Bilgi Güvenliği konusunda hali hazırda yazılar yazdığımın farkındasınızdır. Bu doğrultuda blog kategorilerimi güncellerken alt başlıkları Bilgi Güvenliği ve Siber Güvenlik olan Güvenlik kategorisinde yeni kategorilere yer verdim ve yazıları bu başlıklar altında toparladım. Bildiğiniz üzere siber güvenlik, dijital dünyadaki varlığımızı koruma altına almak açısından kritik bir öneme sahiptir. Teknolojinin hızla gelişmesi, herkesi dijital varlıklarını koruma konusunda daha bilinçli olmaya zorluyor. Tehditlerin çeşitliliği artarken, güvenlik önlemlerinin de buna paralel gelişmesi gerekiyor. Her geçen gün ve saat yeni tehditler ortaya çıkıyor.
Bu yazıda, siber güvenlik tehditlerini ve bu tehditlerle başa çıkma yöntemlerini ele alıyorum. Gelişen teknoloji, siber güvenliğin teknik bir mesele olmanın ötesinde stratejik bir öncelik olduğunu ortaya koyuyor. Siber güvenliğin başarısı, güvenlik araçlarının yanı sıra insan faktörü ve farkındalığa da bağlıdır. Bireyler ve organizasyonlar için farkındalık eğitimleri ve bilgi paylaşımı fazlasıyla kritik roller oynar. Bu yazıyla beraber, siber tehditleri ve mücadele yollarını anlamamız için sizlere rehberlik etmeyi amaçlıyorum. Siber güvenlikte iş birliği ve dayanışma, tehditlerle mücadelede anahtardır diyebiliriz. Buyurunuz;
- Hesap Ele Geçirme
- Gelişmiş Kalıcı Tehdit (APT)
- Amazon Web Services (AWS) Saldırıları
- Uygulama Erişim Token’ı
- Fatura Dolandırıcılığı
- Brute Force Saldırısı
- İş E-Postası Ele Geçirme (BEC)
- Bulut Kripto Madenciliği
- Komuta ve Kontrol (C2) Saldırısı
- Ele Geçirilmiş Kimlik Bilgileri
- Kimlik Bilgisi Dökümü (Credential Dumping)
- Kimlik Bilgisi Yeniden Kullanım Saldırısı (Credential Reuse Attack)
- Siteler Arası Komut Dosyası Çalıştırma (Cross-Site Scripting – XSS)
- Kripto Kaçakçılığı Saldırısı (Cryptojacking Attack)
- Veri Manipülasyonu Saldırıları (Data Manipulation Attacks)
- DNS Amplifikasyon Saldırısı
- DNS Ele Geçirme (DNS Hijacking)
- DNS Tünelleme (DNS Tunneling)
- DoS Saldırısı (Denial of Service – DoS Attack)
- Drive-by İndirme Saldırısı (Drive-by Download Attack)
- Dosyasız Zararlı Yazılım (Fileless Malware)
- İç Tehdit (Insider Threat)
- Nesnelerin İnterneti (IoT) Tehditleri
- Makro Virüsler (Macro Viruses)
- Kötü Amaçlı PowerShell (Malicious PowerShell)
- Kötü Amaçlı Yazılım (Malware)
- Ortadaki Adam Saldırısı (Man-in-the-Middle Attack – MITM)
- Kimlik Sahtekarlığı Saldırısı (Masquerade Attack)
- Meltdown ve Spectre Saldırıları
- Ağ Dinleme (Network Sniffing)
- Açık Yönlendirme (Open Redirection)
- Hash ile Geçiş Saldırısı (Pass the Hash Attack)
- Kimlik Avı (Phishing)
- Kimlik Avı Yükleri (Phishing Payloads)
- Mızrak Kimlik Avı (Spear Phishing)
- Balina Avı (Whale Phishing – Whaling)
- Yetkili Kullanıcı Ele Geçirilmesi (Privileged User Compromise)
- Fidye Yazılımı (Ransomware)
- Yönlendirici ve Altyapı Saldırıları (Router and Infrastructure Attacks)
- Gölge BT (Shadow IT)
- Simjacking (SIM Kart Ele Geçirme)
- Sosyal Mühendislik Saldırısı (Social Engineering Attack)
- Casus Yazılım (Spyware)
- SQL Enjeksiyonu (SQL Injection)
- Tedarik Zinciri Saldırısı (Supply Chain Attack)
- Şüpheli Bulut Depolama Aktiviteleri (Suspicious Cloud Storage Activities)
- Tipokapma Saldırısı (Typosquatting)
- Su Kaynağı Saldırısı (Watering Hole Attack)
- Web Oturumu Çerezi Hırsızlığı (Web Session Cookie Theft)
- Sıfır Gün Açığı Sömürüsü (Zero-Day Exploit)
Hesap Ele Geçirme
Hesap ele geçirme, bir kullanıcının hesabına erişmek için kullanılan en zararlı yöntemlerden biri olarak kabul edilir. Saldırgan genellikle gerçek bir müşteri, kullanıcı veya çalışan gibi davranarak, sonunda temsil ettikleri kişinin hesaplarına giriş yapar. Yalnızca 2022 yılında bile, kimlik ile ilgili ihlallere %84 oranında kurumlar maruz kalmış, bu ihlallerin %96’sı ise kimlik merkezli güvenlik uygulamalarıyla önlenebilir veya en aza indirilebilirdi.
Doğru teknolojiler ve politikalar (örneğin, sıfır güven ve tedarikçi yönetimi) olmadan, anormal kullanıcı davranışını tanımlamak inanılmaz derecede zor olabilir. Sonuç olarak, bu tür saldırılar genellikle fark edilmez, çünkü kötü niyetli bir kullanıcının gerçekleştirdiği kimlik doğrulama, kimlik ve erişim yönetimi (IAM) çerçevesinin ne kadar kapsamlı olduğuna (veya var olup olmadığına) bağlı olarak, yasal bir kullanıcınınkiyle aynı görünebilir.
Bilmeniz Gerekenler: Kart veya kimlik bilgilerini doğrudan çalmak yerine, hesap ele geçirme daha gizli bir şekilde gerçekleşir ve saldırganın, kartın kötüye kullanımından şüphelenilene kadar kartı olabildiğince kullanmasına olanak tanır. Bankalar, büyük pazar yerleri ve PayPal gibi finansal hizmetler yaygın hedeflerdir ve giriş gerektiren herhangi bir web sitesi bu saldırıya karşı savunmasızdır.
Kuruluşlar, kullanıcı kimliklerini daha iyi koruyabilmek ve doğrulamak için ağ güvenliğinden uzaklaşmalıdır. Yakın zamana kadar, belirli teknolojiler basitçe gerekli entegrasyon yeteneklerinden yoksundu ve bu da bir kuruluşun kaynaklarının genel güvenliğini merkezi olarak izleme yeteneğini sınırlıyordu. Şimdi ise çok faktörlü kimlik doğrulama (MFA) gibi erişim kontrolü etrafında dönen sayısız teknoloji mevcut.
Saldırı Nasıl Gerçekleşir: En yaygın yöntemler arasında vekil tabanlı “checker” tek tıklamalı uygulamalar, brute force botnet saldırıları, kimlik avı ve kötü amaçlı yazılımlar yer alır. Diğer yöntemler arasında çöpe atılmış postadaki kişisel bilgileri bulmak için çöp karıştırmak ve kara piyasada satılan “Fullz” olarak adlandırılan tam kimlik paketlerini doğrudan satın almak yer alır. Kurbanın profili satın alındıktan veya oluşturulduktan sonra, bir kimlik hırsızı, bilgi tabanlı kimlik doğrulama sistemini atlatmak için bu bilgileri kullanabilir.
Tehdit veya saldırgan, zayıf veya hiç olmayan bir IAM çerçevesinin bulunmadığı durumlarda, ağı kolayca ihlal edebilir veya çevreyi aşabilir. Her iki durumda da, kimlik erişim kontrolleri çok gevşek olduğundan, saldırgan çalınan kimlik bilgileriyle kolayca giriş yapabilir ve sonunda serbestçe hareket edebilir.
Saldırı Nereden Gelir: Mali ve diğer tüm işlemlerimizin büyük bir hacmi çevrim içi olarak gerçekleşir. Siber suçlular için hesap kimlik bilgilerini ve kişisel bilgileri (sosyal güvenlik numaraları, ev adresleri, telefon numaraları, kredi kartı numaraları ve diğer finansal bilgiler gibi) edinmek oldukça karlı bir iş olabilir. Elde edilen bilgileri satmayı ya da kendi çıkarları için kullanmayı tercih edebilirler.
Artan kimlik avı saldırıları, kullanıcı kimliklerinin çoğalması ve bulut kullanımının artmaya devam etmesiyle, bu tür saldırılar her yerden gelebilir; üçüncü taraf satıcılardan, çalışanlardan, uzaktan çalışanlardan ve taşeronlardan dahi.
Gelişmiş Kalıcı Tehdit (APT)
Bir gelişmiş kalıcı tehdit (APT), bir bilgisayar sistemi veya ağa yönelik oldukça gelişmiş ve gizli bir tehdittir. Bu tehditte yetkisiz bir kullanıcı sisteme sızar, fark edilmeden kalır ve bilgi elde eder. Bu tür saldırılar genellikle finansal kazanç veya politik casusluk amacı güden suçlular ya da devletler tarafından gerçekleştirilir. APT’ler, hükümet veya endüstri sırlarını çalmak isteyen devlet destekli aktörlerle ilişkilendirilmeye devam ederken, belirli bir bağlantısı olmayan siber suçlular da veri veya fikri mülkiyet çalmak için APT’leri kullanabilir.
Bilmeniz Gerekenler: Gelişmiş kalıcı tehdit (APT), bir bilgisayar sistemi veya ağ üzerinde yetkisiz bir kullanıcının sisteme sızıp fark edilmeden kalmasını ve bilgi elde etmesini içeren oldukça gelişmiş bir tehdittir. Bu saldırılar genellikle finansal kazanç veya politik casusluk amacıyla gerçekleştirilir. APT’ler, hükümet veya endüstri sırlarını çalmak isteyen devlet destekli aktörlerle ilişkilendirilir; ancak siber suçlular da bu yöntemleri kullanarak veri veya fikri mülkiyet çalabilir.
Saldırı Nasıl Gerçekleşir: APT genellikle yüksek düzeyde gelişmiş taktikler içerir ve hedef sisteme girmek için oldukça karmaşık yöntemlerin yanı sıra daha basit yöntemler de kullanılır (örneğin kötü amaçlı yazılım ve mızrak kimlik avı). Hedefi tehlikeye atmak ve erişimi sürdürmek için çeşitli metodolojiler kullanılır.
En yaygın saldırı planı, tek bir bilgisayardan başlayıp tüm ağa yayılmak için bir kimlik doğrulama veritabanını okumak, uygun izinlere sahip hesapları öğrenmek ve bu hesapları kullanarak varlıkları tehlikeye atmaktır. APT saldırganları ayrıca, istismar edilen ortamda ele geçirilmiş bilgisayarlara arka kapı programları (örneğin Truva atları) yüklerler. Bu sayede, kimlik bilgileri daha sonra değiştirilse bile yeniden giriş sağlayabilirler.
Saldırı Nereden Gelir: Çoğu APT grubu, egemen devletlerin hükümetlerine bağlı ya da onların ajanlarıdır. Bir APT, yukarıda bahsedilenler için tam zamanlı çalışan profesyonel bir hacker da olabilir. Bu devlet destekli hackleme organizasyonları, hedeflerini yakından araştırmak ve en iyi giriş noktasını belirlemek için gerekli kaynaklara ve yeteneğe sahiptir.
Amazon Web Services (AWS) Saldırıları
Bulut bilişimin yükselişiyle birlikte sanal ortamlara yönelik yaratıcı saldırıların sayısı patlama yapmıştır. En büyük bulut hizmet sağlayıcılarından biri olan Amazon Web Services (AWS) de bu tehditlerden nasibini almıştır.
Bulut sağlayıcılarının güvenliğini tehdit eden birkaç zafiyet bulunmaktadır. Örneğin, bir dijital pazarlama şirketi Amazon S3 deposunu şifrelemediğinde bu şirket iflas etti. Bu güvenlik açığı, 306.000 kişinin verilerini açığa çıkardı. Tam sızıntı, 50.000 dosyanın açığa çıkmasına neden oldu ve bu dosyalar, Patrón Tequila gibi müşterilere ait tam adlar, konumlar, e-posta adresleri, telefon numaraları ve şifrelenmiş parolaları içeriyordu.
Bilmeniz Gerekenler: Amazon’un “paylaşılan sorumluluk” modeli, AWS’nin sanal makine dışındaki çevre için sorumlu olduğunu, ancak müşterinin S3 konteynerinin içindeki güvenlikten sorumlu olduğunu belirtir. Bu, yanlış yapılandırmalardan ve dağıtım hatalarından kaynaklanan zafiyetlerin, şirketlerin hızla bulut teknolojilerini benimsemesiyle daha büyük bir sorun haline geldiği anlamına gelir. AWS kullanan kuruluş, ortamını güvenli hale getirmekten sorumludur ve bu durum, AWS müşterilerinin karşılaştığı tehditlerin sayısının artmasına yol açmaktadır.
Saldırı Nasıl Gerçekleşir: AWS örneğine yönelik bir saldırı çeşitli şekillerde gerçekleşebilir. AWS ortamında basit bir şüpheli davranış kadar küçük bir etkinliğe bile dikkat etmek önemlidir. İzlenmesi gereken faaliyetler arasında AWS’ye yabancı konumlardan veya tanınmayan kullanıcılar tarafından yapılan S3 erişimleri yer alır.
Ayrıca, bir kuruluşun AWS altyapısına kimlerin erişimi olduğunu izlemek ve kontrol etmek önemlidir. AWS altyapısına yapılan şüpheli girişleri tespit etmek, soruşturmalar için iyi bir başlangıç noktası sağlar. Kötü amaçlı davranışlar gibi eylemler, kimlik bilgilerinin tehlikeye atılmasından kaynaklanabilir ve kullanıcılar tarafından oluşturulan EC2 örnekleri nedeniyle doğrudan maliyetlere yol açabilir.
Saldırı Nereden Gelir: AWS’de barındırılan hizmetlerin çeşitliliği ve her gün ortaya çıkan yeni bulut tehditlerinin çokluğu nedeniyle bu saldırılar neredeyse her yerden ve herkes tarafından gelebilir.
Uygulama Erişim Token’ı
Aktif ve bilinmeyen bir tehdit aktörü, kilit hedeflerden bilgi almak ve bu bilgileri kullanmak için farklı stratejiler kullanmıştır. Bu yöntemlerden biri, Heroku ve Travis-CI bulut ürünlerine entegre edilen uygulamalar ile Github npm’in üretim altyapısı da dahil olmak üzere yüksek profilli kuruluşların depolarını hedef alarak Open Authentication (OAuth) token’larını kötüye kullanmaktı.
Bilmeniz Gerekenler: Bir OAuth erişim token’ı ile bir saldırgan, kullanıcının yetkilendirdiği REST API’yi kullanarak e-posta arama ve kişi listesi oluşturma gibi işlevler gerçekleştirebilir. Bulut tabanlı bir e-posta hizmetinde, bir OAuth erişim token’ı kötü niyetli bir uygulamaya verildiğinde, eğer bir “yenileme” token’ı da verilirse, bu uygulama kullanıcının hesabına uzun süreli erişim sağlayabilir.
Saldırı Nasıl Gerçekleşir: Saldırganlar, tipik kimlik doğrulama sürecini atlamak ve uzak sistemlerdeki kısıtlı hesaplara, bilgilere veya hizmetlere erişmek için uygulama erişim token’larını kullanabilir. Bu token’lar genellikle kullanıcıların kimlik bilgileri çalınarak elde edilir ve giriş kimlik bilgileri yerine kullanılır.
Saldırı Nereden Gelir: Ele geçirilmiş erişim token’ları, diğer hizmetleri tehlikeye atmak için ilk adım olarak kullanılabilir. Örneğin, bir token bir kurbanın ana e-posta hesabına erişim sağlıyorsa, saldırgan bu erişimi diğer tüm hizmetlere genişletebilir. Token aracılığıyla doğrudan API erişimi, ikinci bir kimlik doğrulama faktörünün etkinliğini ortadan kaldırır ve parolanın değiştirilmesi gibi önlemlerden etkilenmeyebilir.
Fatura Dolandırıcılığı
Paypal, müşterilerin kolayca para gönderip almasını sağlayan bir finansal hizmet ve çevrim içi ödeme sistemidir. Ancak, Paypal’ı para transferi açısından bu kadar hızlı ve verimli kılan özellikler, aynı zamanda siber dolandırıcılar tarafından da kötüye kullanılarak maddi kazanç sağlanmak amacıyla kullanılır. Hackerlar ve dolandırıcılar, sistemi ödeme dolandırıcılığı planlarıyla tüketicilerin hesaplarından para çekmek için kullanarak, bazen tüm banka hesaplarını boşaltabilir.
Bilmeniz Gerekenler: Fatura dolandırıcılığı -veya ödeme dolandırıcılığı- siber suçluların tüketicilerin paralarını başka yönlere çektiği her türlü sahte veya yasa dışı işlemdir. Bu tür dolandırıcılıkların başarılı olma ihtimali oldukça yüksektir ve Federal Ticaret Komisyonu’nun (FTC) son verilerine göre, tüketiciler 2022 yılında dolandırıcılığa karşı yaklaşık 8,8 milyar dolar kaybetti, bu da bir önceki yıla göre %30’dan fazla bir artışı temsil etmektedir.
Saldırı Nasıl Gerçekleşir: Bu saldırı, birçok kullanıcıyı tekrarlayan küçük veya makul miktarda para ödemeye kandırarak, dolandırıcılığı fark etmemelerini sağlar. Bu planda, saldırganlar sahte fakat gerçek gibi görünen faturalar göndererek müşterilere hesaplarından para transferi yapmalarını söylerler.
Çoğu müşteri düzenli olarak ücretli dijital hizmetler kullandığı için, saldırganlar hedeflerinin bu sahte faturanın aslında kullandıkları bir hizmete ait olduğunu zannetmeleri üzerine çalışır. Tüketiciler, bu sahte faturayı ödemek için hesaplarından para transferi veya kredi kartı ödemesi başlatırlar.
Saldırı Nereden Gelir: Fatura dolandırıcılığı dünya çapında faaliyet gösteren dolandırıcılık organizasyonlarından kaynaklanabilir, bunlar genellikle ABD de dahil olmak üzere çeşitli ülkelerden saldırganlarla ilişkilidir. Bu tür dolandırıcılık, kimlik avı gibi, geniş ve rastgele bir nüfusu hedef alır. Dünya genelinde örgütlü dolandırıcılık çeteleri, kurbanlarının banka kuruluşlarını araştırma ve gerçekçi bir fatura deneyimi oluşturma yeteneğine sahiplerdir.
Brute Force Saldırısı
Brute force saldırıları, birçok hizmet türüne karşı gerçekleşebilir. Bunun yakın zamandaki bir örneği, Windows Remote Desktop Protocol (RDP) ile ilgilidir. 2020 yılının başlarından bugüne kadar, Microsoft, açığa çıkan uç nokta sayısının fazlalığı nedeniyle RDP brute force saldırılarında önemli bir artış kaydetmiştir. Bu durum, tehdit aktörlerinin zayıf veya yaygın kullanılan parolaları başarıyla kullanarak çok çeşitli sistemlere izinsiz erişim sağlamalarına olanak tanımaktadır.
Bilmeniz Gerekenler: Brute force saldırısı, kullanıcı adları ve parolalar gibi kişisel bilgileri almak amacıyla deneme yanılma yöntemine dayanan bir saldırıdır. Bu, bir uygulamaya, sunucuya veya parola korumalı hesaba erişim sağlamanın en basit yollarından biridir. Saldırgan, kullanıcı adı ve parola kombinasyonlarını sistematik bir şekilde deneyerek nihayetinde başarılı olabilir (eğer parolayı bulabilirse; altı karakterli bir parolanın milyarlarca olası kombinasyonu vardır).
Saldırı Nasıl Gerçekleşir: En temel brute force saldırısı, bir sözlük saldırısıdır; burada saldırgan sistematik olarak bir sözlüğü veya kelime listesini kullanarak her girişi dener. Saldırganlar, bu kelimeleri semboller ve sayılarla da zenginleştirebilir ya da sızdırılmış ve/veya yaygın kullanılan parolaların bulunduğu özel sözlükleri kullanabilir. Zaman ya da sabır sınırlıysa, sözlük saldırılarını çalıştıran otomatik araçlar bu görevi çok daha hızlı ve zahmetsiz hale getirebilir.
Saldırı Nereden Gelir: Brute force saldırılarının kolaylığı ve basitliği sayesinde, teknik deneyimi olmayan hackerlar ve siber suçlular bile birinin hesabına erişim sağlamaya çalışabilir. Bu saldırıları düzenleyen kişiler, yeterli zamanları veya yanlarında güçlü bir hesaplama gücü olduğu sürece bu saldırıları gerçekleştirebilir.
İş E-Postası Ele Geçirme (BEC)
İş e-postası ele geçirme (BEC), iş fatura dolandırıcılığına benzer şekilde, özellikle COVID-19 sonrası video görüşmelerin artmasıyla yıllar içinde evrim geçirmiştir. Bu saldırı, genellikle kötü niyetli kişilerin sahte toplantı davetleri yoluyla yasal iş ortakları gibi davranarak gerçekleştirildiği bir saldırı türüdür. FBI’ın İnternet Suçları Şikayet Merkezi (IC3) raporuna göre, “kurbanlara sahte hesaplara yetkisiz para transferleri yapmaları talimatını vermek amacıyla sanal toplantı platformlarının kullanıldığı BEC şikayetlerinde bir artış yaşanmıştır.”
Bilmeniz Gerekenler: İş e-postası ele geçirme, mağdurları, kuruluşlarına hitaben düzenlenmiş sahte (ancak ikna edici) bir faturayı ödemeye ikna etmeye çalışır. Gerçekte, bu paralar tedarikçileri, iş arkadaşlarını veya iş ortaklarını taklit eden sahtekârlara gider. Sıradan dolandırıcılığın ötesine geçen bu saldırılar, genellikle siber suçluların gelişmekte olan pazarlardaki sınırlı siber güvenlik altyapısına sahip bankaları veya yüksek profilli hedefleri sofistike ve inandırıcı kimlik avı dolandırıcılıklarıyla hedef alması şeklinde gerçekleşir. Bu siber suç örgütleri tek bir şeye odaklanır: Para. Hem de çok miktarda para.
Saldırı Nasıl Gerçekleşir: Bir saldırı senaryosunda, siber suçlular gelişmiş kötü amaçlı yazılımlar kullanarak yerel güvenlik sistemlerini atlatırlar. Bu noktadan itibaren mesajlaşma ağına erişim sağlayarak, daha büyük bankalardaki hesaplardan para transferi yapmak için sahte mesajlar gönderirler. Başka bir senaryoda ise, kötü niyetli kişiler, büyük miktarda para transfer etmeye ikna etmek amacıyla hedefleri belirlemek için hedeflenmiş mızrak kimlik avı kampanyaları kullanırlar. Kurbanlara, hesaplarını yanlışlıkla kullanmalarını sağlayacak sahte faturalar gönderilir.
Hackerlar, işin büyüklüğüne, konumuna ve kullanılan tedarikçilere göre hedef seçer ve bu bilgilerle gerçekçi görünen sahte faturalar hazırlar. Kurbanın muhasebe departmanının yoğun olduğu varsayılarak, geçmişe yönelik “90 gün gecikmiş, hemen ödeyin!” gibi yüksek talepler içeren sahte faturalar gönderilir.
Saldırı Nereden Gelir: İş fatura dolandırıcılığı gerçekleştiren birçok bireysel dolandırıcı bulunmasına rağmen, çoğu zaman bunlar kurbanın banka kuruluşunu araştırma ve gerçekçi bir fatura deneyimi oluşturma yeteneğine sahip dolandırıcılık çeteleridir. Bu dolandırıcılık çeteleri dünya genelinde faaliyet gösterir.
