LinkedIn sızıntılarında da buluyoruz. Ahmet Lord isimli bir şirkette muhasebe müdürü olarak çalışıyor. Şirketin merkezi Beyoğlu’nda. Facebook verilerinden öğrendiğimiz yakın çevresi dışında artık iş çevresini de biliyoruz. Ayrıca iş epostası da elimizde.
Bu arada zaman zaman KVKK sitesinde de açıklanan banka ve sigorta şirketleri kaynaklı sızıntılar var. Ahmet Bey’i bir de bu sızıntı veri tabanlarında aratalım bakalım orada neler bulacağız? Ahmet’in bir bankanın Beyoğlu şubesinde maaş hesabı var. Kredi kullanmış ve ödemelerini üç ayda bir aksatıyor. Ayrıca nüfus cüzdanının fotokopisine kadar kimlik bilgileri de elimizde.
(Laf aramızda Türkiye’de nüfus cüzdanı fotokopisine ulaşmak için bir bankayı hacklemenize gerek yok. Televizyon veya telefon aboneliği yapan herhangi bir dükkâna girseniz bile onlarca kimlik fotokopisine ulaşırsınız.)
Şu an muhtemelen Ahmet Yılmaz hakkında annesinin bildiğinden daha çok şey biliyoruz.
Hem kişisel hem de kurumsal kimliği elimizde olan Ahmet’in verileri ile yapabileceklerimizin sınırı yok gibi. Adına sipariş verip kargolarını teslim alabiliriz, telefon hattı açarak terör eylemlerinde kullanılmak üzere satabiliriz, araç kiralayabiliriz.
Ama varsayalım ki biz büyük düşünen bir hacker gurubuyuz ve Ahmet sadece bir araç.
Hemen Ahmet’e bankasından gelmiş gibi görünen bir eposta gönderiyoruz. Epostanın geldiği adres bankanın resmi eposta adresine çok benzer olsun, tasarımı da yine bankanın gerçek bilgilendirme epostalarından birebir kopyalayalım ve epostayı Ahmet Bey’in LinkedIn sızıntısından öğrendiğimiz [email protected] olan iş epostasına gönderelim. Ahmet Bey’i banka sızıntılarından öğrendiğimiz üç ayda bir ödemesi geciken kredisi hakkında bilgilendirelim. Ekte de kredi dökümü olan bir PDF dosyası iletelim.
Ahmet Yılmaz bu epostayı aldığında takdir edersiniz ki hiç şüphelenmeden açacaktır. Çünkü gerçekten bir kredisi vardır ve gerçekten üç ayda bir geciktiriyordur.
Peki pdf dosyasını açınca ne olacak? Ahmet Bey için hiçbir şey. Çünkü dosya bozuk ve açılamıyor. Ahmet bey iş yoğunluğu arasında banka ile görüşmesi gerektiğini düşünecek ama az önce yaşanan durumu önemsemeyecek.
Fakat saldırganlar artık Lord şirketinin içerisinde. Üstelik saldırı tamamen hedefli ve kişiye ve şirkete özel yapıldığı için hiçbir zararlı yazılım kullanılmadı. Dolayısı ile Lord şirketinin güvenlik duvarı durumu fark etmedi.
Eğer Lord şirketinin ağını sürekli izleyen bir siber güvenlik ekibi veya hizmet aldığı bir tedarikçi yoksa saldırganlar elde ettikleri yetkileri yükselterek aylarca şirket ağı içerisinde istedikleri gibi dolaşacaklar, istedikleri verileri alacaklar.
Karanlık webden 3-5 dolara satın aldığı bilgileri kullanan ve bu işi sadece basit bir ev bilgisayarından gerçekleştirebilen saldırganlar artık bir siber espiyonaj operasyonunun içindeler. Lord şirketinden elde ettikleri bilgiler milyonlarca dolara satabilecekleri gibi, şirket verilerini şifreleyerek fidye talebinde de bulunabilirler.
Bir başka yazıda Lord şirketine yerleşen saldırganların içeride hangi araçlarla neyi, nasıl yaptığını konuşmak üzere hoşça kalın.
Kaynak : 