Son derece organize olmuş uluslararası ve devlet destekli siber suç grupları, örneğin APT 38 ve Lazarus Grubu, geçmişte bu tür banka transfer saldırılarının arkasında bulunmuştur. Bu gruplar, karmaşık ve çok yönlü saldırıları başarılı bir şekilde gerçekleştirmek için gerekli altyapıya ve kaynaklara sahiptir. Bu grupların kimler tarafından yönetildiği tam olarak belli olmasa da, bazı raporlar bu grupların Kuzey Kore ile bağlantıları olabileceğini öne sürmüştür. Ayrıca, Çin ve Nijerya’dan hacker gruplarının da karmaşık banka transfer saldırılarının kaynağı olduğu tespit edilmiştir. Yüksek değerli transfer saldırıları, daha sağlam sistemlere sahip kurumlarda içeriden birilerinin yardımıyla gerçekleştirilebilir.
Bulut Kripto Madenciliği
Kripto madenciliği, bir ağın işlemlerini doğrulamak ve yeni kripto para birimleri oluşturmak için büyük miktarda işlem gücü gerektiren bir süreçtir. Bu işlem gücü ihtiyacı nedeniyle, bazı kötü niyetli aktörler bulut servislerini yasadışı bir şekilde kullanarak kripto madenciliği yapmaktadırlar. Bu süreç, “bulut kripto madenciliği” olarak adlandırılır ve genellikle büyük miktarda işlem gücü ve elektrik kaynağı gerektirdiği için pahalıdır.
Bilmeniz Gerekenler: Bulut kripto madenciliği saldırıları, bir saldırganın bir kuruluşa ait bulut altyapısını ele geçirip yasadışı olarak kripto para madenciliği yapmak için kullanmasıyla gerçekleşir. Bu tür saldırılar, büyük miktarda bulut kaynaklarını tüketebilir ve kuruluşların yüksek maliyetlere maruz kalmasına neden olabilir. Örneğin, Amazon Web Services (AWS) veya Microsoft Azure gibi büyük bulut sağlayıcıları bu tür saldırıların hedefi olabilir.
Bu tür saldırılar, kötü yapılandırılmış bulut altyapılarından yararlanılarak gerçekleştirilir. Güvenliği zayıf olan API anahtarları, zayıf kimlik doğrulama yöntemleri veya yanlış yapılandırılmış erişim izinleri, bir saldırganın bulut sistemine yetkisiz erişim sağlamasına olanak tanıyabilir. Bu erişim sağlandıktan sonra, saldırgan bulut altyapısını kripto para madenciliği yapmak için kullanabilir ve bu da şirketin bulut kaynaklarını hızlı bir şekilde tüketir.
Saldırı Nasıl Gerçekleşir: Bulut kripto madenciliği saldırıları genellikle iki ana yolla gerçekleşir. İlk olarak, saldırganlar zayıf güvenlik önlemleri olan bulut hesaplarını hedef alır ve bu hesaplara yetkisiz erişim sağlarlar. Daha sonra, bu hesaplar üzerinden kripto madenciliği yapmak için gerekli yazılımları yüklerler. İkinci olarak, saldırganlar kötü amaçlı yazılımlar kullanarak şirketlerin bulut altyapısına sızar ve bu altyapıyı kripto para madenciliği yapmak için kullanır.
Bu tür saldırılar genellikle fark edilmeden uzun süre devam edebilir, çünkü bulut sağlayıcılarının kaynak kullanımı esnek ve ölçeklenebilir olduğundan, madencilik işlemlerinin sisteme verdiği yük hemen fark edilmeyebilir. Ancak, şirketler gelen beklenmedik yüksek bulut faturalarıyla bu saldırının farkına varabilirler.
Saldırı Nereden Gelir: Bulut kripto madenciliği saldırıları, genellikle yeterli bilgi birikimi ve becerilere sahip siber suçlular tarafından gerçekleştirilir. Bu tür saldırılar dünya genelinde görülebilir ve genellikle merkeziyetsiz saldırılar şeklinde yapılır. Ayrıca, bu saldırılar, siber suç örgütleri veya bireysel hackerlar tarafından da gerçekleştirilebilir. Saldırganların ana motivasyonu, kripto para birimi kazanarak finansal kazanç elde etmektir.
Komuta ve Kontrol (C2) Saldırısı
Komuta ve Kontrol (C2) saldırıları, bir saldırganın bir ağda yetkisiz erişim elde ettikten sonra, bu ağı kontrol etmek ve bu ağ üzerinden zararlı faaliyetler yürütmek için kullandığı bir saldırı türüdür. Bu tür saldırılar genellikle saldırganların kötü amaçlı yazılımlarını yönetmeleri ve ağ içinde komutlar yürütmeleri için kullanılır. Komuta ve Kontrol sunucuları, siber suçluların kurban ağlarıyla iletişim kurarak saldırılarını sürdürmelerine olanak tanır.
Bilmeniz Gerekenler: C2 sunucuları, kötü amaçlı yazılımları uzaktan yönetmek ve komut vermek için kullanılır. Saldırganlar, bir ağ üzerinde kalıcı bir kontrol sağlamak amacıyla bu sunucuları kullanırlar. Bu saldırı yöntemi, siber suçluların bir kez bir sistemi ele geçirdikten sonra bu sistemi genişletilmiş bir süre boyunca kontrol etmelerini sağlar. C2 saldırıları, hem kurum içi ağlara hem de bulut tabanlı altyapılara karşı gerçekleştirilebilir ve saldırganların sisteme kalıcı olarak yerleşmesine olanak tanır.
Saldırı Nasıl Gerçekleşir: Bir C2 saldırısı genellikle kötü amaçlı yazılımın bir sisteme bulaştırılmasıyla başlar. Bu kötü amaçlı yazılım, kurbanın bilgisayarında veya ağında bir arka kapı oluşturarak C2 sunucusuna bağlanır. Saldırganlar, bu bağlantıyı kullanarak komutlar gönderebilir, veri çalabilir veya sistemi kontrol edebilirler. Ayrıca, kötü amaçlı yazılımın varlığını gizlemek ve sistemin içinde kalıcı bir şekilde kalmak için gelişmiş yöntemler kullanabilirler.
Saldırganlar, C2 sunucuları ile kurban cihazları arasındaki trafiği gizlemek için çeşitli yöntemler kullanır. Örneğin, bu tür saldırılar genellikle şifreli kanallar üzerinden gerçekleştirilir ve normal web trafiği gibi görünerek tespit edilmekten kaçınır. Ayrıca, saldırganlar bu bağlantıları kurmak için meşru görünen alan adlarını veya IP adreslerini kullanabilirler.
Saldırı Nereden Gelir: Komuta ve Kontrol saldırıları dünya genelinde faaliyet gösteren gelişmiş kalıcı tehdit (APT) grupları tarafından gerçekleştirilebilir. Bu saldırılar genellikle devlet destekli aktörler veya karmaşık siber suç grupları tarafından kullanılır. Amaç, belirli hedeflere karşı uzun vadeli casusluk yapmak, veri çalmak veya hedef sistemleri kontrol altında tutmaktır. Ayrıca, bu tür saldırılar, finansal kazanç sağlamak amacıyla bireysel siber suçlular veya küçük çaplı hacker grupları tarafından da gerçekleştirilebilir.
Ele Geçirilmiş Kimlik Bilgileri
Ele geçirilmiş kimlik bilgileri, bir saldırganın kullanıcı adı ve parola gibi hassas bilgileri ele geçirip bu bilgileri kötü niyetli faaliyetlerde kullanması durumudur. Bu kimlik bilgileri, siber suçlular tarafından genellikle veri ihlalleri, kimlik avı saldırıları veya brute force yöntemleriyle ele geçirilir ve daha sonra karanlık ağda satılabilir ya da doğrudan saldırılarda kullanılabilir. Bu tür saldırılar, kişisel bilgilerin yanı sıra şirket verilerini de riske atar ve büyük maddi kayıplara yol açabilir.
Bilmeniz Gerekenler: Ele geçirilmiş kimlik bilgileri, özellikle zayıf parola kullanımı veya birden fazla hesapta aynı parolanın kullanılması gibi yaygın güvenlik açıkları nedeniyle ciddi bir risk oluşturur. Bu tür saldırılar, saldırganların çeşitli sistemlere yetkisiz erişim elde etmelerini sağlayarak veri sızıntılarına, maddi kayıplara ve itibar zedelenmesine yol açabilir. Örneğin, zayıf güvenlik önlemleri nedeniyle kullanıcı hesaplarının şifreleri ele geçirildiğinde, bu hesaplar üzerinden yetkisiz işlemler yapılabilir veya daha büyük çaplı bir saldırının parçası olarak kullanılabilir.
Saldırı Nasıl Gerçekleşir: Ele geçirilmiş kimlik bilgileri genellikle çeşitli yollarla elde edilir. Kimlik avı (phishing) saldırıları, saldırganların kurbanların oturum açma bilgilerini aldatıcı e-postalar veya sahte web siteleri aracılığıyla ele geçirdiği yaygın bir yöntemdir. Ayrıca, büyük veri ihlalleri sonucunda birçok kullanıcının kimlik bilgileri çevrim içi olarak sızdırılabilir. Brute force saldırıları ise saldırganların yaygın parola kombinasyonlarını deneme yanılma yoluyla hesaplara erişim sağladığı başka bir yöntemdir.
Bir kez ele geçirilen kimlik bilgileri, saldırganlar tarafından çeşitli amaçlarla kullanılabilir. Örneğin, bir çalışanın kurumsal e-posta hesabı ele geçirildiğinde, saldırgan bu hesaba giriş yaparak şirket içi bilgilere erişebilir, sahte e-postalar gönderebilir ya da şirket ağına sızmak için bu hesabı bir geçit olarak kullanabilir. Bu tür saldırılar, çoğu zaman fark edilmeden uzun süre devam edebilir ve ciddi güvenlik ihlallerine yol açabilir.
Saldırı Nereden Gelir: Kimlik bilgileri genellikle veri ihlalleri, kimlik avı kampanyaları, kötü amaçlı yazılımlar veya brute force saldırıları sonucunda ele geçirilir. Bu tür saldırılar, bireysel siber suçlulardan organize siber suç gruplarına kadar geniş bir yelpazede gerçekleştirilebilir. Ayrıca, ele geçirilen kimlik bilgileri, karanlık ağda diğer suçlulara satılabilir ve bu da daha fazla saldırıya neden olabilir. Bu nedenle, güçlü parolalar kullanmak, çok faktörlü kimlik doğrulama (MFA) uygulamak ve kimlik bilgilerini düzenli olarak güncellemek bu tür saldırılara karşı önemli bir savunma mekanizmasıdır.
Kimlik Bilgisi Dökümü (Credential Dumping)
Kimlik bilgisi dökümü, saldırganların bir sistemden kullanıcı adı ve parolalar gibi hassas bilgileri elde etmek için kullandığı bir tekniktir. Bu bilgiler genellikle sistemin bellek, dosya sistemi veya veritabanı gibi bölümlerinde saklanır. Bu yöntemde, saldırgan ele geçirdiği kimlik bilgileri ile sistemlere yetkisiz erişim sağlayabilir ve bu bilgileri kullanarak daha fazla zararlı faaliyet gerçekleştirebilir.
Bilmeniz Gerekenler: Kimlik bilgisi dökümü, saldırganların bir sistemin içindeki güvenlik açıklarından faydalanarak ya da kötü amaçlı yazılım kullanarak erişim sağladıkları bir süreçtir. Bu tür saldırılar genellikle zayıf şifreleme standartlarına sahip sistemlerde daha yaygın olarak görülür. Saldırganlar, yerel yönetici haklarına sahip hesaplardan ya da sistemde çalışan süreçlerden kimlik bilgilerini çıkarmak için araçlar kullanır. Mimkatz, Windows işletim sisteminde kimlik bilgisi dökümü yapmak için kullanılan en popüler araçlardan biridir.
Saldırı Nasıl Gerçekleşir: Kimlik bilgisi dökümü, genellikle kötü amaçlı yazılımlar veya sızma test araçları aracılığıyla gerçekleştirilir. Saldırganlar, sisteme girdikten sonra yönetici haklarını elde etmeye çalışır ve ardından sistemde depolanan kimlik bilgilerini dökümlemeye başlarlar. Bu kimlik bilgileri, kullanıcıların oturum açma bilgilerini içerir ve saldırganlar bu bilgileri kullanarak başka sistemlere sızabilir veya daha derin bir şekilde mevcut sisteme yerleşebilir.
Saldırganlar genellikle kimlik bilgilerini dökümlemek için aşağıdaki yöntemleri kullanır:
- LSASS (Local Security Authority Subsystem Service): Bu yöntemle saldırganlar, Windows sistemlerinde çalışan LSASS sürecini hedef alır ve buradaki kimlik bilgilerini çıkarır.
- SAM (Security Account Manager) Veritabanı: Saldırganlar, SAM veritabanını dökerek yerel hesapların parolalarını elde edebilirler.
- Bellek Dökümü: Sistem belleğinde geçici olarak saklanan parolalar veya oturum anahtarları saldırganlar tarafından bellek dökümü yoluyla ele geçirilebilir.
Saldırı Nereden Gelir: Kimlik bilgisi dökümü saldırıları, genellikle gelişmiş siber tehdit aktörleri (APT grupları) veya organize siber suçlular tarafından gerçekleştirilir. Bu saldırılar, sistemlere erişim sağladıktan sonra yatay hareket (lateral movement) yapmak ve sistemde kalıcı olarak yer edinmek amacıyla kullanılır. Bu tür saldırılar, devlet destekli aktörler, karmaşık siber suç grupları ve bazen de içeriden bir tehdit unsuru tarafından gerçekleştirilebilir. Kimlik bilgisi dökümü, saldırganların saldırılarını genişletmeleri ve yeni hedeflere ulaşmaları için önemli bir adımdır.
Kimlik Bilgisi Yeniden Kullanım Saldırısı (Credential Reuse Attack)
Kimlik bilgisi yeniden kullanım saldırısı, saldırganların bir sistemden ele geçirdikleri kullanıcı adı ve parola gibi bilgileri, başka sistemlerde veya hesaplarda yetkisiz erişim elde etmek amacıyla tekrar kullanmaları durumudur. Bu tür saldırılar, özellikle kullanıcıların aynı kimlik bilgilerini birden fazla hesapta veya sistemde kullanmaları durumunda yaygın olarak görülür. Bu durum, saldırganların bir hesaptan ele geçirdiği kimlik bilgilerini, diğer sistemlerde hızlı ve etkili bir şekilde kullanmalarına olanak tanır.
Bilmeniz Gerekenler: Kimlik bilgisi yeniden kullanım saldırıları, kullanıcıların farklı hesaplar için aynı parolayı kullanmalarından kaynaklanan ciddi bir güvenlik açığı oluşturur. Bu saldırılar, bir web sitesinden veya hizmetten elde edilen kimlik bilgilerini diğer hesaplara erişmek için kullanma stratejisi üzerine kuruludur. Örneğin, bir sosyal medya platformundan ele geçirilen bir kullanıcı adı ve parola kombinasyonu, aynı kimlik bilgilerinin başka bir e-posta hesabında kullanılması durumunda bu e-posta hesabına da erişim sağlamaya yarayabilir.
Bu saldırılar genellikle “parola doldurma” (credential stuffing) tekniğiyle gerçekleştirilir. Parola doldurma, saldırganların ele geçirilen kimlik bilgilerini, diğer çevrim içi hizmetlerde veya sistemlerde toplu olarak deneme yoluyla gerçekleştirilen bir saldırıdır. Bu tür saldırılar, başarılı olduklarında, saldırganlara çok sayıda hesaba erişim sağlayabilir ve geniş çaplı veri sızıntılarına veya mali kayıplara yol açabilir.
Saldırı Nasıl Gerçekleşir: Kimlik bilgisi yeniden kullanım saldırıları genellikle büyük veri ihlallerinden elde edilen kimlik bilgileriyle gerçekleştirilir. Saldırganlar, ele geçirdikleri kullanıcı adı ve parola kombinasyonlarını otomatik araçlar kullanarak başka hesaplarda denemeye başlarlar. Eğer kullanıcı aynı parolayı birden fazla hesapta kullanıyorsa, saldırgan bu bilgileri kullanarak diğer hesaplara da erişim sağlayabilir.
Bu saldırıların etkisini azaltmak için çok faktörlü kimlik doğrulama (MFA) kullanımı önemlidir. MFA, kullanıcıların hesaplarına erişmek için yalnızca parola değil, ek bir doğrulama faktörü daha gerektirerek bu tür saldırıların başarılı olma ihtimalini azaltır.
Saldırı Nereden Gelir: Kimlik bilgisi yeniden kullanım saldırıları, genellikle organize siber suç grupları veya bireysel siber suçlular tarafından gerçekleştirilir. Bu saldırılar, çoğunlukla büyük veri ihlalleri sonucunda ele geçirilen kimlik bilgileri kullanılarak gerçekleştirilir ve kullanıcıların şifre güvenliğine yeterince önem vermemeleri durumunda daha yaygın görülür. Bu nedenle, her hesap için benzersiz ve güçlü bir parola kullanmak, bu tür saldırılara karşı en etkili savunma yöntemlerinden biridir.
Siteler Arası Komut Dosyası Çalıştırma (Cross-Site Scripting – XSS)
Siteler arası komut dosyası çalıştırma (XSS), saldırganların, başka bir kullanıcının tarayıcısında zararlı komut dosyaları yürütmesini sağlayan bir web güvenlik açığı türüdür. Bu tür saldırılar, hedef web uygulamasındaki bir güvenlik açığından yararlanarak kötü amaçlı JavaScript kodlarını başka bir kullanıcının tarayıcısında çalıştırmayı amaçlar. XSS saldırıları, kullanıcının tarayıcısında oturum bilgilerini çalmak, kimlik bilgilerini ele geçirmek veya kullanıcıyı kandırarak kötü niyetli bir işlem yapmasını sağlamak amacıyla kullanılabilir.
Bilmeniz Gerekenler: XSS saldırıları, kullanıcı girdilerinin yeterince doğrulanmadığı veya temizlenmediği web uygulamalarında yaygın olarak görülür. Saldırgan, kullanıcı tarafından girilen metin alanları veya URL parametreleri gibi kullanıcı giriş noktalarına kötü amaçlı kod ekleyerek bu saldırıyı gerçekleştirir. Bu kod, hedef sunucu tarafından uygun bir şekilde filtrelenmeden web sayfasına dahil edilirse, diğer kullanıcıların tarayıcılarında çalışabilir.
XSS saldırıları üç ana kategoriye ayrılır:
- Stored XSS (Depolanan XSS): Kötü amaçlı komut dosyası, web sunucusunda depolanır ve bu kod daha sonra diğer kullanıcılara sunulur. Blog yorumları veya forum mesajları gibi kullanıcının gönderdiği içeriklerin depolandığı alanlarda yaygın olarak görülür.
- Reflected XSS (Yansıtılan XSS): Kötü amaçlı kod, URL’ye eklenir ve sunucu bu kodu kullanıcıya geri yansıtır. Bu tür XSS genellikle bir kullanıcıyı kötü amaçlı bir bağlantıya tıklamaya ikna etmekle başlar.
- DOM-based XSS (DOM Tabanlı XSS): Saldırı, istemci tarafında, web sayfasının Document Object Model (DOM) manipülasyonları sırasında gerçekleşir. Sunucu bu kodu işlemez; kod doğrudan kullanıcının tarayıcısında çalıştırılır.
Saldırı Nasıl Gerçekleşir: Bir XSS saldırısında, saldırgan ilk olarak hedef web uygulamasında bir güvenlik açığı bulur. Daha sonra bu açığı kullanarak kötü amaçlı JavaScript kodunu web sayfasına enjekte eder. Bu kod, hedef kullanıcının tarayıcısında yürütüldüğünde, kullanıcının oturum bilgilerini çalabilir, kimlik bilgilerini ele geçirebilir veya kullanıcı adına çeşitli işlemler gerçekleştirebilir.
Örneğin, bir blog sitesinde depolanan XSS saldırısında, saldırgan kötü amaçlı kodu bir yorum olarak ekler. Başka bir kullanıcı bu yorumu görüntülediğinde, kötü amaçlı JavaScript kodu kullanıcının tarayıcısında çalıştırılır ve oturum bilgileri gibi hassas veriler saldırganın kontrolüne geçebilir.
Kripto Kaçakçılığı Saldırısı (Cryptojacking Attack)
Kripto kaçakçılığı, saldırganların kurbanın cihazını bilgisi olmadan kripto para madenciliği yapmak için kullanmasıdır. Bu tür saldırılar, genellikle kötü amaçlı yazılım veya zararlı bir web sitesi üzerinden yürütülür. Saldırgan, kurbanın bilgisayarının, sunucusunun veya diğer akıllı cihazlarının işlemci gücünü ele geçirerek kendi adına kripto para madenciliği yapar. Bu süreç, kurbanın cihazının performansını düşürür ve enerji tüketimini artırır, saldırganın ise herhangi bir maliyeti olmadan kazanç elde etmesini sağlar.
Bilmeniz Gerekenler: Kripto kaçakçılığı saldırıları genellikle web tarayıcıları üzerinden veya kötü amaçlı yazılımlar aracılığıyla gerçekleştirilir. Web tarayıcıları üzerinden yapılan saldırılar, kullanıcının ziyaret ettiği zararlı bir web sitesine yerleştirilen JavaScript kodları kullanılarak gerçekleştirilir. Bu kod, kullanıcının tarayıcısını kullanarak kripto para madenciliği yapar ve kullanıcının bu faaliyetten haberi olmaz.
Kötü amaçlı yazılım temelli saldırılarda ise, saldırgan, kurbanın cihazına bir madencilik yazılımı yüklemek için phishing gibi yöntemlerle zararlı yazılımları bulaştırır. Bu yazılım, arka planda çalışarak cihazın işlemci gücünü kripto para madenciliği için kullanır.
Saldırı Nasıl Gerçekleşir: Bir kripto kaçakçılığı saldırısında, saldırgan ilk olarak hedef cihazda kötü amaçlı bir kod çalıştırmanın yolunu bulur. Bu genellikle kötü amaçlı bir e-posta eki açılarak ya da zararlı bir web sitesini ziyaret ederek gerçekleşir. Kötü amaçlı yazılım veya zararlı JavaScript kodu, kurbanın cihazına yüklendiğinde, cihazın işlemci gücü saldırganın belirlediği bir kripto para birimini madencilik yapmak için kullanılır.
Bu tür saldırılar genellikle fark edilmeden uzun süre devam edebilir çünkü saldırganlar, madencilik sürecini yavaş yavaş ve düşük güçte yaparak dikkat çekmemeye çalışır. Ancak, kurban cihazın performansında düşüş, fan hızında artış ve elektrik faturasındaki beklenmedik artış gibi belirtilerle bu tür saldırılar fark edilebilir.
Saldırı Nereden Gelir: Kripto kaçakçılığı saldırıları dünya genelinde yaygındır ve siber suçlular tarafından hızlı ve kolay para kazanma yolu olarak tercih edilmektedir. Bu saldırılar, genellikle kötü amaçlı web siteleri veya e-posta yoluyla gerçekleştirilir. Ayrıca, ele geçirilmiş web sitelerine yerleştirilen zararlı kodlar aracılığıyla geniş çaplı kullanıcı kitlelerine ulaşmak da mümkündür. Saldırganlar, kullanıcının fark etmeden web sayfasını ziyaret etmesiyle kripto madenciliğini başlatır ve bu sayede birçok cihazdan eş zamanlı olarak kazanç sağlarlar.
Veri Manipülasyonu Saldırıları (Data Manipulation Attacks)
Veri manipülasyonu saldırıları, bir saldırganın bir sistemdeki verileri gizlice değiştirdiği ve bu değişikliklerle kuruluşa veya kullanıcılara zarar verdiği siber saldırı türleridir. Bu tür saldırılar, verilerin bütünlüğünü bozarak organizasyonların iş süreçlerinde yanlış kararlar almasına veya kullanıcılara yanlış bilgi sunulmasına neden olabilir. Veri manipülasyonu saldırıları, genellikle finansal kayıtlar, müşteri verileri veya operasyonel sistemlere yönelik yapılır ve sonuçları oldukça yıkıcı olabilir.
Bilmeniz Gerekenler: Veri manipülasyonu saldırıları, saldırganın sistemde yer alan kritik bilgileri değiştirmesi üzerine kuruludur. Bu saldırılar, özellikle finansal işlemler, endüstriyel kontrol sistemleri ve hassas verilerle çalışan diğer uygulamalarda büyük risk oluşturur. Verilerin değiştirilmesi, kuruluşların karar verme süreçlerini etkileyebilir, güven kaybına yol açabilir veya yasal sonuçlara neden olabilir.
Veri manipülasyonu saldırılarıyla ilgili başlıca yöntemler şunlardır:
- Finansal Kayıtların Değiştirilmesi: Saldırganlar, bir organizasyonun finansal kayıtlarına erişerek bu kayıtları değiştirebilir. Bu, gelirlerin artırılması, borçların azaltılması veya ödemelerin başka hesaplara yönlendirilmesi gibi manipülasyonları içerebilir.
- Endüstriyel Kontrol Sistemlerine Sızma: Endüstriyel kontrol sistemleri (ICS) ve kritik altyapılar, veri manipülasyonu saldırılarının hedefi olabilir. Saldırganlar, bu sistemlerdeki verileri değiştirerek üretim süreçlerini aksatabilir veya fiziksel hasara neden olabilir.
- Sosyal Mühendislik ve Kimlik Avı (Phishing): Saldırganlar, sosyal mühendislik yöntemleri veya kimlik avı saldırıları kullanarak kullanıcıların kimlik bilgilerini ele geçirebilir ve bu bilgileri kullanarak verilere yetkisiz erişim sağlayıp verileri manipüle edebilir.
Saldırı Nasıl Gerçekleşir: Veri manipülasyonu saldırıları genellikle şu şekilde gerçekleştirilir:
- Veri Tabanına Yetkisiz Erişim: Saldırgan, sistemdeki veri tabanına sızarak kritik verilere erişim sağlar. Bu erişim, güvenlik açıklarının kullanılması veya kimlik bilgilerinin ele geçirilmesi yoluyla elde edilir.
- Verilerin Gizlice Değiştirilmesi: Sistemdeki verilere erişim sağladıktan sonra, saldırgan bu verileri manipüle eder. Bu manipülasyon, verilerin bütünlüğünü bozarak sahte bilgilerin üretilmesine veya sistemin beklenmedik şekilde çalışmasına yol açar.
- Zarar Verme veya Fayda Sağlama: Verilerin manipülasyonu, organizasyona zarar vermek veya saldırgana maddi kazanç sağlamak amacıyla yapılabilir. Örneğin, finansal verilerin değiştirilmesiyle şirketin mali durumu olduğundan farklı gösterilebilir veya endüstriyel sistemler üzerinde yapılan değişikliklerle üretim süreci aksatılabilir.
Saldırı Nereden Gelir: Veri manipülasyonu saldırıları, genellikle organize siber suç grupları, devlet destekli tehdit aktörleri veya içeriden gelen tehditler tarafından gerçekleştirilir. Bu saldırılar, özellikle kritik verilere ve operasyonel sistemlere erişim sağlamak amacıyla yapılır. Veri manipülasyonu saldırılarından korunmak için, verilerin bütünlüğünü sağlamak adına güvenli yedekleme sistemleri kullanmak, erişim kontrolü ve çok faktörlü kimlik doğrulama (MFA) gibi güvenlik önlemleri almak büyük önem taşır. Ayrıca, sistemlerdeki değişikliklerin izlenmesi ve düzenli veri bütünlüğü kontrollerinin yapılması bu tür saldırılara karşı etkili bir savunma sağlar.
DNS Amplifikasyon Saldırısı
DNS amplifikasyon saldırısı, dağıtılmış hizmet reddi (DDoS) saldırılarının bir türüdür ve hedef sistemi aşırı yüklemek için DNS sunucularının gücünden faydalanılır. Bu saldırı türü, saldırganın küçük bir istek gönderip çok daha büyük bir yanıt almasını sağlayan DNS sunucularını kötüye kullanarak, hedef sisteme büyük miktarda trafik yönlendirmeyi amaçlar. Bu yöntemle, saldırgan hedefin bant genişliğini ve kaynaklarını tüketerek hizmetlerini erişilmez hale getirmeye çalışır.
Bilmeniz Gerekenler: DNS amplifikasyon saldırıları, saldırganın kurbanı doğrudan hedef almak yerine DNS sunucularını kullanarak dolaylı yoldan gerçekleştirdiği bir saldırı türüdür. Bu saldırıda saldırgan, IP adresini hedef olarak belirlediği kurbanın IP’siyle değiştirir ve DNS sunucusuna büyük bir istek gönderir. DNS sunucusu, bu isteği yanıtladığında, yanıt doğrudan kurbanın IP adresine gönderilir. DNS yanıtları, genellikle isteklerden çok daha büyük olduğundan dolayı, bu yöntemle hedefe gönderilen veri miktarı ciddi şekilde artar.
DNS amplifikasyon saldırıları, genellikle “açık çözümleyiciler” olarak bilinen yanlış yapılandırılmış DNS sunucularını hedef alır. Bu açık çözümleyiciler, herkese açık olarak hizmet verir ve bu yüzden saldırganlar tarafından kolayca kullanılabilir. Saldırgan, DNS sunucusuna sahte bir istek göndererek yanıtın kurbanın sistemine yönlendirilmesini sağlar.
Saldırı Nasıl Gerçekleşir: Bir DNS amplifikasyon saldırısında, saldırgan ilk olarak DNS sunucularının yanıtlama kapasitesini kullanabileceği bir zayıflık arar. Daha sonra, saldırgan bu DNS sunucularına sahte IP adresleriyle yani kurbanın IP’siyle istek gönderir. DNS sunucusu bu isteğe karşılık çok daha büyük bir yanıt oluşturur ve bu yanıt doğrudan kurbanın sistemine gider. Bu işlem, DNS sunucularının bant genişliğinden yararlanarak hedef sistemi aşırı yüklemek ve hizmet dışı bırakmak amacıyla tekrar tekrar gerçekleştirilir.
Bu tür saldırılar, hedef sistemin yanıt veremeyecek duruma gelmesine ve hizmetlerin kesintiye uğramasına yol açabilir. Saldırılar sırasında hedef sistem, gelen büyük miktardaki trafik yüzünden kendi kullanıcılarına yanıt veremez hale gelir ve bu durum hizmet kesintilerine ve itibar kayıplarına neden olabilir.
Saldırı Nereden Gelir: DNS amplifikasyon saldırıları, genellikle dünya genelindeki açık ve yanlış yapılandırılmış DNS sunucuları kullanılarak gerçekleştirilir. Bu saldırılar, düşük maliyetle büyük etkiler yaratabilmesi nedeniyle siber suçlular arasında oldukça popülerdir. Saldırganlar, bu tür saldırıları gerçekleştirmek için çoğunlukla halka açık DNS sunucularını veya yanlış yapılandırılmış çözümleyicileri kullanır. Ayrıca, saldırganların bu tür saldırıları gerçekleştirmesini zorlaştırmak amacıyla, DNS sunucularının düzgün şekilde yapılandırılması ve yalnızca yetkili kullanıcılara hizmet vermesi büyük önem taşır.
DNS Ele Geçirme (DNS Hijacking)
DNS ele geçirme, saldırganların bir DNS sunucusunun kontrolünü ele geçirerek kullanıcıları sahte web sitelerine yönlendirdiği bir saldırı türüdür. Bu saldırı, internet kullanıcılarının bir web sitesine erişmek istediğinde, saldırganın belirlediği sahte bir siteye yönlendirilmesini sağlar. DNS ele geçirme, genellikle kullanıcıların oturum açma bilgilerini, finansal bilgilerini veya diğer hassas verilerini çalmak amacıyla gerçekleştirilir.
Bilmeniz Gerekenler: DNS ele geçirme saldırıları, bir kullanıcının gerçek bir web sitesine erişmek için yaptığı DNS sorgusunun değiştirilmesiyle gerçekleşir. Bu değişiklik ya kullanıcının yerel ağında, internet servis sağlayıcısında (ISP) ya da DNS sunucusunun kendisinde yapılabilir. Sonuç olarak, kullanıcı meşru bir siteye eriştiğini zannederken, aslında saldırganın kontrolünde olan sahte bir siteye yönlendirilir.
DNS ele geçirme saldırıları genellikle kimlik avı kampanyalarında kullanılır. Kullanıcılar, kendilerini meşru bir web sitesinde zannedip, oturum açma bilgilerini veya kredi kartı numaralarını girerken, bu bilgiler saldırganlar tarafından ele geçirilir. Ayrıca, bu saldırılar kullanıcıların kötü amaçlı yazılım içeren bir siteye yönlendirilmesi amacıyla da kullanılabilir.
Saldırı Nasıl Gerçekleşir: DNS ele geçirme saldırısı genellikle üç ana şekilde gerçekleştirilebilir:
- Yerel DNS Ele Geçirme: Saldırgan, kullanıcının cihazında bulunan DNS ayarlarını değiştiren kötü amaçlı bir yazılım kullanır. Bu yazılım, kullanıcının DNS sorgularını saldırganın belirlediği sahte DNS sunucularına yönlendirir.
- Rota Üzerinde Ele Geçirme (Man-in-the-Middle): Saldırgan, kullanıcı ve DNS sunucusu arasındaki iletişimi ele geçirir ve DNS sorgularını değiştirebilir. Bu yöntem, genellikle güvenli olmayan Wi-Fi ağlarında veya zayıf şifrelenmiş ağlarda gerçekleştirilir.
- DNS Sunucusu Ele Geçirme: Saldırgan, DNS sunucusunun kendisini ele geçirir ve sunucu üzerindeki DNS kayıtlarını değiştirir. Bu yöntemle, sunucunun tüm kullanıcıları sahte bir web sitesine yönlendirilir.
Saldırı Nereden Gelir: DNS ele geçirme saldırıları, genellikle organize siber suç grupları veya devlet destekli tehdit aktörleri tarafından gerçekleştirilir. Bu saldırılar, özellikle geniş bir kullanıcı kitlesini hedef almak ve kimlik bilgilerini ele geçirmek amacıyla kullanılır. Ayrıca, internet servis sağlayıcıları üzerindeki güvenlik açıkları veya kötü yapılandırılmış DNS sunucuları da bu tür saldırılara karşı savunmasızdır. DNS ele geçirme saldırılarının etkisini azaltmak için DNS sorgularını güvence altına almak ve DNSSEC (DNS Security Extensions) gibi güvenlik protokollerini kullanmak önemlidir.
DNS Tünelleme (DNS Tunneling)
DNS tünelleme, DNS protokolünü kullanarak verilerin bir ağdan dışarıya gizlice sızdırılması amacıyla gerçekleştirilen bir saldırı türüdür. Bu saldırı, genellikle kötü amaçlı yazılımların ağdan veri çıkarması ya da saldırganların uzaktan kontrol sağlamak amacıyla kullanılır. DNS tünelleme saldırısında, saldırgan DNS sorgularını kullanarak veriyi hedef sistemden alır ve bu veriyi DNS sunucusu üzerinden dışarıya çıkarır.
Bilmeniz Gerekenler: DNS tünelleme saldırıları, DNS protokolünün genellikle güvenli olarak kabul edilmesi ve bu yüzden ağ güvenlik duvarları tarafından nadiren engellenmesi gerçeğinden faydalanır. DNS, temel olarak alan adlarını IP adreslerine çevirmek için kullanılır. Ancak DNS tünelleme saldırısında, bu protokol veri taşıma amacıyla suistimal edilir. Bu tür bir saldırıda, veri DNS sorgularına gizlenir ve bu şekilde bir DNS sunucusu üzerinden transfer edilir.
DNS tünelleme, meşru bir DNS trafiği gibi görünmesi nedeniyle tespit edilmesi zor bir saldırı türüdür. Saldırganlar, DNS üzerinden bir tünel oluşturarak hedef ağdaki bilgileri alabilir veya dışarıdan komutlar göndererek sistemi kontrol edebilir. Bu tür saldırılar, şirket ağlarından bilgi sızdırmak veya kötü amaçlı yazılımın kontrolünü sağlamak için kullanılabilir.
Saldırı Nasıl Gerçekleşir: DNS tünelleme saldırıları genellikle kötü amaçlı yazılımlar ya da özel olarak tasarlanmış araçlar kullanılarak gerçekleştirilir. Bu saldırının gerçekleştirilmesi için, saldırganın ağ içinde DNS sorgularını manipüle edebileceği bir zafiyet veya kontrol noktası bulması gerekir. Saldırgan, DNS istemcisi ile DNS sunucusu arasında bir tünel oluşturur ve bu tünel üzerinden veri gönderip alır.
Bir DNS tünelleme saldırısı şu şekilde gerçekleşebilir:
- Kötü Amaçlı Yazılım Kullanımı: Saldırgan, kurbanın cihazına kötü amaçlı bir yazılım yükleyerek DNS tünelleme saldırısını başlatabilir. Bu yazılım, cihazdan bilgi toplar ve bu bilgiyi DNS sorguları içine gömerek saldırganın belirlediği bir DNS sunucusuna gönderir.
- Özel DNS Sunucusu Kullanımı: Saldırgan, kendine ait özel bir DNS sunucusu kurarak bu sunucuya veri aktarımı yapar. DNS sorguları ve yanıtları, bu özel sunucu tarafından işlenir ve saldırganın belirlediği bilgileri taşır.
Saldırı Nereden Gelir: DNS tünelleme saldırıları genellikle gelişmiş siber tehdit aktörleri (APT) veya organize siber suçlular tarafından gerçekleştirilir. Bu saldırılar, verilerin gizlice sızdırılması veya kötü amaçlı yazılımların kontrolü amacıyla yapılır. DNS tünelleme, tespit edilmesi zor olduğu için siber suçlular tarafından sıkça tercih edilen bir yöntemdir. Bu tür saldırılara karşı korunmak için DNS trafiğini analiz etmek, olağan dışı davranışları tespit etmek ve DNS trafiğini denetlemek önemlidir. Güçlü ağ izleme araçları ve DNS trafiği için belirli sınırlar koymak bu tür saldırıları önlemeye yardımcı olabilir.
DoS Saldırısı (Denial of Service – DoS Attack)
DoS (Hizmet Reddi) saldırısı, bir sistem, ağ veya hizmetin normal kullanıcılarına erişimini engellemek amacıyla yapılan bir saldırı türüdür. Bu tür saldırılar, hedef sisteme aşırı yük bindirerek ya da kaynaklarını tüketerek, sistemin normal işlevlerini yerine getirmesini engeller. DoS saldırıları, ağ bant genişliğini doldurmak, sunucu kaynaklarını tükenmek veya yazılım hatalarından faydalanmak yoluyla gerçekleştirilebilir.
Bilmeniz Gerekenler: DoS saldırıları, bir hizmetin kullanılabilirliğini kesintiye uğratmak veya tamamen durdurmak amacıyla gerçekleştirilir. Bu saldırılar, bir sunucuya veya ağa aynı anda çok sayıda istek göndererek ya da hatalı isteklerle sistemi aşırı yükleyerek gerçekleşir. Sonuç olarak, hedef sistem yanıt veremez hale gelir ve gerçek kullanıcıların hizmetten yararlanması engellenir.
DoS saldırıları, bireysel sistemlere veya büyük ölçekli ağlara karşı yapılabilir. Hedefteki sistemin türüne ve saldırının yoğunluğuna bağlı olarak etkileri büyük kayıplara yol açabilir. Örneğin, bir e-ticaret sitesine yapılan DoS saldırısı, kullanıcıların siteye erişimini engelleyerek potansiyel gelir kaybına neden olabilir.
Saldırı Nasıl Gerçekleşir: DoS saldırıları genellikle şu yöntemlerle gerçekleştirilir:
- Flooding (Taşkın Saldırısı): Bu yöntemde, saldırgan hedefe aynı anda çok sayıda istek gönderir. Hedef sistem, bu yoğunluğu karşılayamadığı için kaynakları tükenir ve normal hizmet veremez hale gelir. ICMP, UDP veya TCP protokolleri kullanılarak yapılabilir.
- Yararlanma (Exploitation) Yöntemleri: Saldırganlar, hedef sistemde bulunan bir güvenlik açığını veya yazılım hatasını kullanarak sistemin çökmesine neden olabilir. Bu tür saldırılar genellikle sistemin belirli bir parçasını hedef alarak onu işlevsiz hale getirmeyi amaçlar.
- Ping of Death (Ölüm Pingi): Saldırgan, hedef sisteme büyük boyutlu ve parçalanmış bir ICMP paketi göndererek sistemin çökmesine veya hizmet veremez hale gelmesine yol açar.
- SYN Flood: Bu yöntemde, saldırgan hedef sunucuya TCP bağlantısı açmak amacıyla çok sayıda SYN paketi gönderir ve bu paketlerin bağlantısını tamamlamaz. Bu da sunucunun kaynaklarının tükenmesine yol açar.
Saldırı Nereden Gelir: DoS saldırıları genellikle bireysel hackerlar, siber suç örgütleri veya devlet destekli tehdit aktörleri tarafından gerçekleştirilir. Bu saldırılar, hedef sisteme zarar vermek, maddi kayıplara yol açmak veya itibar zedelemek amacıyla yapılabilir. Ayrıca, bazı saldırganlar, rakip firmaları zor durumda bırakmak veya siyasi motivasyonlarla DoS saldırılarına başvurabilirler.
DoS saldırılarının etkisini azaltmak ve bu tür saldırılara karşı korunmak için çeşitli önlemler alınabilir. Ağ izleme sistemleri kullanarak anormal trafik davranışlarını tespit etmek, yük dengeleme teknikleri kullanarak trafik dağıtımını optimize etmek ve saldırı trafiğini filtrelemek gibi yöntemler bu tür saldırılara karşı savunma mekanizmaları arasında yer alır.
Drive-by İndirme Saldırısı (Drive-by Download Attack)
Drive-by indirme saldırısı, bir kullanıcının herhangi bir işlem yapmasına gerek kalmadan, bir web sitesini ziyaret ettiğinde kötü amaçlı yazılımın otomatik olarak cihazına indirilmesini sağlayan bir siber saldırı türüdür. Bu saldırılar, özellikle güvenlik açığı bulunan web tarayıcılarını, eklentileri veya güncellenmemiş yazılımları hedef alır. Kullanıcı, kötü amaçlı bir web sitesine veya meşru bir siteye eklenmiş zararlı bir kodla karşılaştığında, kötü amaçlı yazılım farkında olmadan cihazına indirilir.
Bilmeniz Gerekenler: Drive-by indirme saldırıları, kullanıcıların herhangi bir dosya indirmesine veya bağlantıya tıklamasına gerek kalmadan gerçekleşir. Saldırganlar, genellikle popüler veya güvenli görünen web sitelerini hedef alır ve bu sitelere kötü amaçlı kodlar ekler. Kullanıcı siteyi ziyaret ettiğinde, bu kötü amaçlı kod devreye girer ve zararlı yazılım kullanıcının cihazına sessizce yüklenir.
Drive-by indirme saldırılarının başlıca özellikleri şunlardır:
- Tarayıcı ve Eklenti Güvenlik Açıkları: Bu saldırılar, özellikle web tarayıcılarında, Java, Flash veya diğer eklentilerde bulunan güvenlik açıklarını hedef alır. Bu yazılımlar güncellenmediğinde, saldırganlar bu açıkları kullanarak sisteme sızabilir.
- Gizlilik ve Gizlilik İhlali: Kullanıcı herhangi bir etkileşimde bulunmadığı için, drive-by indirme saldırıları genellikle fark edilmez. Kullanıcıların cihazlarına yüklenen zararlı yazılımlar, hassas bilgileri toplayabilir ve bu bilgileri saldırganlara iletebilir.
- Güvenilir Web Siteleri Üzerinden Saldırılar: Meşru web siteleri bile bu tür saldırılar için birer taşıyıcı olabilir. Saldırganlar, güvenilir bir web sitesine zararlı bir kod ekleyerek bu siteyi ziyaret eden kullanıcıları hedef alabilir.
Saldırı Nasıl Gerçekleşir: Drive-by indirme saldırıları genellikle şu şekilde gerçekleştirilir:
- Kötü Amaçlı Kodun Web Sitesine Eklenmesi: Saldırgan, hedeflediği web sitesine veya reklam ağına kötü amaçlı bir kod ekler. Bu kod, siteye gelen ziyaretçilerin tarayıcılarını kontrol eder ve eğer bir güvenlik açığı bulunursa zararlı yazılım indirir.
- Kullanıcının Siteyi Ziyaret Etmesi: Kullanıcı, bu kötü amaçlı kodun bulunduğu bir web sitesini ziyaret ettiğinde, herhangi bir şey yapmasına gerek kalmadan kötü amaçlı yazılım otomatik olarak cihazına indirilir. Bu indirme işlemi genellikle kullanıcıya fark ettirilmez ve arka planda gerçekleşir.
- Zararlı Yazılımın Yüklenmesi ve Etkinleştirilmesi: İndirilen zararlı yazılım, kullanıcının cihazında etkinleşir ve kullanıcının bilgilerini çalma, sistem üzerinde kontrol sağlama veya başka zararlı yazılımlar yükleme gibi kötü amaçlı faaliyetlerde bulunabilir.
Saldırı Nereden Gelir: Drive-by indirme saldırıları, genellikle organize siber suç grupları veya bireysel saldırganlar tarafından gerçekleştirilir. Bu saldırılar, kullanıcıların herhangi bir işlem yapmasını gerektirmeden kötü amaçlı yazılım yüklemek için tasarlanmıştır. Bu tür saldırılardan korunmak için, tarayıcılar ve eklentiler gibi yazılımların güncel tutulması, güvenilir bir antivirüs programı kullanılması ve şüpheli web sitelerinden kaçınılması önemlidir. Ayrıca, reklam engelleyici yazılımlar kullanmak ve tarayıcı güvenlik ayarlarını güçlendirmek de bu tür saldırılara karşı ek koruma sağlayabilir.
Dosyasız Zararlı Yazılım (Fileless Malware)
Dosyasız zararlı yazılım, geleneksel zararlı yazılımların aksine, bilgisayarda herhangi bir dosya oluşturmadan veya kalıcı bir yazılım yüklemeden çalışan bir siber saldırı türüdür. Bu tür saldırılar, genellikle mevcut sistem süreçlerini veya belleği kullanarak gerçekleşir ve bu da onları tespit etmeyi ve temizlemeyi zorlaştırır. Dosyasız zararlı yazılımlar, saldırganların sistemlere gizlice erişim sağlaması ve bu erişimi kalıcı hale getirmesi için oldukça etkili bir yöntemdir.
Bilmeniz Gerekenler: Dosyasız zararlı yazılımlar, geleneksel antivirüs yazılımlarının gözünden kaçacak şekilde tasarlanmıştır. Bu tür zararlı yazılımlar, bilgisayarın belleğinde veya işletim sisteminin meşru araçlarında gizlenerek, herhangi bir dosya bırakmadan çalışır. Bu, onları hem tespit etmeyi zorlaştırır hem de kalıcı dosya imzası olmadığı için geleneksel güvenlik taramaları tarafından fark edilmesini engeller.
Dosyasız zararlı yazılımlar ile ilgili başlıca yöntemler şunlardır:
- PowerShell ve Windows Yönetim Araçları (WMI) Kullanımı: Dosyasız zararlı yazılımlar, genellikle PowerShell veya WMI gibi sistem araçlarını kullanarak çalıştırılır. Bu araçlar, Windows sistemlerinde yaygın olarak kullanıldığı ve meşru işlemler olarak göründüğü için saldırganlar bu araçlar aracılığıyla zararlı komutlar çalıştırabilir.
- Bellek İçi Saldırılar: Dosyasız zararlı yazılımlar, sisteme bulaştıktan sonra doğrudan bellekte çalışır. Bu, zararlı yazılımın kalıcı bir iz bırakmasını engeller ve bellekten çalıştığı için normal dosya tabanlı antivirüs yazılımları tarafından tespit edilmesini zorlaştırır.
- Güvenlik Açıklarından Yararlanma: Dosyasız zararlı yazılımlar, genellikle mevcut sistem yazılımlarındaki güvenlik açıklarından yararlanarak sisteme bulaşır. Tarayıcılar veya diğer yazılımlar üzerindeki güvenlik açıkları kullanılarak sistemlere sızılır ve ardından zararlı faaliyetler yürütülür.
Saldırı Nasıl Gerçekleşir: Dosyasız zararlı yazılım saldırıları genellikle şu şekilde gerçekleştirilir:
- Güvenlik Açığının Keşfi ve Sızma: Saldırgan, bir yazılım veya sistemdeki bir güvenlik açığını keşfeder ve bu açıktan faydalanarak sisteme sızar. Bu süreçte, zararlı bir dosya indirilmez veya yüklenmez; bunun yerine sistemin mevcut kaynakları kullanılır.
- Sistem Araçlarının Kullanılması: Saldırgan, sisteme sızdıktan sonra PowerShell, WMI veya başka bir sistem aracını kullanarak zararlı komutları çalıştırır. Bu komutlar, sistem üzerinde yetkisiz değişiklikler yapabilir, veri çalabilir veya diğer zararlı faaliyetleri gerçekleştirebilir.
- Bellekte Çalışma: Dosyasız zararlı yazılımlar, tamamen bellekte çalışarak kalıcı bir iz bırakmaz. Bu, saldırının tespit edilmesini zorlaştırır ve saldırganların gizlice sistem üzerinde faaliyet göstermesine olanak tanır.
Saldırı Nereden Gelir: Dosyasız zararlı yazılım saldırıları, genellikle organize suç grupları veya devlet destekli tehdit aktörleri tarafından gerçekleştirilir. Bu saldırılar, hedef sistemlerde iz bırakmadan zararlı faaliyetlerde bulunmak için oldukça etkili bir yöntemdir. Dosyasız zararlı yazılımlardan korunmak için, sistemlerin düzenli olarak güncellenmesi, güçlü uç nokta koruma yazılımlarının kullanılması ve ağ aktivitelerinin dikkatlice izlenmesi önemlidir. Ayrıca, sistem araçlarının kullanımını sınırlamak ve çok faktörlü kimlik doğrulama (MFA) gibi ek güvenlik önlemleri almak, bu tür saldırılara karşı savunma sağlayabilir.
İç Tehdit (Insider Threat)
İç tehdit, bir kuruluşun çalışanları, yüklenicileri veya iş ortakları gibi yetkili kişilerin bilerek veya bilmeyerek kuruluşa zarar vermesi durumudur. İç tehditler, hassas bilgilerin sızdırılması, sistemlere zarar verilmesi veya veri ihlalleri gibi çok çeşitli saldırılar ve güvenlik açıklarına yol açabilir. Bu tür tehditler, kuruluşların siber güvenlik savunmalarını zorlayabilir çünkü saldırı, organizasyon içinden gelir ve meşru erişim haklarına sahiptir.
Bilmeniz Gerekenler: İç tehditler, çoğu zaman şirket içindeki çalışanların veya iş ortaklarının sahip olduğu meşru erişim haklarını kötüye kullanması sonucu gerçekleşir. İç tehditler, kasıtlı veya kazara olabilir. Kasıtlı iç tehditlerde, bir çalışan veya iş ortağı, şirketten intikam almak, maddi kazanç sağlamak veya rakip bir kuruluşa fayda sağlamak amacıyla hassas bilgileri çalabilir veya zarar verebilir. Kazara iç tehditlerde ise, çalışanlar farkında olmadan kötü niyetli bir yazılımı sisteme yükleyebilir ya da gizli bilgileri güvenli olmayan bir şekilde paylaşabilirler.
İç Tehdit Türleri:
- Kötü Niyetli İçeriden Kişi: Bu tür iç tehditler, çalışanların veya iş ortaklarının şirket bilgilerini kasıtlı olarak çalmayı veya zarar vermeyi amaçladığı durumlardır. Örneğin, işten çıkarılmayı bekleyen bir çalışan, şirkete zarar vermek amacıyla gizli bilgileri sızdırabilir.
- Kazara İç Tehdit: Çoğu zaman farkında olmadan gerçekleşen bu tür tehditlerde, bir çalışan güvenlik protokollerini ihlal eden bir e-posta göndererek ya da kötü amaçlı bir bağlantıya tıklayarak şirket sistemlerine zarar verebilir.
- İşbirlikçi İç Tehdit: Bir çalışan, dışarıdan bir saldırganla işbirliği yaparak kuruluşun güvenliğine zarar verebilir. Bu tür tehditler genellikle maddi kazanç veya başka bir motivasyonla gerçekleştirilir.
Saldırı Nasıl Gerçekleşir: İç tehditler genellikle çalışanların veya diğer yetkili kişilerin meşru erişim haklarını kullanarak şirket sistemlerine zarar vermesiyle gerçekleşir. Örneğin, bir çalışan, kurumsal bir veritabanına erişim sağlayarak hassas müşteri bilgilerini kopyalayabilir ve bu bilgileri üçüncü taraflara satabilir. Ayrıca, çalışanlar farkında olmadan, kötü amaçlı yazılımlar içeren e-postalar veya dosyalar aracılığıyla şirket sistemlerine zararlı yazılımlar bulaştırabilir.
İç tehditler, dış tehditlere göre daha zor tespit edilir çünkü tehdit, kuruluşa meşru yollarla erişimi olan kişiler tarafından gerçekleştirilir. Bu nedenle, kuruluşların iç tehditleri önlemek için kullanıcı faaliyetlerini izleyen ve anormal davranışları tespit eden sistemlere ihtiyacı vardır.
Saldırı Nereden Gelir: İç tehditler genellikle mevcut veya eski çalışanlardan, yüklenicilerden veya iş ortaklarından kaynaklanır. Bu kişiler, şirketin ağlarına, verilerine ve sistemlerine doğrudan erişime sahip oldukları için potansiyel bir tehdit oluştururlar. İç tehditleri önlemek amacıyla, kuruluşların çalışan eğitimine önem vermesi, yetki sınırlandırması yapması ve kullanıcı davranışlarını izleyen güvenlik sistemleri kurması önemlidir. Güçlü bir erişim kontrolü, çok faktörlü kimlik doğrulama (MFA) ve düzenli güvenlik farkındalığı eğitimleri bu tür tehditlere karşı savunma mekanizmaları arasında yer alır.
Nesnelerin İnterneti (IoT) Tehditleri
Nesnelerin İnterneti (IoT), cihazların birbirine bağlı olduğu ve veri alışverişi yaptığı geniş bir ağdır. Bu cihazlar, günlük hayatı kolaylaştıran akıllı ev cihazlarından endüstriyel kontrol sistemlerine kadar uzanabilir. Ancak, IoT cihazlarının yaygınlaşması ve bu cihazların çoğunun güvenlik açıkları barındırması, bu ağları ciddi siber tehditlere karşı savunmasız hale getirmektedir. IoT tehditleri, bu cihazlara yönelik saldırıları ve bu cihazların siber suçlular tarafından kötüye kullanılmasını içerir.
Bilmeniz Gerekenler: IoT cihazları, genellikle zayıf güvenlik özellikleriyle gelir ve bu durum onları saldırılara karşı oldukça savunmasız kılar. Bu cihazlar, kullanıcılar tarafından genellikle varsayılan parolalarla veya minimum güvenlik önlemleriyle bırakılır ve bu da saldırganların bu cihazlara kolayca erişmesine neden olur. Bu cihazların ele geçirilmesi, kullanıcıların özel hayatına sızmak veya daha büyük saldırılar için bir platform olarak kullanmak amacıyla gerçekleştirilebilir.
IoT tehditleriyle ilgili başlıca yöntemler şunlardır:
- Varsayılan Parolalar ve Güvenlik Açıkları: Birçok IoT cihazı, varsayılan parolalarla piyasaya sürülür ve kullanıcılar bu parolaları değiştirmediğinde, saldırganlar bu cihazlara kolayca erişim sağlar. Bu cihazlar aynı zamanda genellikle güvenlik güncellemelerinden yoksundur ve bu da onları daha da savunmasız kılar.
- Botnet Saldırıları: IoT cihazları, botnet adı verilen zararlı ağların bir parçası olarak kullanılabilir. Saldırganlar, birçok IoT cihazını ele geçirerek DDoS (Dağıtık Hizmet Reddi) gibi büyük ölçekli saldırılar düzenleyebilir.
- Veri Gizliliği ve Güvenlik İhlali: IoT cihazları, kullanıcıların kişisel bilgilerini toplar ve bu bilgilerin ele geçirilmesi veri gizliliği ihlaline yol açabilir. Saldırganlar, bu cihazlara sızarak kullanıcının kişisel bilgilerine ve günlük aktivitelerine erişebilir.
Saldırı Nasıl Gerçekleşir: IoT tehditleri genellikle şu şekilde gerçekleştirilir:
- Güvenlik Açığının Keşfedilmesi: Saldırgan, IoT cihazındaki bir güvenlik açığını keşfeder. Bu açık, genellikle zayıf parola kullanımı, yanlış yapılandırma veya güncellenmemiş yazılımlar nedeniyle ortaya çıkar.
- Cihaza Yetkisiz Erişim: Saldırgan, bu açığı kullanarak cihaza yetkisiz erişim sağlar. Bu aşamada, cihazın işlevlerini manipüle edebilir, cihaza kötü amaçlı yazılım yükleyebilir veya cihaz üzerinden veri toplayabilir.
- Cihazın Kötüye Kullanılması: Ele geçirilen IoT cihazları, diğer sistemlere saldırmak için bir platform olarak kullanılabilir veya kullanıcının gizliliğine zarar vermek amacıyla bilgi toplamak için kullanılabilir.
Saldırı Nereden Gelir: IoT tehditleri, genellikle bireysel saldırganlar, organize suç grupları veya devlet destekli tehdit aktörleri tarafından gerçekleştirilir. Bu saldırılar, genellikle IoT cihazlarının düşük güvenlik standartları nedeniyle kolay hedef olmaları üzerine odaklanır. IoT cihazlarının güvenliğini sağlamak için, varsayılan parolaların değiştirilmesi, düzenli yazılım güncellemeleri yapılması ve cihazların güvenlik duvarı arkasında tutulması büyük önem taşır. Ayrıca, ağ trafiğinin izlenmesi ve cihazların güvenli bir şekilde yapılandırılması da IoT tehditlerine karşı etkili bir savunma sağlar.
Makro Virüsler (Macro Viruses)
Makro virüsler, genellikle Microsoft Office belgeleri gibi makro destekli dosyalarda yer alan kötü amaçlı kodlardır. Bu virüsler, belge açıldığında veya belirli bir makro çalıştırıldığında etkinleşir ve bu şekilde diğer dosyalara yayılabilir. Makro virüsler, yaygın olarak kullanılan dosya formatlarını hedef aldığı için oldukça etkili olabilir ve kullanıcıların bilgisayarlarında ciddi güvenlik açıklarına neden olabilir.
Bilmeniz Gerekenler: Makro virüsler, özellikle e-posta ekleri yoluyla yayılmaları nedeniyle yaygın bir tehdit oluşturur. Kullanıcılar farkında olmadan makro virüs içeren bir belgeyi açtığında, bu virüs bilgisayar üzerinde çalışır ve diğer dosyaları, e-posta hesaplarını ve hatta ağ kaynaklarını etkileyebilir. Makro virüsler, genellikle kullanıcıların dosya açarken veya bir e-posta ekini indirirken güvenlik uyarılarını görmezden gelmeleri nedeniyle yayılır.
Makro virüslerin en bilinen özelliklerinden biri, programlanabilir olmalarıdır. Bu, virüsün belirli bir koşul yerine getirildiğinde otomatik olarak çalışmasını ve diğer sistemlere de yayılmasını sağlar. Örneğin, bir kullanıcı bir makro virüsü içeren bir Excel dosyasını açtığında, bu virüs otomatik olarak diğer Excel dosyalarına bulaşabilir ve kendini çoğaltabilir.
Saldırı Nasıl Gerçekleşir: Makro virüsler genellikle şu yollarla yayılır:
- E-posta Ekleri: Makro virüslerin en yaygın yayılma yollarından biri, e-posta ekleridir. Saldırganlar, kurbanları bu ekleri açmaları için kandırmak amacıyla inandırıcı e-postalar gönderirler. Kullanıcı eklentiyi açtığında makro virüs aktif hale gelir ve sistemde yayılmaya başlar.
- İndirilmiş Dosyalar: İnternetten indirilen ve makro destekli dosyalar içeren kötü amaçlı yazılımlar da makro virüslerin yayılmasına neden olabilir. Bu dosyalar, kullanıcıların ilgisini çekebilecek belge veya tablolar gibi görünebilir.
- Paylaşılan Belgeler: Paylaşılan bir ağda yer alan belgeler, makro virüslerin yayılmasında bir başka yoldur. Bir virüs bulaşmış dosya paylaşıldığında, ağdaki diğer kullanıcılar bu dosyayı açtığında virüs onların sistemlerine de bulaşabilir.
Saldırı Nereden Gelir: Makro virüs saldırıları genellikle siber suçlular tarafından gerçekleştirilir ve kurbanın cihazını ele geçirmek, bilgilerini çalmak veya daha fazla kötü amaçlı yazılım yüklemek amacı taşır. Bu tür virüsler, özellikle Microsoft Office programlarını hedef alır ve e-posta ekleri veya paylaşılan dosyalar aracılığıyla yayılır. Kullanıcıların, tanımadıkları veya güvenmedikleri kaynaklardan gelen e-posta eklerini açmamaları, makro içerikli dosyalar için makroları devre dışı bırakmaları ve güvenilir bir antivirüs yazılımı kullanmaları bu tür saldırılara karşı korunmanın başlıca yollarıdır.
Kötü Amaçlı PowerShell (Malicious PowerShell)
PowerShell, Windows işletim sistemi üzerinde çalışan güçlü bir komut satırı kabuğu ve komut dosyası dilidir. IT yönetimi ve sistem otomasyonu için oldukça kullanışlı bir araç olmasına rağmen, aynı güç kötü niyetli saldırganlar tarafından da kullanılabilir. Kötü amaçlı PowerShell, saldırganların bu aracı kullanarak sistemleri ele geçirmesi, kötü amaçlı yazılım yüklemesi, bilgi toplaması ve sistemler üzerinde kontrol sağlaması anlamına gelir.
Bilmeniz Gerekenler: Kötü amaçlı PowerShell saldırıları, saldırganların sistemlere sızdıktan sonra PowerShell komutlarını kullanarak zararlı eylemler gerçekleştirmesiyle ortaya çıkar. PowerShell, özellikle sızma testlerinde ve zararlı yazılımların gizlenmesinde kullanılır çünkü PowerShell komutları genellikle antivirüs yazılımları tarafından gözden kaçabilir ve meşru işlemler gibi algılanabilir. Bu durum, saldırganların dikkat çekmeden sistem üzerinde derinlemesine kontrol sağlamasına olanak tanır.
Kötü amaçlı PowerShell komut dosyaları, özellikle “fileless malware” olarak bilinen dosyasız kötü amaçlı yazılımlarda yaygındır. Bu tür saldırılarda, zararlı kod doğrudan bellekte çalıştırılır ve dosya sisteminde iz bırakmadan hedef sistemde zararlı aktiviteler gerçekleştirilir.
Saldırı Nasıl Gerçekleşir: Kötü amaçlı PowerShell saldırıları genellikle şu yollarla gerçekleştirilir:
- Kimlik Avı (Phishing) E-postaları: Saldırganlar, kurbanı bir kötü amaçlı bağlantıya tıklamaya veya bir eki açmaya ikna ederler. Bu işlem sonucunda, zararlı PowerShell komutları otomatik olarak çalıştırılır ve sistem ele geçirilmeye başlanır.
- Sistemde Yetki Yükseltme: Saldırganlar, PowerShell’i kullanarak sistem üzerinde daha fazla yetki elde etmeye çalışır. Bu sayede, daha fazla komut çalıştırabilir ve sistemde daha derinlemesine kontrol sağlayabilirler.
- Uzak Komut Çalıştırma: PowerShell’in ağ üzerinde komut çalıştırma kabiliyeti vardır. Bu özellik, saldırganların uzaktan sistemlere erişim sağlamasına ve bu sistemler üzerinde kötü amaçlı komutlar çalıştırmasına olanak tanır.
- Bilgi Toplama ve Veri Çalma: Kötü amaçlı PowerShell komutları kullanılarak sistemden hassas bilgiler toplanabilir. Kullanıcı adı ve parola gibi bilgilerin ele geçirilmesi, saldırganlara ağ içinde yatay hareket (lateral movement) yapma imkânı sağlar.
Saldırı Nereden Gelir: Kötü amaçlı PowerShell saldırıları genellikle siber suçlular, devlet destekli tehdit aktörleri ve diğer kötü niyetli hacker grupları tarafından gerçekleştirilir. Bu saldırılar, özellikle şirket ağlarına sızmak, veri çalmak veya daha geniş bir saldırının parçası olarak kullanılır. PowerShell’in yerleşik bir Windows aracı olması ve IT süreçlerinde yaygın kullanımı, bu saldırıların fark edilmesini zorlaştırır.
Kötü amaçlı PowerShell saldırılarına karşı korunmak için kuruluşlar, PowerShell kullanımını sınırlayan politikalar oluşturmalı, yalnızca belirli komutların çalıştırılmasına izin vermelidir. Ayrıca, güvenlik çözümleri tarafından PowerShell komutlarının izlenmesi ve olağandışı aktivitelerin tespit edilmesi, bu tür saldırıları önlemek açısından büyük önem taşır.
Kötü Amaçlı Yazılım (Malware)
Kötü amaçlı yazılım, kullanıcının bilgisi ve izni olmadan bir cihazın işleyişine zarar vermek, verileri çalmak veya sistem üzerinde kontrol sağlamak amacıyla geliştirilen her türlü zararlı yazılımdır. Kötü amaçlı yazılımlar genellikle bilgisayar, sunucu veya mobil cihazlara bulaşarak sistemleri bozmak, hassas bilgileri ele geçirmek veya ağlara zarar vermek için kullanılır.
Bilmeniz Gerekenler: Kötü amaçlı yazılımlar farklı türlere ayrılır ve her biri farklı amaçlar doğrultusunda kullanılabilir. En yaygın kötü amaçlı yazılım türleri şunlardır:
- Virüs: Virüsler, kendini çoğaltarak başka dosyalara veya programlara bulaşan kötü amaçlı yazılımlardır. Genellikle kullanıcıların dosya açması veya program çalıştırması sonucunda etkinleşirler.
- Solucan (Worm): Solucanlar, ağlar üzerinden yayılmak üzere tasarlanmış zararlı yazılımlardır. Solucanlar, ağdaki güvenlik açıklarından faydalanarak diğer sistemlere bulaşabilir ve yayılabilir.
- Truva Atı (Trojan): Truva atları, meşru bir yazılım gibi görünerek kullanıcıların güvenini kazanan kötü amaçlı yazılımlardır. Bu yazılımlar, arka planda zararlı aktiviteler gerçekleştirebilir, örneğin sistemden bilgi çalabilir veya zararlı yazılımlar yükleyebilir.
- Fidye Yazılımı (Ransomware): Fidye yazılımları, sistemdeki dosyaları şifreleyerek kullanıcının erişimini engeller ve bu dosyaları açmak için fidye talep eder. Bu tür saldırılar, son yıllarda özellikle kurumsal hedeflere yönelik büyük bir tehdit haline gelmiştir.
- Casus Yazılım (Spyware): Casus yazılımlar, kullanıcının bilgilerini izlemek ve bu bilgileri saldırgana iletmek için kullanılan kötü amaçlı yazılımlardır. Örneğin, kullanıcı adı ve parola gibi hassas bilgileri toplayabilirler.
Saldırı Nasıl Gerçekleşir: Kötü amaçlı yazılımlar genellikle şu yollarla bulaşır:
- E-posta Ekleri ve Kimlik Avı (Phishing): Saldırganlar, kötü amaçlı yazılım içeren e-posta ekleri göndererek kullanıcıları bu ekleri açmaya teşvik ederler. Kullanıcı ek dosyayı açtığında, kötü amaçlı yazılım etkinleşir ve sisteme bulaşır.
- Kötü Amaçlı Web Siteleri ve İndirmeler: Kullanıcılar, farkında olmadan kötü amaçlı yazılım barındıran bir web sitesini ziyaret edebilir veya zararlı bir dosyayı indirebilirler. Bu tür web siteleri, kullanıcının tarayıcısında güvenlik açıklarını hedef alarak yazılımı sisteme yükleyebilir.
- Güvenlik Açıkları ve Yazılım Zafiyetleri: Saldırganlar, sistemdeki ya da yazılımlardaki güvenlik açıklarını kullanarak kötü amaçlı yazılımı yükleyebilir. Bu açıklar genellikle güncel olmayan yazılımlar üzerinden gerçekleşir.
Saldırı Nereden Gelir: Kötü amaçlı yazılımlar, siber suçlular, devlet destekli tehdit aktörleri, hacktivist gruplar veya bireysel hackerlar tarafından geliştirilebilir ve kullanılabilir. Bu yazılımlar, finansal kazanç sağlamak, bilgi çalmak, siyasi amaçlarla zarar vermek veya hedef organizasyonları istikrarsızlaştırmak amacıyla kullanılır. Kötü amaçlı yazılımlardan korunmak için düzenli olarak güncellenen antivirüs yazılımları kullanmak, güçlü parolalar oluşturmak ve bilinmeyen kaynaklardan gelen dosyaları açmamak önemlidir. Ayrıca, sistemlerin ve yazılımların güncel tutulması ve güvenlik yamalarının uygulanması, kötü amaçlı yazılım saldırılarına karşı etkili bir savunma sağlar.
Ortadaki Adam Saldırısı (Man-in-the-Middle Attack – MITM)
Ortadaki adam saldırısı (MITM), bir saldırganın iki taraf arasındaki iletişimi gizlice dinlediği veya değiştirdiği bir siber saldırı türüdür. Bu saldırı, kullanıcı ile hedef sunucu arasındaki veri akışını ele geçirme, izleme veya manipüle etme amacı taşır. Saldırgan, kurbanın verilerini çalarak veya değiştirilmiş bilgiler göndererek ciddi güvenlik açıklarına ve veri kayıplarına neden olabilir.
Bilmeniz Gerekenler: Ortadaki adam saldırıları, ağ üzerinde aktarılan verilerin güvenliğini ihlal ederek taraflar arasındaki iletişimi kesintiye uğratır veya bu iletişime müdahale eder. Bu saldırılar, özellikle şifrelenmemiş veya zayıf şifrelenmiş veri akışları olan Wi-Fi ağlarında yaygındır. MITM saldırıları, saldırganların hassas bilgileri (örneğin kullanıcı adı, parola, kredi kartı bilgileri) ele geçirmesine olanak tanır.
MITM saldırıları çeşitli tekniklerle gerçekleştirilebilir:
- Wi-Fi Sahtekarlığı: Saldırgan, halka açık bir Wi-Fi ağı gibi görünerek kullanıcıları bu ağa bağlanmaya teşvik eder. Kullanıcı bu sahte Wi-Fi ağına bağlandığında, saldırgan tüm ağ trafiğini görebilir ve manipüle edebilir.
- DNS Spoofing: Saldırgan, kullanıcıların meşru bir web sitesine gitmek isterken sahte bir siteye yönlendirilmesini sağlayabilir. Bu yöntemle, kullanıcı sahte web sitesine giriş yaparken oturum bilgilerini saldırgana kaptırabilir.
- ARP Spoofing: Saldırgan, ağdaki ARP (Address Resolution Protocol) tablolarını manipüle ederek, kendini kurban ve hedef sunucu arasında bir aracı olarak tanıtabilir. Bu sayede iki taraf arasındaki tüm veriler saldırganın eline geçer.
- HTTPS Düşürme Saldırısı: Saldırgan, kullanıcı ile web sitesi arasındaki güvenli HTTPS bağlantısını, daha az güvenli olan HTTP bağlantısına zorlayarak, kullanıcıyı korumasız bırakabilir ve bilgilerini ele geçirebilir.
Saldırı Nasıl Gerçekleşir: MITM saldırısı, genellikle şu aşamalarda gerçekleşir:
- Ağ Erişimi Sağlama: Saldırgan, kurbanın bulunduğu ağa erişim sağlar. Bu genellikle halka açık Wi-Fi ağlarında veya güvensiz ağlarda olur.
- İletişimi Dinleme ve Manipüle Etme: Saldırgan, kurbanın veri trafiğini izler ve bu verileri ele geçirir. Ayrıca, kurban ve hedef arasında iletilen bilgileri değiştirebilir veya sahte veriler ekleyebilir.
- Veri Çalma veya Manipülasyon: Saldırgan, oturum bilgilerini, kredi kartı numaralarını veya diğer hassas bilgileri ele geçirir ve bu bilgileri kötü niyetli amaçlarla kullanır.
Saldırı Nereden Gelir: MITM saldırıları, siber suçlular veya devlet destekli tehdit aktörleri tarafından gerçekleştirilir. Bu saldırılar, özellikle halka açık veya güvenlik seviyesi düşük Wi-Fi ağlarında yaygındır. Bu nedenle, kullanıcıların halka açık ağlarda bağlantı kurarken dikkatli olmaları, VPN kullanmaları ve güvenli HTTPS bağlantılarına öncelik vermeleri büyük önem taşır. Ayrıca, ARP spoofing gibi tekniklere karşı korunmak için ağ trafiğini izleyen ve olağandışı aktiviteleri tespit eden güvenlik araçları kullanılmalıdır.
Kimlik Sahtekarlığı Saldırısı (Masquerade Attack)
Kimlik sahtekarlığı saldırısı, bir saldırganın yetkili bir kullanıcı gibi davranarak sistemdeki kaynaklara erişim sağlaması durumudur. Bu tür saldırılar, saldırganın kurbanın kimliğine bürünmesi ve böylece hassas bilgilere veya sistemlere yetkisiz erişim sağlaması amacını taşır. Kimlik sahtekarlığı saldırıları genellikle veri hırsızlığı, sistem kaynaklarını kötüye kullanma ve güvenlik politikalarını atlatma amacıyla gerçekleştirilir.
Bilmeniz Gerekenler: Kimlik sahtekarlığı saldırıları, saldırganların bir kullanıcının kimlik bilgilerini ele geçirmesi veya bu bilgileri taklit etmesi yoluyla gerçekleştirilir. Saldırgan, hedef kullanıcıyı taklit ederek sistemlere giriş yapar ve bu sırada yetkili bir kullanıcı gibi davranır. Bu saldırı türü, genellikle kimlik avı (phishing) saldırıları veya sosyal mühendislik teknikleri kullanılarak gerçekleştirilir.
Kimlik sahtekarlığı saldırıları birkaç farklı yolla gerçekleştirilebilir:
- Kullanıcı Kimlik Bilgilerinin Ele Geçirilmesi: Saldırgan, kurbanın kullanıcı adı ve parolasını ele geçirerek sistemlere giriş yapabilir. Bu bilgiler genellikle kimlik avı e-postaları, zayıf parolalar veya veri ihlalleri yoluyla elde edilir.
- Yetkili Bir Kullanıcının Hesabını Ele Geçirme: Saldırgan, bir kullanıcının hesabını ele geçirdikten sonra bu hesabı kullanarak sistemlere erişebilir. Bu yöntemle saldırgan, yetkili bir kullanıcı gibi davranarak gizli bilgilere erişebilir.
- IP veya MAC Adresi Taklit Etme: Saldırgan, bir cihazın IP adresini veya MAC adresini taklit ederek ağa bağlanabilir ve bu sayede kimlik doğrulama süreçlerini atlatabilir.
Saldırı Nasıl Gerçekleşir: Kimlik sahtekarlığı saldırıları genellikle şu yollarla gerçekleştirilir:
- Kimlik Avı (Phishing) ve Sosyal Mühendislik: Saldırgan, kullanıcılardan hassas bilgileri elde etmek için ikna edici e-postalar gönderir. Kullanıcıların dikkatini çekmek için güvenilir kurumlar veya hizmet sağlayıcılar gibi davranan saldırganlar, kurbanın bilgilerini girerek bu bilgilere erişmesini sağlar.
- Ağ Tabanlı Kimlik Sahtekarlığı: Saldırgan, bir ağ üzerinde yetkili bir cihazın kimlik bilgilerini taklit ederek, bu cihaz gibi davranabilir. Bu sayede, saldırgan ağa giriş yapabilir ve yetkili bir kullanıcı gibi işlem yapabilir.
- Yetki Yükseltme ve Sistemde Kalıcılık Sağlama: Saldırgan, sistemde düşük yetkili bir hesapla başlar ve daha sonra bu yetkileri yükselterek daha fazla kontrol sağlar. Bu tür saldırılar, sistemde daha uzun süre kalmak ve daha fazla zarar vermek amacıyla yapılır.
Saldırı Nereden Gelir: Kimlik sahtekarlığı saldırıları, siber suçlular, organize suç grupları veya devlet destekli tehdit aktörleri tarafından gerçekleştirilebilir. Bu saldırılar, özellikle hassas bilgileri ele geçirmek veya bir kuruluşa yetkisiz erişim sağlamak amacıyla kullanılır. Kimlik sahtekarlığı saldırılarından korunmak için, çok faktörlü kimlik doğrulama (MFA) kullanmak, güçlü parolalar belirlemek ve düzenli güvenlik eğitimleri vermek önemlidir. Ayrıca, kullanıcıların kimlik avı saldırılarına karşı dikkatli olmaları ve e-posta eklerini dikkatle kontrol etmeleri önerilir.
Meltdown ve Spectre Saldırıları
Meltdown ve Spectre, modern işlemcilerde bulunan ciddi güvenlik açıklarını hedef alan iki tür yan kanal saldırısıdır. Bu saldırılar, CPU’ların performansını artırmak amacıyla kullandığı spekülatif yürütme ve diğer optimize edici tekniklerden yararlanarak, sistem belleğinde saklanan hassas bilgileri ele geçirmeyi amaçlar. Bu açıklar, kişisel bilgisayarlar, bulut sunucuları ve mobil cihazlar gibi çok çeşitli cihazları etkileyebilir.
Bilmeniz Gerekenler: Meltdown ve Spectre, farklı yollarla işlemcilerin güvenliğini ihlal eder ancak her ikisi de sistemde izinsiz veri elde etmek için işlemcinin mimari tasarımındaki güvenlik açıklarından faydalanır.
- Meltdown Saldırısı: Meltdown, işlemcinin korumalı bellekte yer alan verilere yetkisiz bir şekilde erişmesine olanak tanır. Bu saldırı, özellikle Intel işlemcilerini etkiler ve işletim sistemi belleğine erişerek kullanıcıya veya uygulamalara ait hassas verileri çalmayı mümkün kılar. Meltdown, izole edilmiş bellek alanlarını “eritir” ve böylece korumalı verilere erişimi mümkün kılar.
- Spectre Saldırısı: Spectre ise, işlemcinin spekülatif yürütme yeteneğinden faydalanarak, farklı uygulamalardan veya süreçlerden veri çalmayı amaçlar. Bu saldırı, AMD, ARM ve Intel işlemcileri etkileyebilir. Spectre, uygulamalar arasında veri sınırlarını ihlal ederek, bir süreçte bulunan hassas verileri başka bir süreç tarafından okunabilir hale getirir.
Saldırı Nasıl Gerçekleşir: Meltdown ve Spectre saldırıları, CPU’nun performansını artırmak için kullandığı spekülatif yürütme işlemini hedef alır. Spekülatif yürütme, işlemcinin potansiyel olarak gerekli olabilecek işlemleri önceden yaparak performansı artırdığı bir süreçtir. Bu saldırılar, işlemcinin bu işlemler sırasında gizli verileri geçici olarak yanlış bellek alanlarında saklamasını sağlar ve bu veriler daha sonra kötü niyetli bir kod ile okunabilir.
- Meltdown: Meltdown saldırısında, saldırgan zararlı bir program aracılığıyla korumalı bellek bölgelerine erişir. Bu saldırı, özellikle işletim sistemi belleğinde saklanan hassas verilere, örneğin parolalar veya şifreleme anahtarları gibi bilgilere ulaşmayı mümkün kılar.
- Spectre: Spectre saldırısında ise, saldırgan başka bir programın bellek erişim kalıplarını manipüle ederek, bu programın gizli verilerini ortaya çıkarabilir. Bu saldırı, uygulamalar arasında güvenliğin ihlal edilmesine ve hassas bilgilerin açığa çıkmasına neden olur.
Saldırı Nereden Gelir: Meltdown ve Spectre saldırıları, özellikle işlemci mimarisindeki güvenlik açıklarından kaynaklanır. Bu saldırılar, saldırganların kötü niyetli kodları çalıştırarak işlemcinin belleğine erişim sağlaması ile gerçekleştirilir. Bu tür saldırılar, özellikle bulut servis sağlayıcılarında bir sanal makineden diğerine bilgi sızdırma riski taşır. Saldırıların etkisini azaltmak için işlemci üreticileri, mikro kod güncellemeleri ve yazılım sağlayıcıları ise işletim sistemi yamaları yayınlamıştır. Kullanıcıların ve kuruluşların bu tür güncellemeleri düzenli olarak uygulamaları önemlidir.
Ağ Dinleme (Network Sniffing)
Ağ dinleme, bir saldırganın ağ üzerinden geçen verileri gizlice dinleyerek bu verilere erişim sağlamaya çalıştığı bir saldırı türüdür. Bu saldırı, genellikle ağ üzerindeki trafiği izlemek, analiz etmek ve hassas bilgileri (örneğin kullanıcı adı, parola, kredi kartı bilgileri) ele geçirmek amacıyla gerçekleştirilir. Ağ dinleme, özellikle güvenli olmayan veya şifrelenmemiş ağlarda yaygın olarak görülür.
Bilmeniz Gerekenler: Ağ dinleme saldırıları, saldırganların ağ üzerindeki paketleri yakalayıp analiz ederek veri elde etmesine olanak tanır. Bu saldırılar, özellikle Wi-Fi ağlarında, hub tabanlı ağlarda ve diğer güvenlik seviyesi düşük ağlarda sıkça gerçekleşir. Bir saldırgan, ağ kartını promiscuous moda ayarlayarak, ağ üzerindeki tüm trafiği görebilir ve bu trafiği analiz edebilir. Bu tür saldırılar, genellikle aşağıdaki durumlarda gerçekleştirilir:
- Halka Açık Wi-Fi Ağları: Güvenliği yetersiz halka açık ağlar, ağ dinleme saldırıları için büyük bir risk taşır. Saldırganlar, bu ağlara bağlanarak ağ trafiğini dinleyebilir ve kullanıcıların hassas bilgilerini ele geçirebilir.
- Şifrelenmemiş Veri Aktarımları: Eğer bir ağ üzerindeki veri aktarımı şifrelenmemişse, bu veriler saldırganlar tarafından kolayca ele geçirilebilir. HTTP gibi şifrelenmemiş protokoller üzerinden yapılan iletişimler bu tür saldırılar için çok hassastır.
- Zayıf Ağ Güvenliği: Ağ cihazlarının (örneğin yönlendirici veya anahtarların) kötü yapılandırılmış olması veya güncellenmemiş güvenlik yamaları da ağ dinleme saldırılarına zemin hazırlar.
Saldırı Nasıl Gerçekleşir: Ağ dinleme saldırıları genellikle şu şekilde gerçekleştirilir:
- Promiscuous Mod Kullanımı: Saldırgan, ağ kartını promiscuous moda ayarlayarak, ağ üzerinden geçen tüm veri paketlerini yakalar. Bu sayede, yalnızca kendisine yönelik olan paketler değil, ağ üzerindeki tüm paketleri görme imkânı elde eder.
- Paket Yakalama Araçları: Saldırgan, Wireshark, tcpdump gibi paket yakalama araçlarını kullanarak ağ trafiğini kaydeder ve analiz eder. Bu araçlar, ağ trafiğindeki hassas bilgileri, şifrelenmemiş kullanıcı adı ve parolaları ele geçirmeye yardımcı olabilir.
- Man-in-the-Middle (Ortadaki Adam) Saldırıları: Saldırgan, kullanıcı ve hedef sunucu arasında aracı bir pozisyon elde ederek ağ trafiğini izler. Bu şekilde, kullanıcıların gönderdiği veriler ve sunucunun yanıtları saldırgan tarafından görülebilir.
Saldırı Nereden Gelir: Ağ dinleme saldırıları, genellikle teknik bilgisi yüksek saldırganlar veya siber suçlular tarafından gerçekleştirilir. Bu saldırılar, özellikle halka açık Wi-Fi ağlarında, güvenliği zayıf olan şirket ağlarında veya ev ağlarında meydana gelir. Ağ dinleme saldırılarından korunmak için, şifreleme (örneğin SSL/TLS), sanal özel ağlar (VPN) kullanımı ve güvenli Wi-Fi yapılandırmaları gibi güvenlik önlemlerinin alınması büyük önem taşır. Ayrıca, ağ trafiğini izleyen ve olağandışı aktiviteleri tespit eden güvenlik çözümleri kullanmak da bu tür saldırılara karşı etkili bir savunma sağlar.
Açık Yönlendirme (Open Redirection)
Açık yönlendirme, web uygulamalarındaki bir güvenlik açığının, kullanıcıları saldırgan tarafından belirlenen bir web sitesine yönlendirmek için kötüye kullanılmasıdır. Bu tür bir saldırı, bir web uygulamasının yanlış yapılandırılması sonucunda kullanıcıların farkında olmadan zararlı veya kimlik avı amaçlı bir siteye yönlendirilmesine yol açabilir. Açık yönlendirme saldırıları, özellikle kimlik avı ve sosyal mühendislik saldırılarıyla sıkça birleştirilir.
Bilmeniz Gerekenler: Açık yönlendirme güvenlik açıkları, bir web uygulamasının, kullanıcıları belirli bir URL’ye yönlendirdiği fakat bu URL’nin doğruluğunu yeterince kontrol etmediği durumlarda ortaya çıkar. Bu tür güvenlik açığı, saldırganların kullanıcıları kandırarak zararlı bir siteye gitmelerini sağlamak için kullanılır. Örneğin, kullanıcılara güvenilir bir web sitesi gibi görünen bir bağlantı sunulabilir, ancak bu bağlantı aslında saldırganın kontrol ettiği zararlı bir siteye yönlendirilir.
Saldırı Nasıl Gerçekleşir: Açık yönlendirme saldırıları genellikle şu şekilde gerçekleşir:
- Güvenilir Bir Bağlantı İle Kandırma: Saldırgan, kurbanlara güvenilir bir web sitesine ait gibi görünen bir bağlantı gönderir. Ancak bu bağlantı, kurbanın güvenilir bir web sitesi yerine zararlı bir siteye yönlendirilmesine neden olacak şekilde değiştirilmiştir.
- URL Parametreleri Manipülasyonu: Web uygulamaları, kullanıcıları belirli sayfalara yönlendirmek için URL parametreleri kullanabilir. Eğer bu parametreler doğrulanmazsa, saldırgan bu parametreleri manipüle ederek kurbanı sahte bir siteye yönlendirebilir.
- Kimlik Avı Saldırıları ile Birleştirme: Açık yönlendirme saldırıları, kimlik avı saldırılarıyla sıkça birleştirilir. Kullanıcılar, güvenilir bir siteye gittiğini düşünürken, zararlı bir siteye yönlendirilir ve bu sitede oturum açma bilgileri gibi hassas bilgilerini girmeleri istenebilir.
Saldırı Nereden Gelir: Açık yönlendirme saldırıları, web uygulamalarının kullanıcı girdilerini yeterince doğrulamadığı durumlarda ortaya çıkar. Saldırganlar, bu güvenlik açığından faydalanarak kullanıcıları kötü amaçlı web sitelerine yönlendirebilir. Bu tür saldırılar, özellikle kullanıcıların dikkatini çekerek kandırmak ve hassas bilgileri ele geçirmek amacıyla kullanılır. Açık yönlendirme saldırılarından korunmak için, web uygulamalarının yönlendirme URL’lerini sıkı bir şekilde doğrulaması ve yalnızca belirli, güvenilir yönlendirmelere izin vermesi önemlidir. Ayrıca, kullanıcıların şüpheli bağlantılara karşı dikkatli olması ve URL’leri kontrol etmesi de bu tür saldırılara karşı önemli bir savunma mekanizmasıdır.
Hash ile Geçiş Saldırısı (Pass the Hash Attack)
Hash ile geçiş saldırısı, bir saldırganın bir kullanıcının parolasını çözmeden, parolanın hash değerini kullanarak bir sisteme yetkisiz erişim sağladığı bir saldırı türüdür. Bu tür saldırılar, genellikle Microsoft Windows tabanlı sistemleri hedef alır ve saldırganın parolanın şifrelenmiş halini (hash) kullanarak bir kullanıcıyı taklit etmesine olanak tanır. Saldırgan, elde ettiği bu hash değerini kullanarak sisteme kimlik doğrulama yapar ve hedef sistemdeki kaynaklara erişim sağlayabilir.
Bilmeniz Gerekenler: Hash ile geçiş saldırıları, parolanın kendisini değil, parolanın hashlenmiş halini ele geçirmeye dayanır. Windows işletim sistemlerinde, kullanıcı parolaları, sistem belleğinde veya özel güvenlik veritabanlarında hashlenmiş olarak saklanır. Bir saldırgan, bu hash değerlerini ele geçirdiğinde, bu değerleri kullanarak kimlik doğrulama sürecini atlatabilir ve kullanıcı yetkileriyle sisteme erişebilir.
Hash ile geçiş saldırıları, aşağıdaki yöntemlerle gerçekleştirilebilir:
- Yan Kanal Saldırıları ile Hash Elde Etme: Saldırgan, hedef bilgisayarda çalışan bir süreçten veya bellek dökümünden parolanın hash değerini ele geçirir. Bu hash değerleri genellikle Windows işletim sistemlerinde Local Security Authority Subsystem Service (LSASS) gibi süreçlerden çıkarılabilir.
- Kimlik Doğrulama Sürecini Atlatma: Hash ile geçiş saldırısında, saldırgan parolanın kendisi yerine parolanın hashini kullanarak kimlik doğrulama yapar. Bu, kullanıcı adı ve parolanın yerini hash değerinin aldığı ve bu sayede hedef sisteme yetkisiz erişim sağlandığı anlamına gelir.
- Ağ Üzerinde Yatay Hareket (Lateral Movement): Saldırgan, ele geçirdiği hash değerlerini kullanarak ağ üzerindeki diğer sistemlere de erişim sağlamaya çalışır. Bu yöntem, saldırganın bir sistemden diğerine geçerek ağda ilerlemesini ve daha fazla kaynağa erişim sağlamasını mümkün kılar.
Saldırı Nasıl Gerçekleşir: Hash ile geçiş saldırıları genellikle şu şekilde gerçekleşir:
- Parola Hashlerinin Ele Geçirilmesi: Saldırgan, hedef sistem üzerinde yetki kazandıktan sonra, LSASS gibi süreçlerden parola hashlerini çıkarabilir. Bu, genellikle Mimikatz gibi özel araçlar kullanılarak yapılır.
- Hash ile Kimlik Doğrulama: Saldırgan, elde ettiği hash değerini kullanarak hedef sistemde kimlik doğrulama yapar. Bu yöntemle, parolanın kendisi olmadan hedef sisteme giriş yapılabilir.
- Diğer Sistemlere Erişim Sağlama: Saldırgan, ağ üzerindeki diğer sistemlerde aynı hash değerlerini kullanarak bu sistemlere de erişim sağlar ve bu sayede ağda yatay hareket gerçekleştirir.
Kimlik Avı (Phishing)
Kimlik avı, bir saldırganın kurbanın hassas bilgilerini (örneğin kullanıcı adı, parola, kredi kartı bilgileri) ele geçirmek amacıyla kendisini güvenilir bir kişi veya kurum gibi gösterdiği bir sosyal mühendislik saldırısı türüdür. Bu tür saldırılar genellikle e-posta, SMS veya sosyal medya üzerinden gerçekleştirilir ve kurbanı kandırarak kötü amaçlı bir bağlantıya tıklaması veya sahte bir form doldurması sağlanır.
Bilmeniz Gerekenler: Kimlik avı saldırıları, siber suçluların en yaygın kullandığı yöntemlerden biridir. Bu saldırılarda saldırganlar, genellikle resmi kurumlar, bankalar veya tanınmış şirketlerin kimliğine bürünerek kurbanı kandırmaya çalışır. Kullanıcılar bu sahte mesajlara inandıklarında, saldırganlar tarafından sağlanan bağlantılara tıklayarak zararlı web sitelerine yönlendirilirler ve burada hassas bilgilerini girerler.
Kimlik avı saldırıları şu şekillerde gerçekleştirilebilir:
- E-posta Yoluyla Kimlik Avı (Email Phishing): Saldırganlar, kurbanlara sahte e-postalar göndererek onları bir bağlantıya tıklamaya veya bir ek açmaya ikna eder. Bu e-postalar, çoğunlukla gerçek bir bankadan, e-ticaret sitesinden veya diğer güvenilir bir kaynaktan geliyormuş gibi görünür.
- Spearfishing (Mızrak Kimlik Avı): Bu, belirli kişileri hedef alan bir kimlik avı türüdür. Saldırgan, hedefi hakkında belirli bilgileri toplayarak kişiselleştirilmiş bir mesaj hazırlar. Bu yöntem, daha ikna edici olduğu için başarı oranı daha yüksektir.
- Whaling (Balina Avı): Üst düzey yöneticiler veya önemli pozisyondaki kişileri hedef alan bir kimlik avı saldırısıdır. Saldırganlar, bu kişilere yönelik özel olarak hazırlanmış e-postalar kullanarak hassas kurumsal bilgileri ele geçirmeye çalışır.
- Vishing ve Smishing: Vishing, telefon görüşmeleri yoluyla yapılan kimlik avıdır. Saldırgan, kurbanı telefonla arayarak banka bilgileri gibi hassas bilgilerini elde etmeye çalışır. Smishing ise SMS yoluyla yapılan kimlik avı saldırılarını ifade eder.
Saldırı Nasıl Gerçekleşir: Kimlik avı saldırıları genellikle şu şekilde gerçekleşir:
- Sahte Mesaj Gönderme: Saldırgan, kurbana güvenilir bir kurumdan geliyormuş gibi görünen bir mesaj gönderir. Bu mesaj, genellikle aciliyet duygusu yaratır ve kurbanı hemen harekete geçmeye zorlar (örneğin, “Hesabınız ele geçirildi, hemen tıklayın!”).
- Kötü Amaçlı Bağlantıya Yönlendirme: Kurban, bu mesajdaki bağlantıya tıkladığında sahte bir web sitesine yönlendirilir. Bu web sitesi, meşru bir kurumun web sitesine benzetilmiştir ve kurbanı oturum açma bilgilerini veya diğer hassas bilgilerini girmeye ikna eder.
- Bilgi Toplama: Kurban bilgilerini girdiğinde, bu bilgiler saldırganın kontrolüne geçer. Bu sayede saldırgan, kurbanın hesaplarına erişim sağlayabilir veya bu bilgileri başka saldırılarda kullanabilir.
Kimlik Avı Yükleri (Phishing Payloads)
Kimlik avı yükleri, saldırganların kimlik avı saldırıları sırasında kurbanları hedeflemek ve hassas bilgilerini ele geçirmek amacıyla kullandığı kötü amaçlı içeriklerdir. Bu yükler, genellikle zararlı ek dosyalar, kötü amaçlı bağlantılar veya sahte form sayfaları gibi farklı formatlarda olabilir. Saldırgan, bu yükleri kurbana sunarak kurbanın bu yükleri açmasını ya da etkileşime geçmesini sağlamaya çalışır. Bu sayede, kurbanın oturum açma bilgileri, finansal bilgileri veya diğer hassas verileri ele geçirilir.
Bilmeniz Gerekenler: Kimlik avı yükleri, saldırganların kurbanlarını kandırarak kötü amaçlı içeriklerle etkileşime girmelerini sağladıkları saldırıların önemli bir parçasıdır. Bu yükler, kullanıcının farkında olmadan bilgisayarına zararlı yazılım yüklemesi, zararlı bir web sitesine yönlendirilmesi veya bilgilerini doğrudan bir saldırgana göndermesi amacıyla tasarlanır. Kimlik avı yükleri, genellikle şunları içerir:
- Kötü Amaçlı E-posta Ekleri: Saldırganlar, kurbanlara e-posta yoluyla kötü amaçlı ekler gönderir. Bu ekler genellikle Microsoft Word, Excel veya PDF gibi yaygın dosya formatlarında olabilir ve içlerinde kötü amaçlı makrolar veya kodlar barındırır. Kurban bu eki açtığında, kötü amaçlı yazılım sisteme yüklenir.
- Zararlı Bağlantılar: E-postalar veya SMS’ler içinde bulunan zararlı bağlantılar, kullanıcıları saldırganın kontrolündeki bir web sitesine yönlendirir. Bu siteler genellikle güvenilir bir kurumun web sitesine benzer şekilde tasarlanır ve kullanıcılardan oturum açma bilgilerini girmeleri istenir.
- Sahte Formlar: Kimlik avı saldırılarında, kullanıcıya sahte bir form doldurması için bağlantı verilir. Bu formlar, kullanıcının bilgilerini doğrudan saldırgana iletmek üzere hazırlanmıştır. Örneğin, kurbana bir bankanın web sitesine benzer bir sayfa sunulabilir ve burada oturum açma bilgileri talep edilebilir.
- Makro İçeren Dosyalar: Saldırganlar, kullanıcılara makro içeren Word veya Excel belgeleri göndererek, makroların etkinleştirilmesini ister. Kullanıcı makroyu etkinleştirdiğinde, zararlı kod çalıştırılarak sisteme kötü amaçlı yazılım yüklenir.
Saldırı Nasıl Gerçekleşir: Kimlik avı yükleri genellikle şu şekilde kullanılır:
- E-posta Yoluyla Gönderme: Saldırgan, kurbana kimlik avı yükünü içeren bir e-posta gönderir. Bu e-postalar, genellikle güvenilir bir kurumdan geliyormuş gibi görünür ve kurbanı hızlı bir şekilde harekete geçmeye zorlar (örneğin, “Faturanız hazır, hemen indirin!”).
- Bağlantıya Tıklatma veya Ek Açtırma: Kurban, e-postadaki bağlantıya tıkladığında veya eki açtığında, zararlı bir web sitesine yönlendirilir ya da kötü amaçlı yazılım cihazına yüklenir. Bu adımda, kurbanın bilgileri çalınabilir veya cihazına zararlı bir yazılım bulaştırılabilir.
- Bilgi Toplama ve Kötü Amaçlı Yazılım Yükleme: Kimlik avı yükleri sayesinde, saldırgan kurbanın bilgilerini doğrudan alabilir ya da sisteme kötü amaçlı yazılım yükleyerek daha fazla bilgi toplamak için kurbanın cihazını kontrol altına alabilir.
Saldırı Nereden Gelir: Kimlik avı yükleri, siber suçlular ve organize suç grupları tarafından oluşturulur ve genellikle kurbanları kandırmak amacıyla özel olarak tasarlanır. Bu tür yükler, saldırganların kurbanların bilgilerini ele geçirmesi, cihazlarını kontrol altına alması veya başka saldırılar için hazırlık yapması amacıyla kullanılır. Kimlik avı yüklerinden korunmak için, kullanıcıların şüpheli e-posta ve mesajlara karşı dikkatli olmaları, ekleri açmadan önce güvenilirliklerini kontrol etmeleri ve bağlantılara tıklamadan önce URL’yi dikkatlice incelemeleri önemlidir. Ayrıca, güncel antivirüs yazılımları kullanmak ve güvenilir kaynaklardan gelen dosyaları tercih etmek bu tür saldırılara karşı etkili bir savunma sağlar.
Mızrak Kimlik Avı (Spear Phishing)
Mızrak kimlik avı, belirli kişileri veya kurumları hedef alan gelişmiş bir kimlik avı saldırısı türüdür. Saldırganlar, hedef hakkında topladıkları özel bilgilerle kişiselleştirilmiş e-postalar veya mesajlar göndererek kurbanı kandırmaya çalışırlar. Bu tür saldırılar, standart kimlik avı saldırılarından daha tehlikelidir çünkü daha spesifik ve ikna edici bir yaklaşım izlenir. Amaç, hedefin güvenini kazanarak ondan hassas bilgiler elde etmek veya kötü amaçlı yazılım yüklemesini sağlamaktır.
Bilmeniz Gerekenler: Mızrak kimlik avı saldırıları, saldırganların hedefin özel bilgilerini kullanarak, o kişiye özgü bir saldırı düzenlemesiyle gerçekleştirilir. Bu nedenle bu saldırılar genellikle yüksek başarı oranına sahiptir. Saldırganlar, hedefin sosyal medya hesaplarından, iş e-postalarından veya diğer açık kaynaklardan bilgi toplayarak, bu bilgileri saldırı mesajlarında kullanır ve hedefin bu mesajlara güvenmesini sağlar.
Mızrak kimlik avı şu şekillerde gerçekleştirilebilir:
- Kişiselleştirilmiş E-posta veya Mesajlar: Saldırganlar, hedefin ismini, iş pozisyonunu, ilgi alanlarını veya diğer özel bilgilerini kullanarak kişiselleştirilmiş mesajlar hazırlar. Bu mesajlar, hedefe tanıdık gelen bir kişi veya kurumdan geliyormuş gibi görünür ve güven kazanmayı amaçlar.
- Yetkili Kişi Taklidi: Saldırganlar, hedefin üst düzey yöneticisinden ya da iş ortağından geliyormuş gibi görünen mesajlar göndererek, hedefin bu mesajları ciddiye almasını sağlar. Bu mesajlarda genellikle acil bir işlem yapılması gerektiği belirtilir ve hedef bu aciliyet duygusuyla hareket eder.
- Kötü Amaçlı Ekler veya Bağlantılar: Mesajlarda ek dosyalar veya zararlı bağlantılar bulunabilir. Hedef bu bağlantılara tıkladığında ya da ekleri açtığında, kötü amaçlı yazılım indirilebilir veya bilgileri ele geçirilebilir.
Saldırı Nasıl Gerçekleşir: Mızrak kimlik avı saldırıları genellikle şu şekilde gerçekleştirilir:
- Hedef Bilgilerinin Toplanması: Saldırgan, hedef hakkında mümkün olduğunca fazla bilgi toplar. Bu bilgiler, sosyal medya profilleri, şirket web siteleri veya açık kaynaklardan elde edilebilir. Toplanan bilgiler, mesajların daha ikna edici olması için kullanılır.
- Kişiselleştirilmiş Mesaj Gönderme: Saldırgan, hedefe yönelik olarak hazırladığı kişiselleştirilmiş bir e-posta veya mesaj gönderir. Bu mesajda, hedefin güvenini kazanmak için ismi, iş pozisyonu veya ilgi alanları gibi detaylar yer alır.
- Bilgi Toplama veya Zararlı Yazılım Yükleme: Hedef, mesajdaki bağlantıya tıkladığında ya da eki açtığında, zararlı bir siteye yönlendirilir veya bilgisayarına kötü amaçlı yazılım yüklenir. Bu aşamada saldırgan, hedefin bilgilerini ele geçirebilir veya sistemine erişim sağlayabilir.
Balina Avı (Whale Phishing – Whaling)
Balina avı, üst düzey yöneticiler, CEO’lar, CFO’lar veya diğer önemli pozisyonlarda bulunan kişileri hedef alan, oldukça hedefli ve spesifik bir kimlik avı saldırısı türüdür. Bu tür saldırılar, hedeflerin yüksek yetki seviyelerine sahip olmasından dolayı son derece karlı olabilir ve saldırganlara büyük miktarda hassas bilgiye veya maddi kazanca erişim sağlar. Balina avı, genellikle bu üst düzey yöneticilerin yetkilerini kötüye kullanmak veya finansal işlemler gerçekleştirmek amacıyla yapılır.
Bilmeniz Gerekenler: Balina avı saldırıları, saldırganların hedeflenen üst düzey yöneticiler hakkında kapsamlı araştırmalar yapması ve kişiselleştirilmiş mesajlar hazırlaması ile gerçekleştirilir. Bu saldırılar, hedefin iş yerindeki pozisyonunu, görevlerini ve sorumluluklarını dikkate alarak tasarlanır. Saldırganlar, kurbanın günlük işlemleri hakkında bilgi sahibi olarak, son derece ikna edici mesajlar oluşturabilir ve bu sayede kurbanın bu mesajlara güvenmesini sağlarlar.
Balina avı saldırıları şu şekillerde gerçekleştirilebilir:
- Kişiye Özel Mesajlar: Saldırganlar, hedefin ismini, görevlerini ve şirketle ilgili özel bilgileri kullanarak kişiselleştirilmiş e-postalar gönderirler. Bu e-postalar, çoğunlukla önemli bir iş talebi, finansal işlem veya acil bir işlem gerektiren bir konu gibi görünür.
- Yetkili Görünme ve Talep Etme: Balina avı saldırılarında, saldırganlar genellikle kurbanın dikkatini çekmek ve güvenini kazanmak için kendilerini kurbanın iş ortağı, başka bir üst düzey yönetici veya resmi bir kurum olarak tanıtır. Bu mesajlar, genellikle acil bir işlem yapılması gerektiğini belirtir ve kurbanı hızlı hareket etmeye zorlar.
- Finansal Dolandırıcılık: Balina avı saldırıları çoğunlukla finansal dolandırıcılık için kullanılır. Saldırgan, kurbanı bir para transferi yapmaya veya gizli şirket bilgilerini paylaşmaya ikna etmeye çalışır. Bu tür saldırılar, hedef kişinin yetkisi sayesinde büyük miktarda para veya değerli veri ele geçirme amacını taşır.
Saldırı Nasıl Gerçekleşir: Balina avı saldırıları genellikle şu şekilde gerçekleştirilir:
- Hedef Bilgilerinin Toplanması: Saldırganlar, hedeflenen üst düzey yönetici hakkında olabildiğince fazla bilgi toplar. Bu bilgiler, sosyal medya profilleri, basın bültenleri, şirket web siteleri ve diğer açık kaynaklardan elde edilebilir. Toplanan bilgiler, saldırı mesajlarının inandırıcı ve spesifik olmasını sağlar.
- Kişiselleştirilmiş Mesaj Gönderme: Saldırgan, hedefe yönelik olarak hazırladığı kişiselleştirilmiş bir e-posta gönderir. Bu mesaj genellikle acil bir talep, finansal bir işlem veya hassas bilgi paylaşımı gibi konuları içerir ve hedefin bu mesajı ciddiye almasını sağlamaya çalışır.
- Bilgi veya Finansal İşlem Talebi: Saldırgan, hedefin güvenini kazanarak belirli bir işlem yapmasını ister. Örneğin, kurbanı büyük bir para transferi yapmaya veya gizli şirket bilgilerini paylaşmaya ikna edebilir.
Saldırı Nereden Gelir: Balina avı saldırıları, genellikle organize siber suç grupları veya devlet destekli tehdit aktörleri tarafından gerçekleştirilir. Bu tür saldırılar, büyük miktarda finansal kazanç elde etmek veya stratejik şirket bilgilerini çalmak amacıyla düzenlenir. Balina avı saldırılarından korunmak için, üst düzey yöneticilerin ve çalışanların bu tür saldırılara karşı bilinçlendirilmesi, şüpheli e-postalara karşı dikkatli olunması ve çok faktörlü kimlik doğrulama (MFA) gibi ek güvenlik önlemlerinin kullanılması büyük önem taşır. Ayrıca, finansal işlemlerle ilgili tüm taleplerin doğrulanması ve çeşitli güvenlik kontrollerinden geçirilmesi bu tür saldırılara karşı etkili bir savunma sağlar.
Yetkili Kullanıcı Ele Geçirilmesi (Privileged User Compromise)
Yetkili kullanıcı ele geçirilmesi, bir saldırganın yüksek seviyeli yetkilere sahip kullanıcı hesaplarını hedef alarak bu hesapları ele geçirmesi ve sistem üzerinde yetkisiz erişim sağlaması durumudur. Bu tür saldırılar, genellikle IT yöneticileri, sistem yöneticileri veya hassas verilere erişim yetkisi bulunan diğer kullanıcıları hedef alır. Yetkili kullanıcı hesaplarının ele geçirilmesi, saldırganlara büyük miktarda bilgiye erişim imkânı sağlar ve sistemlerin güvenliğini ciddi şekilde tehdit eder.
Bilmeniz Gerekenler: Yetkili kullanıcı hesapları, işletmelerin ve organizasyonların en hassas verilerine ve sistemlerine erişim sağlayan kullanıcılardır. Bu nedenle, bu tür hesapların ele geçirilmesi, saldırganlar için oldukça değerlidir. Saldırganlar, yetkili kullanıcıların hesap bilgilerini ele geçirdiğinde, sistem üzerinde geniş yetkiler elde edebilir ve bu yetkilerle sistemleri manipüle edebilir, veri çalabilir veya zararlı yazılım yükleyebilir.
Yetkili kullanıcı ele geçirilmesi şu şekillerde gerçekleştirilebilir:
- Kimlik Avı Saldırıları: Saldırganlar, yetkili kullanıcıları hedef alan kişiselleştirilmiş kimlik avı (phishing) saldırıları düzenler. Bu saldırılarda, hedefin güvenini kazanmak ve kimlik bilgilerini elde etmek için özel olarak hazırlanmış e-postalar veya mesajlar kullanılır.
- Parola Tahmini ve Zayıf Parolalar: Saldırganlar, zayıf parolaları tahmin etmek veya kaba kuvvet (brute force) saldırıları kullanarak yetkili hesapların parolalarını ele geçirebilirler. Zayıf veya tekrar kullanılan parolalar, bu tür saldırılara karşı savunmasızdır.
- Kötü Amaçlı Yazılım Kullanımı: Saldırganlar, hedefin cihazına kötü amaçlı yazılım bulaştırarak, yetkili kullanıcıların kimlik bilgilerini çalabilir. Bu tür kötü amaçlı yazılımlar, genellikle tuş kaydedici (keylogger) veya casus yazılım (spyware) olarak kullanılır.
Saldırı Nasıl Gerçekleşir: Yetkili kullanıcı ele geçirilmesi saldırıları genellikle şu şekilde gerçekleştirilir:
- Hedef Bilgilerinin Toplanması: Saldırgan, hedefteki yetkili kullanıcı hakkında bilgi toplar. Bu bilgiler, sosyal medya hesaplarından, şirket içi iletişimlerden veya diğer açık kaynaklardan elde edilebilir.
- Kimlik Bilgilerinin Ele Geçirilmesi: Saldırgan, kimlik avı, zayıf parola tahmini veya kötü amaçlı yazılım kullanımı yoluyla hedefin kimlik bilgilerini ele geçirir. Bu bilgilerle, saldırgan yetkili kullanıcının hesabına erişim sağlar.
- Sisteme Yetkisiz Erişim ve Manipülasyon: Saldırgan, ele geçirdiği yetkili kullanıcı hesabını kullanarak sisteme girer ve sistem üzerinde değişiklikler yapabilir, veri çalabilir veya diğer zararlı faaliyetlerde bulunabilir. Bu durum, tüm sistemin güvenliğini tehlikeye atabilir ve ciddi veri ihlallerine yol açabilir.
Saldırı Nereden Gelir: Yetkili kullanıcı ele geçirilmesi, genellikle organize siber suç grupları, devlet destekli tehdit aktörleri veya içeriden gelen tehditler (örneğin, kötü niyetli bir çalışan) tarafından gerçekleştirilir. Bu saldırılar, özellikle kritik sistemlere ve verilere erişim sağlamak amacıyla yapılır. Bu tür saldırılardan korunmak için, güçlü ve benzersiz parolalar kullanılması, çok faktörlü kimlik doğrulama (MFA) uygulanması ve yetkili kullanıcı hesaplarının sürekli izlenmesi büyük önem taşır. Ayrıca, düzenli güvenlik farkındalığı eğitimleri ile çalışanların bu tür tehditlere karşı bilinçlendirilmesi de etkili bir savunma sağlar.
Fidye Yazılımı (Ransomware)
Fidye yazılımı, saldırganların bir kurbanın sistemine erişim sağlayarak verilerini şifrelemesi ve bu verileri yeniden kullanılabilir hale getirmek için fidye talep etmesi üzerine kurulu bir kötü amaçlı yazılım türüdür. Bu tür saldırılar, özellikle işletmeler, kamu kurumları ve bireyler için büyük tehdit oluşturur çünkü verilerin kaybedilmesi veya fidye ödenene kadar erişilememesi ciddi maddi kayıplara ve operasyonel aksaklıklara yol açabilir.
Bilmeniz Gerekenler: Fidye yazılımları, genellikle sosyal mühendislik saldırıları veya kötü amaçlı bağlantılar aracılığıyla kullanıcının cihazına bulaşır. Saldırgan, sisteme girdikten sonra verileri şifreler ve kurbandan bu şifrelerin çözülmesi için bir miktar para talep eder. Fidye ödemesi genellikle kripto para birimleri ile yapılır, çünkü bu ödemeler takip edilmesi zor ve anonimdir.
Fidye yazılımlarının yaygın özellikleri şunlardır:
- Veri Şifreleme: Saldırgan, sistemdeki dosyaları şifreler ve kurbanın bu verilere erişimini engeller. Şifrelenen dosyalar genellikle işletme kayıtları, müşteri verileri veya kişisel belgeler gibi kritik öneme sahip veriler olur.
- Fidye Talebi: Saldırgan, verilerin şifresini çözmek için fidye talep eder. Fidye miktarı değişkenlik gösterebilir, ancak fidye ödemesi genellikle Bitcoin gibi kripto para birimleri üzerinden yapılması istenir.
- Tehdit ve Zorlama: Saldırganlar, fidyenin belirli bir süre içinde ödenmemesi durumunda verilerin kalıcı olarak silineceği veya halka açık olarak yayınlanacağı gibi tehditler savurur. Bu durum, kurban üzerinde psikolojik baskı oluşturmak ve fidyenin ödenmesini sağlamak amacı taşır.
Saldırı Nasıl Gerçekleşir: Fidye yazılımı saldırıları genellikle şu şekilde gerçekleştirilir:
- Kötü Amaçlı E-posta ve Kimlik Avı: Saldırganlar, kurbanlara kötü amaçlı yazılım içeren e-postalar gönderir. Bu e-postalarda sahte bağlantılar veya zararlı ekler bulunur. Kullanıcı bu bağlantıya tıkladığında veya eki açtığında fidye yazılımı sisteme bulaşır.
- Güvenlik Açıklarının Kullanılması: Fidye yazılımları, sistemlerde veya yazılımlarda bulunan güvenlik açıklarını kullanarak yayılabilir. Özellikle güncellenmemiş işletim sistemleri ve yazılımlar bu tür saldırılara karşı savunmasızdır.
- Ağ Tabanlı Yayılma: Fidye yazılımları, bir ağdaki diğer cihazlara da yayılabilir. Bu durum, özellikle kurumsal ağlarda büyük bir tehdit oluşturur, çünkü tüm ağı etkileyerek operasyonları durma noktasına getirebilir.
Saldırı Nereden Gelir: Fidye yazılımı saldırıları, genellikle organize siber suç grupları veya fidye karşılığında para elde etmeyi amaçlayan bireysel saldırganlar tarafından gerçekleştirilir. Bu tür saldırılar, kritik verilere erişimi engelleyerek kurbanı fidye ödemeye zorlamak üzerine kuruludur. Fidye yazılımlarından korunmak için, düzenli yedekleme yapmak, güvenlik yazılımlarını güncel tutmak ve çalışanlara güvenlik farkındalığı eğitimi vermek büyük önem taşır. Ayrıca, çok faktörlü kimlik doğrulama (MFA) kullanarak sistemlerinizi ve ağınızı daha güvenli hale getirebilirsiniz. Yedeklemelerin çevrimdışı olarak saklanması da fidye yazılımlarına karşı önemli bir savunma yöntemidir.
Yönlendirici ve Altyapı Saldırıları (Router and Infrastructure Attacks)
Yönlendirici ve altyapı saldırıları, ağ iletişimini sağlayan yönlendirici, anahtar (switch), modem gibi cihazların ya da ağ altyapısının güvenliğini ihlal etmeyi hedefleyen saldırılardır. Bu tür saldırılar, ağ trafiğini ele geçirmek, iletişimi kesintiye uğratmak veya hassas verileri çalmak amacıyla yapılabilir. Yönlendirici ve ağ altyapısına yönelik bu saldırılar, özellikle geniş çaplı ağlarda büyük risk oluşturur ve ciddi güvenlik açıklarına yol açabilir.
Bilmeniz Gerekenler: Yönlendirici ve altyapı saldırıları, genellikle cihazlardaki zayıf güvenlik yapılandırmalarından ve varsayılan parolaların kullanılmasından faydalanarak gerçekleştirilir. Saldırganlar, ağ trafiğini ele geçirerek veri izleme, kötü amaçlı yönlendirmeler yapma veya ağa zararlı yazılım bulaştırma gibi çeşitli eylemler gerçekleştirebilirler.
Bu tür saldırıların başlıca örnekleri şunlardır:
- Varsayılan Parolalar: Birçok ağ cihazı varsayılan yönetici parolaları ile gelir ve bu parolalar çoğu zaman değiştirilmez. Saldırganlar, bu varsayılan parolaları kullanarak cihazlara yetkisiz erişim sağlayabilir.
- Güvenlik Açıkları ve Güncellenmemiş Yazılımlar: Yönlendirici ve diğer ağ cihazlarında bulunan güvenlik açıkları, güncellenmediği sürece saldırganlar tarafından kullanılabilir. Bu tür açıklar, cihazın ele geçirilmesine ve ağ trafiğinin manipüle edilmesine yol açabilir.
- DNS Değiştirme (DNS Hijacking): Saldırganlar, yönlendiriciye erişim sağlayarak DNS ayarlarını değiştirebilir ve bu sayede kullanıcıları sahte web sitelerine yönlendirebilirler. Bu yöntem, özellikle kimlik avı saldırılarında yaygın olarak kullanılır.
- Ağ İzleme (Sniffing): Saldırgan, yönlendiriciye veya ağın diğer kritik bir bileşenine erişerek ağ trafiğini izleyebilir. Bu durum, kullanıcı adı, parola veya diğer hassas bilgilerin ele geçirilmesine neden olabilir.
Saldırı Nasıl Gerçekleşir: Yönlendirici ve altyapı saldırıları genellikle şu şekilde gerçekleştirilir:
- Zayıf Parolaların Kullanılması: Saldırganlar, yönlendiricilere ve diğer ağ cihazlarına varsayılan veya zayıf parolalarla erişim sağlar. Bu parolalarla cihazın yönetim paneline girerek ayarları değiştirebilir ve cihaz üzerinde kontrol sağlayabilirler.
- Güvenlik Açıklarının Kullanılması: Saldırganlar, yönlendirici yazılımlarındaki güvenlik açıklarını kullanarak cihazı ele geçirir. Bu açıklar, cihaz yazılımının güncellenmemesi veya yanlış yapılandırılması sonucu ortaya çıkabilir.
- Zararlı Yazılım Enjeksiyonu: Saldırganlar, yönlendiriciye zararlı yazılım yükleyerek ağ trafiğini manipüle edebilir veya trafiği izleyebilir. Bu sayede, kullanıcıların hassas bilgilerini ele geçirir ve ağda istenmeyen faaliyetlerde bulunurlar.
Saldırı Nereden Gelir: Yönlendirici ve altyapı saldırıları, genellikle organize siber suç grupları veya yetkisiz erişim elde etmeye çalışan bireysel saldırganlar tarafından gerçekleştirilir. Bu saldırılar, özellikle ağın kritik bileşenlerini hedef aldığı için büyük ölçekli operasyonel aksaklıklara neden olabilir. Bu tür saldırılardan korunmak için, ağ cihazlarının varsayılan parolalarının değiştirilmesi, yazılımların düzenli olarak güncellenmesi ve güçlü güvenlik yapılandırmalarının kullanılması büyük önem taşır. Ayrıca, ağa yönelik izleme ve güvenlik kontrolleri yaparak olağandışı aktivitelerin erken tespit edilmesi de etkili bir savunma sağlar.
Gölge BT (Shadow IT)
Gölge BT, bir kuruluşun bilgi teknolojileri departmanının bilgisi veya onayı olmadan kullanılan cihazlar, yazılımlar ve hizmetlerdir. Bu tür BT varlıkları, genellikle çalışanların kendi iş süreçlerini hızlandırmak veya günlük görevlerini daha verimli hale getirmek amacıyla kullanılır. Ancak, Gölge BT uygulamaları, ciddi güvenlik ve uyumluluk risklerine yol açabilir çünkü bu teknolojiler resmi BT politikalarının ve güvenlik denetimlerinin dışında kalır.
Bilmeniz Gerekenler: Gölge BT, genellikle çalışanların kendi ihtiyaçlarına yönelik daha hızlı ve esnek çözümler arayışı sonucu ortaya çıkar. Örneğin, bir çalışan, dosya paylaşımını daha kolay hale getirmek için şirketin onaylı olmayan bir bulut depolama hizmetini kullanabilir. Bu gibi durumlarda, BT departmanının bu yazılımları veya hizmetleri bilmemesi, potansiyel güvenlik tehditlerine ve veri ihlallerine yol açabilir.
Gölge BT ile ilgili dikkate alınması gereken başlıca unsurlar şunlardır:
- Veri Güvenliği: Gölge BT varlıkları, kurumun güvenlik politikalarına uymaz ve bu nedenle hassas verilerin yanlış ellere geçme riski yüksektir. Bu, özellikle bulut tabanlı depolama veya paylaşım hizmetleri kullanıldığında geçerlidir.
- Uyumluluk ve Denetim Eksiklikleri: Kuruluşların, düzenleyici gereksinimlere uyum sağlaması önemlidir. Gölge BT kullanımı, bu uyumluluğu tehlikeye atabilir çünkü bu teknolojiler BT departmanının kontrolü dışında kalır ve denetim süreçlerinde gözden kaçabilir.
- Güvenlik Açıkları: Onaylanmamış yazılım ve cihazların kullanımı, güvenlik açıklarını artırabilir. Bu yazılımlar veya cihazlar, güncellemelerden veya güvenlik yamalarından yoksun olabilir, bu da saldırganlar için bir giriş noktası oluşturur.
Gölge BT Nasıl Ortaya Çıkar: Gölge BT genellikle şu durumlarda ortaya çıkar:
- İş Hızını Artırma İhtiyacı: Çalışanlar, resmi BT süreçlerinin yavaş olduğunu düşündüklerinde daha hızlı çözümler arayabilirler. Örneğin, büyük dosyaları hızlı bir şekilde paylaşmak için onaysız bir dosya paylaşım uygulaması kullanmak isteyebilirler.
- Kullanıcı Dostu Çözümler: Bazı resmi BT çözümleri kullanıcı dostu olmayabilir. Bu durumda, çalışanlar daha kolay kullanabilecekleri araçlara yönelir ve bu araçlar genellikle Gölge BT kapsamına girer.
- Mobil Cihaz Kullanımı: Çalışanlar, kendi akıllı telefonları, tabletleri veya kişisel dizüstü bilgisayarları gibi cihazları kullanarak işlerini yapmaya çalıştıklarında da Gölge BT ortaya çıkar. Bu cihazlar, şirketin güvenlik kontrolleri dışında kaldığında büyük risk oluşturur.
Saldırı Nereden Gelir: Gölge BT kaynaklı güvenlik açıkları, siber suçlular veya kötü niyetli aktörler tarafından kullanılabilir. Bu saldırılar, genellikle şirketin kontrolü dışında kalan yazılım veya cihazların zayıf noktalarını hedef alır. Gölge BT’yi yönetmenin en iyi yolu, çalışanlarla açık iletişim kurarak onların ihtiyaçlarını anlamak ve bu ihtiyaçlara yönelik güvenli ve onaylanmış çözümler sunmaktır. Ayrıca, ağ trafiğini izlemek ve kurumsal güvenlik politikalarını güncel tutmak da Gölge BT ile ilgili riskleri azaltmak açısından önemlidir.
Simjacking (SIM Kart Ele Geçirme)
Simjacking, bir saldırganın bir kullanıcının SIM kartını ele geçirerek telefon numarasını ve diğer mobil hizmetleri kontrol altına aldığı bir siber saldırı türüdür. Bu saldırı, mobil operatörlerle iletişime geçilerek ve kurbanın kimliğine bürünerek SIM kartın başka bir SIM karta kopyalanması veya yönlendirilmesiyle gerçekleştirilir. Bu yöntemle, saldırgan kullanıcıya ait metin mesajlarını, çağrıları ve hatta iki faktörlü kimlik doğrulama kodlarını alabilir.
Bilmeniz Gerekenler: Simjacking saldırıları, genellikle sosyal mühendislik yöntemleri kullanılarak gerçekleştirilir. Saldırgan, mobil operatörle iletişime geçerek hedef kişinin kimliğine bürünür ve operatörü, kurbanın SIM kartını yeni bir karta aktarması için kandırır. Bu sayede, kurbanın telefon numarası saldırganın kontrolüne geçer ve saldırgan hedefin tüm mobil iletişimlerini ele geçirebilir.
Simjacking ile ilgili dikkate alınması gereken başlıca unsurlar şunlardır:
- Kimlik Avı ve Sosyal Mühendislik: Simjacking, genellikle kimlik avı ve sosyal mühendislik yöntemleriyle gerçekleştirilir. Saldırgan, mobil operatöre hedef kişinin kimliği hakkında bilgi verir ve SIM kartı değiştirme işlemini başlatır. Bu tür bir saldırı, kullanıcının kişisel bilgilerini ele geçiren kimlik avı e-postaları veya diğer sosyal mühendislik teknikleriyle desteklenir.
- İki Faktörlü Kimlik Doğrulama (2FA) Riskleri: Simjacking, iki faktörlü kimlik doğrulama kodlarının ele geçirilmesine yol açabilir. Bu da saldırganın hedefin banka hesapları veya diğer çevrimiçi hesaplarına erişim sağlamasına olanak tanır.
- Çağrı ve Mesaj Yönlendirme: Saldırgan, kurbanın telefon numarasını ele geçirerek tüm gelen çağrıları ve SMS mesajlarını kontrol edebilir. Bu durum, hem gizlilik ihlaline hem de daha ileri düzeyde finansal veya kişisel veri kaybına neden olabilir.
Saldırı Nasıl Gerçekleşir: Simjacking saldırıları genellikle şu şekilde gerçekleştirilir:
- Kullanıcı Bilgilerinin Toplanması: Saldırgan, hedef kişinin kimlik bilgilerini ele geçirir. Bu bilgiler sosyal medya profilleri, veri ihlalleri veya diğer kaynaklardan elde edilebilir.
- Mobil Operatörle İletişime Geçme: Saldırgan, hedefin mobil operatörüyle iletişime geçer ve kendisini kurban olarak tanıtarak SIM kartın başka bir karta taşınmasını talep eder. Bu süreçte, saldırgan genellikle hedefin kimlik bilgilerini kullanarak operatörü ikna eder.
- Telefon Numarasının Ele Geçirilmesi: SIM kart taşıma işlemi başarıyla gerçekleştiğinde, hedef kişinin telefon numarası saldırganın kontrolüne geçer. Bu sayede saldırgan, hedefin tüm SMS mesajlarını ve çağrılarını alabilir, bu da genellikle finansal hesaplara erişim sağlamak amacıyla yapılır.
Saldırı Nereden Gelir: Simjacking saldırıları, genellikle organize siber suç grupları veya bireysel dolandırıcılar tarafından gerçekleştirilir. Bu saldırılar, finansal kazanç sağlamak, kişisel verilere erişim sağlamak veya kullanıcıların gizliliğini ihlal etmek amacıyla düzenlenir. Simjacking saldırılarından korunmak için, mobil operatörünüze bir PIN veya parola belirlemek, iki faktörlü kimlik doğrulamayı SIM tabanlı değil, uygulama tabanlı (örneğin Google Authenticator) olarak kullanmak ve kimlik avı saldırılarına karşı dikkatli olmak büyük önem taşır.
Sosyal Mühendislik Saldırısı (Social Engineering Attack)
Sosyal mühendislik saldırısı, bir saldırganın insanların güvenini kazanarak onları hassas bilgilerini ifşa etmeye, zararlı yazılımlar yüklemeye veya istenmeyen işlemler yapmaya ikna ettiği bir saldırı türüdür. Bu tür saldırılar, insanların doğal güven eğilimlerini ve sosyal dinamikleri suistimal ederek hedef alınan bireylerden bilgi toplamak veya sistemlere yetkisiz erişim sağlamak amacıyla yapılır. Sosyal mühendislik, genellikle teknik bilgiye ihtiyaç duymadan, insan psikolojisini kullanarak başarıya ulaşır.
Bilmeniz Gerekenler: Sosyal mühendislik saldırıları, genellikle kurbanın güvenini kazanmak ve onu manipüle ederek istenen eylemleri gerçekleştirmesini sağlamak üzerine kuruludur. Saldırgan, hedeflediği kişi ya da kurum hakkında detaylı bilgiler toplar ve bu bilgileri güven kazanmak amacıyla kullanır. Sosyal mühendislik saldırıları, hedeflenen kişinin bilinçli ya da bilinçsiz olarak saldırgana erişim izni vermesini sağlar.
Sosyal mühendislik saldırıları birkaç farklı yöntemle gerçekleştirilebilir:
- Kimlik Avı (Phishing): Saldırgan, kurbanın güvenilir bir kaynaktan geliyormuş gibi görünen e-posta veya mesaj almasını sağlar. Bu mesajlarda kurbanı, hassas bilgilerini vermeye veya kötü amaçlı bir bağlantıya tıklamaya ikna eden içerikler bulunur.
- Önceden Aranmış Telefon Dolandırıcılığı (Pretexting): Saldırgan, belirli bir kimliği veya pozisyonu taklit ederek hedef kişiyi arar ve kendisini bir yetkili gibi tanıtır. Bu yolla, kurbanın kişisel bilgilerini elde etmeye çalışır.
- Acil Durum Senaryoları Kullanma: Saldırgan, kurbanın bir acil duruma tepki vermesini sağlamak için aciliyet veya kriz durumu yaratır. Bu durumlarda, kurbanın hızlı hareket etmesi ve bu nedenle daha az dikkatli olması sağlanır.
- USB veya Fiziksel Medya Tuzağı: Saldırganlar, içinde kötü amaçlı yazılım bulunan USB bellekleri veya diğer cihazları halka açık alanlara bırakabilir. Meraklı bir kurban bu cihazı bilgisayarına taktığında, zararlı yazılım sisteme bulaşır.
Saldırı Nasıl Gerçekleşir: Sosyal mühendislik saldırıları genellikle şu adımlarla gerçekleştirilir:
- Hedef Belirleme ve Bilgi Toplama: Saldırgan, hedef kişiyi veya kurumu belirler ve bu hedef hakkında mümkün olduğunca fazla bilgi toplar. Bu bilgiler, sosyal medya, kurumsal web siteleri veya diğer açık kaynaklardan elde edilebilir.
- Güven Kazanma ve Manipülasyon: Saldırgan, hedefle güvenilir bir ilişki kurmaya çalışır. Hedefin ilgisini çekecek veya ihtiyaç duyduğu bir bilgiye yönelik bir yaklaşım sergileyerek, güven ortamı oluşturur.
- Hedefin Yönlendirilmesi: Güven kazandıktan sonra saldırgan, hedefi belirli bir eylemi yapmaya ikna eder. Bu, zararlı bir bağlantıya tıklamak, hassas bilgileri paylaşmak veya belirli bir yazılımı kurmak gibi çeşitli eylemler olabilir.
Saldırı Nereden Gelir: Sosyal mühendislik saldırıları, bireysel saldırganlar, organize siber suç grupları veya devlet destekli tehdit aktörleri tarafından gerçekleştirilebilir. Bu tür saldırılar, teknik güvenlik önlemlerini aşmak yerine insan zaaflarını hedef alır. Sosyal mühendislik saldırılarından korunmak için çalışanlara düzenli olarak farkındalık eğitimi verilmesi, şüpheli e-posta ve mesajlara karşı dikkatli olunması ve bilgi paylaşımı konusunda tedbirli olunması büyük önem taşır. Ayrıca, çok faktörlü kimlik doğrulama (MFA) kullanmak ve şüpheli bağlantılara veya ek dosyalara tıklamadan önce dikkatli davranmak bu tür saldırılara karşı etkili bir savunma sağlar.
Casus Yazılım (Spyware)
Casus yazılım, kullanıcının bilgisi veya izni olmadan bilgisayarına veya cihazına yüklenen ve bu cihazdaki aktiviteleri izleyen, veri toplayan ve bu bilgileri saldırganlara gönderen bir kötü amaçlı yazılım türüdür. Casus yazılımlar, kullanıcıların kişisel bilgilerini, çevrimiçi aktivitelerini, oturum açma bilgilerini ve hatta finansal verilerini gizlice toplayarak kullanıcının gizliliğini ciddi şekilde ihlal eder. Bu tür yazılımlar, kullanıcının internet tarama geçmişi, klavye girdileri ve hatta ekran görüntüleri gibi bilgileri kaydederek siber suçlulara iletir.
Bilmeniz Gerekenler: Casus yazılımlar, genellikle kullanıcı farkında olmadan çeşitli yollarla bir cihaza yüklenir. Bu kötü amaçlı yazılımlar, çoğu zaman meşru görünen uygulamalar veya indirilen dosyaların içinde gizlenerek kurbanın sistemine bulaşır. Casus yazılım türleri arasında tuş kaydediciler (keyloggers), reklam yazılımları (adware) ve tarayıcıya entegre olan diğer kötü amaçlı yazılımlar bulunur.
Casus yazılım saldırılarının başlıca türleri ve yöntemleri şunlardır:
- Tuş Kaydediciler (Keyloggers): Bu tür casus yazılımlar, kullanıcının klavye üzerindeki tüm girişlerini kaydederek kullanıcı adı, parola ve diğer hassas bilgileri saldırganlara iletir.
- Adware (Reklam Yazılımı): Reklam yazılımları, kullanıcıların tarayıcılarına gizlice yerleşerek onlara istenmeyen reklamlar gösterir ve bu reklamlar üzerinden kullanıcı davranışlarını izler. Reklam yazılımları genellikle kullanıcıların internet tarama alışkanlıklarını toplayarak pazarlama amacıyla kullanılır.
- Tarayıcı Ele Geçirme: Casus yazılımlar, kullanıcının internet tarayıcısına yerleşerek arama sonuçlarını manipüle edebilir, istenmeyen web sitelerine yönlendirebilir veya tarayıcı ayarlarını değiştirebilir.
Saldırı Nasıl Gerçekleşir: Casus yazılımlar genellikle şu yöntemlerle cihazlara bulaşır:
- Kötü Amaçlı E-posta ve Kimlik Avı: Saldırganlar, kullanıcılara zararlı yazılım içeren ekler veya bağlantılar içeren e-postalar gönderir. Kullanıcı bu ekleri açtığında veya bağlantılara tıkladığında casus yazılım cihazına yüklenir.
- Sahte Yazılım ve İndirmeler: Kullanıcılar, meşru gibi görünen ancak aslında kötü amaçlı yazılım içeren ücretsiz yazılımları indirerek casus yazılımı cihazlarına yükleyebilir. Bu yazılımlar, genellikle popüler ücretsiz araçların sahte sürümleridir.
- Zararlı Web Siteleri ve Pop-up Reklamlar: Bazı zararlı web siteleri ve pop-up reklamlar, kullanıcının bir bağlantıya tıklaması veya dosya indirmesi sonucunda casus yazılımı cihazına yükler.
Saldırı Nereden Gelir: Casus yazılımlar, genellikle siber suçlular veya kişisel bilgileri çalmak ve bunları maddi kazanç sağlamak amacıyla kullanan diğer kötü niyetli kişiler tarafından geliştirilir ve dağıtılır. Casus yazılım saldırılarından korunmak için, kullanıcıların güvenilmeyen kaynaklardan yazılım indirmemeleri, cihazlarına güçlü bir antivirüs yazılımı yüklemeleri ve bu yazılımları düzenli olarak güncellemeleri önemlidir. Ayrıca, internet tarayıcılarının güvenlik ayarlarını güçlendirmek ve şüpheli bağlantılara karşı dikkatli olmak da bu tür saldırılara karşı etkili bir koruma sağlar.
SQL Enjeksiyonu (SQL Injection)
SQL enjeksiyonu, bir saldırganın bir web uygulamasının veritabanına kötü niyetli SQL komutları enjekte ederek bu veritabanındaki bilgileri elde etme, değiştirme veya silme amacıyla gerçekleştirdiği bir siber saldırı türüdür. SQL enjeksiyonu, genellikle web formlarındaki veya URL parametrelerindeki güvenlik açıklarından faydalanarak yapılır ve veritabanı güvenliğini ciddi anlamda tehdit eder. Bu tür saldırılar, özellikle kullanıcı girişlerinin doğrudan SQL sorgularında kullanıldığı uygulamalarda yaygındır.
Bilmeniz Gerekenler: SQL enjeksiyonu, web uygulamalarında doğru şekilde doğrulanmayan veya temizlenmeyen kullanıcı girdilerini hedef alır. Bir saldırgan, bu girdilere SQL komutları ekleyerek uygulamanın normalde erişemeyeceği veritabanı bilgilerine erişim sağlayabilir. SQL enjeksiyonu saldırıları, hassas bilgileri çalmak, veritabanında değişiklik yapmak veya sistemde daha fazla zarar vermek amacıyla kullanılabilir.
SQL enjeksiyonu ile ilgili başlıca yöntemler şunlardır:
- Doğrudan SQL Enjeksiyonu: Saldırgan, kullanıcı giriş alanlarına doğrudan SQL komutları yazarak veritabanını manipüle etmeye çalışır. Örneğin, kullanıcı adı veya parola alanına eklenen bir komut, tüm veritabanının dökümünü alabilir.
- Kör SQL Enjeksiyonu (Blind SQL Injection): Bu yöntemde, saldırgan doğrudan geri dönüş bilgisi alamaz. Ancak veritabanı üzerindeki değişikliklerin etkisini gözlemleyerek sistemin nasıl davranacağını tahmin eder ve bu şekilde bilgi elde eder.
- Birleşim (Union) Saldırıları: Bu yöntemde, saldırgan “UNION” SQL komutunu kullanarak mevcut sorgulara ek veri çeker. Bu sayede veritabanından gizli veya hassas bilgiler elde edebilir.
Saldırı Nasıl Gerçekleşir: SQL enjeksiyonu saldırıları genellikle şu şekilde gerçekleştirilir:
- Girdi Alanlarına Kötü Amaçlı Kod Enjekte Etme: Saldırgan, bir web formundaki giriş alanına SQL komutları yazarak bu komutların veritabanında çalıştırılmasını sağlar. Örneğin, bir giriş formuna
' OR '1'='1' --
gibi bir ifade eklenerek, saldırganın veritabanına yetkisiz erişim sağlaması mümkün olabilir. - Veritabanı Güvenlik Açıklarından Faydalanma: Uygulamada kullanıcı girdileri doğrudan SQL sorgularında kullanılıyorsa ve bu girişler doğrulanmıyorsa, saldırgan bu güvenlik açığını kullanarak veritabanına erişebilir ve bu verileri manipüle edebilir.
- Veri Çekme veya Manipülasyon: Saldırgan, enjeksiyon yoluyla veritabanından hassas bilgiler çekebilir veya veritabanında mevcut verileri değiştirebilir. Örneğin, müşteri bilgilerini çalabilir, ödeme verilerini değiştirebilir veya veri tabanına kötü amaçlı veri ekleyebilir.
Saldırı Nereden Gelir: SQL enjeksiyonu saldırıları, genellikle web uygulamalarındaki zayıf güvenlik yapılandırmalarından ve kullanıcı girişlerinin doğru şekilde doğrulanmamasından kaynaklanır. Bu tür saldırılar, bireysel saldırganlar, organize suç grupları veya devlet destekli tehdit aktörleri tarafından gerçekleştirilebilir. SQL enjeksiyonundan korunmak için, kullanıcı girişlerinin doğru şekilde doğrulanması ve temizlenmesi, hazırlıklı SQL ifadelerinin (prepared statements) kullanılması ve veritabanı erişim haklarının en aza indirgenmesi gibi güvenlik önlemleri alınmalıdır. Ayrıca, güvenlik duvarları ve izleme araçları kullanarak veritabanına yönelik olağandışı aktivitelerin tespit edilmesi de bu tür saldırılara karşı etkili bir savunma sağlar.
Tedarik Zinciri Saldırısı (Supply Chain Attack)
Tedarik zinciri saldırısı, bir saldırganın bir kuruluşun ya da hedefin tedarik zincirinde bulunan bir zayıflığı kullanarak güvenliği ihlal ettiği bir siber saldırı türüdür. Bu tür saldırılar, hedef alınan kuruluşun güvenliğini dolaylı yoldan ihlal etmek için tedarikçiler, hizmet sağlayıcılar veya ortaklar gibi üçüncü tarafları hedef alır. Tedarik zinciri saldırıları, yazılım tedarikçilerine, donanım üreticilerine veya lojistik sağlayıcılara yönelik gerçekleştirilebilir ve genellikle geniş çapta etki yaratır.
Bilmeniz Gerekenler: Tedarik zinciri saldırıları, kuruluşların üçüncü taraflarla olan karmaşık ilişkilerinden kaynaklanan güvenlik zafiyetlerini hedef alır. Saldırganlar, bu zafiyetleri kullanarak, hedef alınan kuruluşun sistemlerine veya verilerine yetkisiz erişim sağlar. Bu saldırılar, özellikle yazılım güncellemeleri veya lojistik zinciri gibi süreçlerde zayıf güvenlik kontrolleri olduğunda gerçekleşir.
Tedarik zinciri saldırılarıyla ilgili başlıca yöntemler şunlardır:
- Yazılım Tedarik Zinciri Saldırıları: Saldırganlar, bir yazılım tedarikçisinin sistemlerine sızarak, yazılım güncellemelerine veya yama paketlerine kötü amaçlı kod ekleyebilirler. Bu güncellemeler kurbanlara ulaştığında, zararlı yazılım sistemlere yüklenir.
- Donanım Tedarik Zinciri Saldırıları: Donanım bileşenlerinin üretimi veya tedariki sırasında yapılan manipülasyonlarla, cihazların içine gizli arka kapılar (backdoor) yerleştirilebilir. Bu arka kapılar, daha sonra saldırganlara cihazlar üzerinde uzaktan kontrol sağlar.
- Üçüncü Taraf Hizmet Sağlayıcılar: Bir kuruluşun güvenlik zincirinde yer alan hizmet sağlayıcılar veya tedarikçiler, genellikle daha zayıf güvenlik önlemlerine sahiptir. Saldırganlar, bu tedarikçileri hedef alarak ana kuruluşa erişim sağlayabilir.
Saldırı Nasıl Gerçekleşir: Tedarik zinciri saldırıları genellikle şu şekilde gerçekleştirilir:
- Tedarikçiyi Hedef Alma: Saldırgan, bir kuruluşun kullandığı yazılım, donanım veya hizmet sağlayıcıyı hedef alarak bu tedarikçinin sistemine sızar. Bu genellikle tedarikçinin güvenlik açıklarını kullanarak veya sosyal mühendislik yöntemleriyle yapılır.
- Kötü Amaçlı Kod Enjekte Etme: Saldırgan, tedarik zincirindeki güvenlik açığını kullanarak tedarikçinin ürünlerine veya hizmetlerine kötü amaçlı kod enjekte eder. Bu zararlı kod, hedeflenen kuruluş tarafından kullanıldığında, saldırganın sistemlere erişim sağlamasına olanak tanır.
- Zararlı Güncellemeler ve Dağıtım: Yazılım tedarik zincirinde, saldırgan, kötü amaçlı bir yazılım güncellemesi oluşturabilir ve bu güncellemeyi geniş bir kullanıcı kitlesine yayar. Bu saldırı, özellikle popüler yazılım paketlerinde ciddi zararlar doğurabilir.
Saldırı Nereden Gelir: Tedarik zinciri saldırıları, genellikle organize siber suç grupları veya devlet destekli tehdit aktörleri tarafından gerçekleştirilir. Bu saldırılar, bir kuruluşun güvenlik önlemlerini dolaylı yoldan aşmayı hedefler ve genellikle büyük ölçekli etkiler yaratır. Tedarik zinciri saldırılarından korunmak için, kuruluşların tedarikçilerinin ve iş ortaklarının güvenlik durumlarını düzenli olarak değerlendirmeleri, tedarik zinciri boyunca şeffaflık sağlamaları ve üçüncü taraf güvenlik denetimlerini artırmaları önemlidir. Ayrıca, tedarikçilerin ve yazılım güncellemelerinin doğrulanması ve güvenlik açısından sıkı kontrollerden geçirilmesi bu tür saldırılara karşı etkili bir savunma sağlar.
Şüpheli Bulut Depolama Aktiviteleri (Suspicious Cloud Storage Activities)
Şüpheli bulut depolama aktiviteleri, bir kullanıcının veya sistemin normal dışı ve potansiyel olarak kötü niyetli bulut depolama davranışlarını ifade eder. Bu tür aktiviteler, bir siber saldırganın bir kuruluşun bulut altyapısına sızarak hassas verileri çalmaya, değiştirmeye veya erişim sağlamaya çalıştığının göstergesi olabilir. Bulut depolama, genellikle esnekliği ve erişim kolaylığı nedeniyle tercih edilse de, yanlış yapılandırılmış güvenlik önlemleri bu ortamları saldırılara karşı savunmasız hale getirebilir.
Bilmeniz Gerekenler: Şüpheli bulut depolama aktiviteleri, genellikle bir saldırganın verileri manipüle etmek, hassas bilgilere erişim sağlamak veya bulut hizmetlerini kötüye kullanmak için gerçekleştirdiği faaliyetleri içerir. Bu aktiviteler, siber güvenlik ekipleri tarafından erken tespit edilip gerekli önlemler alınmadığı takdirde büyük veri ihlallerine ve ciddi maddi kayıplara yol açabilir.
Şüpheli bulut depolama aktivitelerinin başlıca belirtileri şunlardır:
- Beklenmeyen Giriş Denemeleri: Bir hesaba, özellikle farklı coğrafi konumlardan veya alışılmadık saatlerde yapılan çok sayıda başarısız giriş denemesi şüpheli bir aktivite olabilir. Bu durum, saldırganların kaba kuvvet saldırılarıyla hesaba erişim sağlamaya çalıştığını gösterebilir.
- Büyük Miktarda Veri İndirme veya Yükleme: Bulut depolama alanından büyük miktarda veri indirildiğinde veya yüklendiğinde, bu durum şüpheli kabul edilebilir. Özellikle veri akışı olağanın dışındaysa veya kısa bir sürede büyük veri hareketleri gerçekleşiyorsa bu durum, veri hırsızlığı veya veri ihlali girişimi olabilir.
- Yetkisiz Erişim veya İzin Değişiklikleri: Kullanıcı izinlerinde beklenmeyen değişiklikler veya normalde erişimi olmayan bir kullanıcının hassas dosyalara erişim sağlaması, yetkisiz bir girişimin işaretidir. Bu tür yetkisiz değişiklikler, saldırganların sistemde daha fazla yetki elde etme girişiminde olduğunu gösterebilir.
Saldırı Nasıl Gerçekleşir: Şüpheli bulut depolama aktiviteleri genellikle şu şekilde gerçekleşir:
- Kimlik Bilgisi Hırsızlığı: Saldırganlar, kullanıcı kimlik bilgilerini ele geçirerek bulut hesaplarına yetkisiz erişim sağlar. Bu bilgiler genellikle kimlik avı saldırıları veya diğer sosyal mühendislik teknikleriyle elde edilir.
- Yanlış Yapılandırılmış Güvenlik Ayarları: Bulut depolama sistemlerinin yanlış yapılandırılması, saldırganların hassas verilere erişmesini kolaylaştırabilir. Örneğin, herkese açık hale getirilen bir bulut deposu, verilerin kötü niyetli kişiler tarafından ele geçirilmesine olanak tanır.
- Kötü Amaçlı İçerik Yükleme: Saldırganlar, bulut depolama alanına kötü amaçlı yazılım yükleyerek bu zararlı yazılımın yayılmasını sağlayabilir. Bu durum, özellikle paylaşılan depolama alanlarında veya işbirliği amaçlı kullanılan bulut platformlarında büyük risk oluşturur.
Saldırı Nereden Gelir: Şüpheli bulut depolama aktiviteleri, bireysel saldırganlar, organize siber suç grupları veya devlet destekli tehdit aktörleri tarafından gerçekleştirilebilir. Bu saldırılar, genellikle hassas verilerin ele geçirilmesi, değiştirilmesi veya zarar verilmesi amacı taşır. Bulut depolama aktivitelerinin güvenliğini sağlamak için, kullanıcı erişimlerinin düzenli olarak gözden geçirilmesi, çok faktörlü kimlik doğrulama (MFA) kullanılması ve anormal aktiviteleri tespit edebilecek güvenlik araçlarının devreye alınması büyük önem taşır. Ayrıca, veri şifreleme ve düzenli yedekleme gibi önlemlerle bu tür saldırılara karşı ek koruma sağlanabilir.
Tipokapma Saldırısı (Typosquatting)
Tipokapma saldırısı, bir saldırganın popüler bir web sitesinin alan adının yanlış yazılmış versiyonlarını kaydederek bu yanlışlıkları kendi avantajına kullanması üzerine kurulu bir siber saldırı türüdür. Bu tür saldırılar, kullanıcıların küçük yazım hatalarından faydalanarak onları sahte veya kötü amaçlı web sitelerine yönlendirmeyi amaçlar. Bu siteler, genellikle orijinal sitelere çok benzer bir tasarıma sahiptir ve kullanıcıların bilgilerini ele geçirmek veya zararlı yazılım yaymak için kullanılır.
Bilmeniz Gerekenler: Tipokapma saldırıları, genellikle tanınmış markaların, popüler servislerin veya sıkça ziyaret edilen web sitelerinin alan adlarının çok küçük yazım hataları veya varyasyonları kullanılarak gerçekleştirilir. Örneğin, “google.com” yerine “gogle.com” gibi bir alan adı kaydedilerek kullanıcıların dikkatlerini çekmeden bu tür sitelere yönlendirilmesi sağlanabilir. Saldırganlar bu yöntemle kişisel bilgileri ele geçirmeye, zararlı yazılım yüklemeye veya kullanıcılara sahte hizmetler sunarak finansal kazanç sağlamaya çalışabilir.
Tipokapma saldırılarıyla ilgili başlıca yöntemler şunlardır:
- Yanlış Yazılmış Alan Adları: Kullanıcıların sıkça yanlış yazabilecekleri popüler web sitelerinin alan adları kaydedilir. Bu siteler, kullanıcılara orijinal sitelere çok benzer bir arayüz sunarak kimlik bilgilerini girmelerini sağlayabilir.
- Sahte ve Kötü Amaçlı İçerik: Tipokapma yoluyla kullanıcılar, zararlı yazılım indirmeye veya sahte formlar doldurmaya yönlendirilebilir. Bu formlar aracılığıyla saldırganlar, kullanıcıların kişisel bilgilerini veya finansal verilerini ele geçirebilir.
- Reklam Gelirleri Elde Etme: Bazı tipokapma siteleri, kullanıcıları reklamlarla dolu sayfalara yönlendirerek bu yolla gelir elde etmeye çalışır. Kullanıcılar bu sahte sitelere girdiğinde, reklam ağlarından kazanç sağlanır.
Saldırı Nasıl Gerçekleşir: Tipokapma saldırıları genellikle şu şekilde gerçekleştirilir:
- Alan Adı Kaydetme: Saldırgan, popüler bir web sitesinin alan adının farklı yazım versiyonlarını kaydeder. Bu alan adları, kullanıcının yazım hatası yapması durumunda kolaylıkla bu sahte siteye yönlendirilmesini sağlar.
- Sahte Site Oluşturma: Saldırgan, orijinal web sitesine benzer bir sahte site oluşturur. Bu site, kullanıcıların kişisel bilgilerini girmesini sağlayacak şekilde tasarlanır. Bu tür sahte siteler, genellikle orijinal sitenin görünümünü kopyalar ve kullanıcıların şüphelenmeden bilgilerini girmesine neden olur.
- Kötü Amaçlı Faaliyetler: Kullanıcı siteye girdikten sonra, saldırgan bu kullanıcıdan elde ettiği bilgilerle kimlik hırsızlığı yapabilir, zararlı yazılım yükletebilir veya başka kötü amaçlı faaliyetlerde bulunabilir.
Saldırı Nereden Gelir: Tipokapma saldırıları, genellikle bireysel siber suçlular veya organize suç grupları tarafından gerçekleştirilir. Bu saldırılar, kullanıcıların dikkatsizliğinden faydalanarak hassas bilgileri ele geçirmeyi veya kötü amaçlı yazılımları yaymayı amaçlar. Tipokapma saldırılarından korunmak için, kullanıcıların alan adlarını dikkatli bir şekilde kontrol etmeleri, şüpheli bağlantılara tıklamaktan kaçınmaları ve tarayıcılarının güvenlik özelliklerini kullanmaları önemlidir. Ayrıca, tarayıcılar ve işletim sistemleri tarafından sunulan URL doğrulama ve güvenlik önlemlerinin kullanılması bu tür saldırılara karşı ek bir koruma sağlayabilir.
Su Kaynağı Saldırısı (Watering Hole Attack)
Su kaynağı saldırısı, saldırganların belirli bir hedef grubu veya kurumu hedef almak amacıyla bu grubun sıkça ziyaret ettiği web sitelerini veya online kaynakları ele geçirerek bu sitelere kötü amaçlı yazılım yerleştirdiği bir siber saldırı türüdür. Bu tür saldırılar, adını vahşi doğada hayvanların su içmek için sıkça ziyaret ettiği su kaynaklarından alır. Saldırganlar, hedeflerinin alışkanlıklarını analiz eder ve bu alışkanlıklardan yararlanarak onları kendi seçtikleri bir tuzağa çeker.
Bilmeniz Gerekenler: Su kaynağı saldırıları, özellikle belirli bir grup, endüstri veya organizasyonu hedef alan gelişmiş ve odaklanmış saldırılardır. Saldırganlar, hedef grubun sıklıkla ziyaret ettiği web siteleri üzerinde kontrol sağladıktan sonra bu sitelere kötü amaçlı yazılım ekler. Bu kötü amaçlı yazılımlar, siteyi ziyaret eden kullanıcıların cihazlarına otomatik olarak yüklenir ve saldırganlara bu cihazlar üzerinde kontrol sağlama imkanı tanır.
Su kaynağı saldırılarıyla ilgili başlıca yöntemler şunlardır:
- Web Sitesini Ele Geçirme: Saldırgan, hedef grubun sıkça ziyaret ettiği bir web sitesini ele geçirir. Bu site, güvenlik açığı içeren bir yazılım kullanıyorsa veya güncellenmemişse saldırganlar bu açıktan faydalanarak siteyi manipüle edebilir.
- Kötü Amaçlı Yazılım Yerleştirme: Ele geçirilen web sitesine kötü amaçlı yazılım veya zararlı bir komut dosyası eklenir. Bu yazılım, siteyi ziyaret eden kullanıcıların cihazlarına sessizce yüklenir ve cihazın kontrol edilmesini sağlar.
- Hedef Grubu Manipüle Etme: Bu tür saldırılar genellikle belirli bir endüstriyi veya kurumları hedef alır. Örneğin, bir finans kurumunun çalışanları tarafından sıkça ziyaret edilen bir web sitesine kötü amaçlı yazılım eklenerek, bu çalışanların cihazlarına sızılması hedeflenebilir.
Saldırı Nasıl Gerçekleşir: Su kaynağı saldırıları genellikle şu şekilde gerçekleştirilir:
- Hedefin Alışkanlıklarını Belirleme: Saldırgan, hedeflediği grup veya kişilerin hangi web sitelerini sıkça ziyaret ettiğini belirlemek için araştırma yapar. Bu araştırmalar, sosyal medya, iş dünyası haberleri veya diğer açık kaynaklar üzerinden yapılabilir.
- Web Sitesine Sızma ve Kötü Amaçlı Yazılım Yükleme: Saldırgan, hedeflenen web sitesine sızarak bu siteye kötü amaçlı yazılım yükler. Bu yazılım, siteyi ziyaret edenlerin cihazlarına otomatik olarak yüklenerek siber suçlulara veri toplama veya cihazı kontrol etme imkanı sunar.
- Kötü Amaçlı Yazılımın Yayılması: Hedef grubun üyeleri ele geçirilen web sitesini ziyaret ettiğinde, kötü amaçlı yazılım bu kişilerin cihazlarına bulaşır. Bu sayede saldırgan, hedef grubun sistemlerine daha derinlemesine sızabilir veya hassas verileri ele geçirebilir.
Saldırı Nereden Gelir: Su kaynağı saldırıları, genellikle organize siber suç grupları veya devlet destekli tehdit aktörleri tarafından belirli bir grup ya da kurumu hedef almak amacıyla gerçekleştirilir. Bu saldırılar, hedef grubu belirli bir güvenilir kaynağa çekerek bu kaynağı kötü amaçlı hale getirmek üzerine kuruludur. Su kaynağı saldırılarından korunmak için, web sitelerinin düzenli olarak güncellenmesi, güvenlik açıklarının giderilmesi ve kullanıcıların şüpheli bağlantılara karşı dikkatli olması önemlidir. Ayrıca, güvenlik yazılımlarının kullanılması ve ağ trafiğinin izlenmesi, bu tür saldırılara karşı ek bir koruma sağlar.
Web Oturumu Çerezi Hırsızlığı (Web Session Cookie Theft)
Web oturumu çerezi hırsızlığı, bir saldırganın, kullanıcının oturumunu ele geçirmek amacıyla tarayıcıda depolanan oturum çerezlerini çaldığı bir siber saldırı türüdür. Bu saldırı türü, kullanıcının web oturumunu tanımlayan ve doğrulayan çerezlerin kötü niyetli kişiler tarafından ele geçirilmesiyle sonuçlanır. Saldırgan, ele geçirdiği bu çerezleri kullanarak kullanıcının hesabına izinsiz erişebilir ve bu hesap üzerindeki her türlü bilgiyi görebilir, değiştirebilir veya kötü amaçlı faaliyetlerde bulunabilir.
Bilmeniz Gerekenler: Web oturumu çerezi hırsızlığı, kullanıcının tarayıcısında saklanan çerezlerin çeşitli yöntemlerle ele geçirilmesi sonucu gerçekleşir. Çerezler, web sitelerine giriş yapıldığında kullanıcı kimliğini doğrulamak ve oturum süresince kullanıcıyı tanımak amacıyla kullanılır. Eğer bu çerezler saldırganın eline geçerse, saldırgan bu bilgileri kullanarak kullanıcının oturumunu taklit edebilir.
Web oturumu çerezi hırsızlığıyla ilgili başlıca yöntemler şunlardır:
- Çapraz Site Betiği (XSS): XSS saldırıları, saldırganların bir web sitesine zararlı betikler ekleyerek, kullanıcıların tarayıcısında depolanan oturum çerezlerini çalmasını sağlar. Kullanıcı bu zararlı betiği çalıştırdığında, çerezler saldırgana gönderilir ve böylece saldırgan bu oturumu ele geçirebilir.
- Kötü Amaçlı Yazılım Kullanımı: Saldırganlar, kullanıcıların cihazlarına kötü amaçlı yazılım bulaştırarak tarayıcıda depolanan çerezleri çalabilir. Bu yazılımlar genellikle kullanıcının farkında olmadan arka planda çalışır ve çerez verilerini saldırgana iletir.
- Ağ Dinleme (Sniffing): Özellikle güvenli olmayan (şifrelenmemiş) ağlarda, saldırganlar ağ trafiğini izleyerek oturum çerezlerini ele geçirebilir. Örneğin, halka açık bir Wi-Fi ağında veri iletimi şifrelenmemişse, saldırgan bu verileri yakalayarak çerezleri çalabilir.
Saldırı Nasıl Gerçekleşir: Web oturumu çerezi hırsızlığı genellikle şu şekilde gerçekleştirilir:
- Kullanıcının Güvenlik Açıklarından Yararlanma: Saldırgan, kullanıcıların tarayıcılarında saklanan çerezleri hedef alır. Bu çerezler, kullanıcıyı tanımlamak ve oturumunu sürdürmek için kullanılır. Saldırgan, çeşitli yöntemlerle bu çerezlere erişim sağlar ve bunları çalar.
- Oturum Çerezlerini Kullanarak Yetkisiz Erişim: Saldırgan, ele geçirdiği çerezleri kullanarak kullanıcının hesabına izinsiz giriş yapar. Bu sayede, kullanıcının hesap bilgilerine erişebilir, oturumlarını ele geçirebilir ve hassas verilere ulaşabilir.
- Kimlik Hırsızlığı ve Veri İhlali: Saldırgan, ele geçirdiği oturum çerezlerini kullanarak kurbanın hesabı üzerinden kötü amaçlı faaliyetlerde bulunabilir. Bu faaliyetler, kullanıcıya ait hassas bilgilerin çalınması, oturum kapatılmadan hesapta değişiklik yapılması veya kimlik hırsızlığı gerçekleştirilmesi gibi durumları içerebilir.
Saldırı Nereden Gelir: Web oturumu çerezi hırsızlığı saldırıları, genellikle bireysel siber suçlular veya organize siber suç grupları tarafından gerçekleştirilir. Bu saldırılar, kullanıcının web oturumunu hedef alarak hesaplara yetkisiz erişim sağlamak ve hassas bilgileri ele geçirmek amacı taşır. Bu tür saldırılardan korunmak için, kullanıcıların güvenli web siteleri üzerinden bağlantı kurmaları, HTTPS protokolü kullanan siteleri tercih etmeleri, tarayıcı güvenlik ayarlarını güçlendirmeleri ve halka açık ağlarda dikkatli olmaları önemlidir. Ayrıca, çok faktörlü kimlik doğrulama (MFA) kullanmak ve oturum süresince kullanılan çerezlerin korunmasını sağlamak bu tür saldırılara karşı etkili bir savunma sağlar.
Sıfır Gün Açığı Sömürüsü (Zero-Day Exploit)
Sıfır gün açığı sömürüsü, bir yazılım veya sistemde daha önce bilinmeyen ve henüz düzeltilmemiş bir güvenlik açığının keşfedilip kötüye kullanılmasıyla gerçekleştirilen bir siber saldırı türüdür. Bu tür saldırılar, yazılım geliştiricileri ve güvenlik uzmanları bu açığın farkında olmadan ve bu açığı kapatacak bir yama ya da çözüm üretmeden önce meydana geldiği için “sıfır gün” olarak adlandırılır. Saldırganlar, bu güvenlik açığını kullanarak hedef sistem üzerinde kontrol sağlamaya, hassas verilere erişmeye veya zarar vermeye çalışırlar.
Bilmeniz Gerekenler: Sıfır gün açıkları, yazılım veya donanımda bulunan ve henüz keşfedilmemiş güvenlik açıklarıdır. Bu tür açıklar, sistemlerin güvenliğini tehdit eden en tehlikeli zafiyetlerden biridir, çünkü bu açıklar için henüz bir çözüm veya yama bulunmamaktadır. Saldırganlar, bu tür açıklardan yararlanarak sistemlere sızabilir, verileri çalabilir veya zararlı yazılımlar yükleyebilir.
Sıfır gün açığı sömürüsüyle ilgili başlıca yöntemler şunlardır:
- Kötü Amaçlı Yazılım Yayma: Saldırganlar, sıfır gün açığını kullanarak hedef sisteme kötü amaçlı yazılım yükleyebilir. Bu yazılım, sistemi daha fazla kontrol etmek, verileri çalmak veya zararlı eylemler gerçekleştirmek için kullanılır.
- Özelleştirilmiş Saldırılar: Sıfır gün açıkları, genellikle belirli bir hedefe yönelik özelleştirilmiş saldırılarda kullanılır. Örneğin, bir şirketin güvenlik açığını keşfeden saldırganlar, bu açığı kullanarak şirketin sistemlerine sızabilir ve veri ihlali gerçekleştirebilir.
- Zararlı E-posta veya Bağlantılar: Saldırganlar, sıfır gün açığını kullanarak hedef kişilere zararlı e-posta ekleri veya bağlantılar gönderir. Kurban bu bağlantılara tıkladığında veya ekleri açtığında, sıfır gün açığından faydalanılarak cihaza zararlı yazılım yüklenir.
Saldırı Nasıl Gerçekleşir: Sıfır gün açığı sömürüsü genellikle şu şekilde gerçekleştirilir:
- Güvenlik Açığının Keşfedilmesi: Saldırgan, yazılım veya donanımdaki henüz bilinmeyen bir güvenlik açığını keşfeder. Bu açık, genellikle yazılımın hatalı kodlamasından veya yanlış yapılandırılmasından kaynaklanır.
- Açığın Kullanılması: Saldırgan, bu açığı kullanarak hedef sisteme sızar. Bu aşamada, hedef sistemde zararlı yazılım yüklemek, verileri çalmak veya sistem üzerinde tam kontrol sağlamak gibi kötü niyetli eylemler gerçekleştirilir.
- Açığın Gizli Tutulması: Sıfır gün açıkları genellikle uzun süre gizli tutulur ve saldırganlar bu açığı mümkün olduğunca uzun süre kullanmaya çalışır. Bu nedenle, sıfır gün saldırıları genellikle keşfedilmesi ve durdurulması zor olan saldırılardır.
Saldırı Nereden Gelir: Sıfır gün saldırıları, genellikle devlet destekli tehdit aktörleri, organize suç grupları veya yüksek teknik bilgiye sahip bireysel saldırganlar tarafından gerçekleştirilir. Bu tür saldırılar, özellikle büyük şirketler, devlet kurumları ve kritik altyapılar gibi yüksek değerli hedeflere yöneliktir. Sıfır gün saldırılarından korunmak için, sistemlerin düzenli olarak güncellenmesi, güçlü güvenlik yazılımlarının kullanılması ve anormal davranışları tespit edebilecek izleme sistemlerinin devreye alınması önemlidir. Ayrıca, çok faktörlü kimlik doğrulama (MFA) kullanmak ve kullanıcıların güvenlik farkındalığını artırmak da bu tür saldırılara karşı etkili bir savunma sağlar.
Kaynakça:
Siber güvenlik alanında önemli bir güvenlik ürünü olan Splunk firmasının hazırladığı “Top 50 Cybersecurity Threats” konulu e-kitabı kaynak alınmış ve Türkçeleştirilmiştir. İlgili kaynakta sadece 48 tehdit yer aldığı için fazladan 2 tehdidi de ben ekledim.
En Kritik 50 Siber Güvenlik Tehdidi ve Korunma Yöntemleri