google play store etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
google play store etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

05 Ağustos 2021

Siber Güvenlik Bülteni - Haziran/Temmuz 2021

 

Bültenimizin Haziran-Temmuz aylarına ait başlıkları; 
  • Olimpiyatlar, Siber Saldırılar ile Start Aldı!
  • Bu Zararlı Mobil Uygulamalar 6 Milyon Kez İndirilmiş!
  • Volkswagen Müşterileri Veri İhlali
  • Siemens PLC Kod Çalıştırma Zafiyeti
  • Güncellenmemiş Sonicwall'lara Dikkat!
  • Sağlık Sektöründe Hassas Bilgi Krizi
  • 2012'den Süregelen APT Saldırısı
  • Veri Hırsızlığı Büyümeye Devam Ediyor
  • Kuzey Kore, Güney Kore'yi Hedef Aldı

Olimpiyatlar, Siber Saldırılar İle Start Aldı!

Japon araştırmacılar Olimpiyat temalı olan ve Japon kullanıcıları hedefleyen siber saldırıyı tespit etti


Gündemi takip eden, gündem içerikleri ile son kullanıcıları kandırmaya çalışan saldırganların en son örneği 2021 Tokyo Olimpiyatları oldu.

Henüz daha Olimpiyat açılış gösterileri öncesinde tespit edilen zararlı yazılımın, Japon işletim sistemlerini bulmaya yönelik tasarlandığı ve silme becerisi ile oluşturulduğu, Japon güvenlik firması araştırmacıları tarafından tespit edildi.

Araştırma ekibince "Acil ve Önemli" benzeri başlıklar ile kullanıcılara gönderilen bir e-postaya konulan zararlı içerik ile saldırının yapıldığı belirtiliyor.

Zararlı kod barındıran dosyanın Virustotal (zararlı yazılım analiz sitesi) üzerinden kontrol edilmek üzere daha önce de Fransa üzerinden yüklenerek analiz ettirildiği ve kontrol sırasında antivirüs yazılımları tarafından da tespit edildiği belirtildi. Yazılım belirli bir hedefe yönelik ve belirli dosya türleri için geliştirilmiş (DOTM, DOTX, PDF, CSV, XLS, XLSX, XLSM, PPT, PPTX, PPTM, JTDC, JTTC, JTD, JTT, TXT, EXE, LOG) ayrıca kullanıcının Windows kullanıcı klasörüne özgün saldırıda bulunuyor.

Yazılımın kullanıcı dosyalarını silme zararının yanı sıra, erişkin içerikli sitelere de istem dışı erişim sağlayıp içerik indiriyor. Bu durum pek çok kurumsal kullanıcı için büyük problemler de yaratabilir, çünkü yazılım bu işlemleri gerçekleştirdikten sonra kendini de silerek tüm suçu kullanıcıya yüklüyor!
 

Kullanıcı Olarak Ne Yapabiliriz?

Gündem ile ilişkili bu tür saldırılar; bizlerin hem merakını, hem de dikkatsizliğini hedefler. Saldırgan, hedeflediği kitlenin konuya duyarlı olduğunu bilir ve bir ileti beklenilmese dahi konuya ilgi duyulmasını sağlayabilir.

Bu saldırıların bir çoğunu güvenlik sistemleri yakalıyor, "SPAM, ÖNEMSİZ E-POSTA, ŞÜPHELİ İÇERİK" gibi uyarılar ile etiketleniyor. Ancak bazen, özellikle de yeni üretildikleri anlarda, sistemleri başarı ile atlatabiliyorlar.

İlginizi çeken başlık ve konu içerikleri yer alan bir e-posta, içerisinde bir PDF dosyası barındırıyor, sizi bu dosyayı okumaya teşvik eden, merak uyandıran veya baskı uygulayacak sözler ile kandırmaya çalışan saldırgan, bu dosya çalıştırıldığında PC üzerinde arka planda çalışmaya başlıyor, yalnızca sizin değil, sizin bağlı olduğunuz kablolu/kablosuz ağın da içerisindeki tüm sistemlere karşı tehdit oluşturuyor.

E-postalar içerisinde karşılaştığınız, bu tip şüpheli dosya ve/veya bağlantılar (linkler) mutlaka açılmadan önce bilişim uzmanına bilgi verilmeli ve uzmanlar tarafından gözden geçirilmelidir. Nasıl bomba görünümlü şüpheli bir pakete yaklaşmıyor ve açmıyorsak, bu iş için de uzmanlarına bilgi vermeli, kontrollü şekilde incelenmesini sağlamalıyız. Zira zararlı erişim, ilk tıklamadan sonra saniyeler içerisinde otomatik olarak başlıyor ve zararlı yazılımlar çalışırken bir bilgi mesajı da sunmuyor.

Bu Zararlı Mobil Uygulamalar
6 Milyon Kez İndirilmiş!

10 zararlı uygulamanın 9'unun Google Play üzerinden indirildiği tespit edildi


Mobil cihazlarımız için güvenli indirme alanlarını tercih etsek bile saldırganlar çoğu zaman bilgileri çaldıktan sonra açığa çıkıyor.

Bu yazılımlar tamamen normal fonksiyonlarını yerine getirerek çalışmakta, kullanıcı tarafından şüphe duyulmamakta, ancak erişim bilgilerini dışarıya sızdırmakta. Olağan haliyle bir uygulama ve basit bir giriş bilgilerini talep etme durumu gibi görünmesine karşın, bu yazılımların Facebook kullanıcı bilgilerini ve oturum çerezlerini çalarak, bir sunucuya gönderdiği ve siber suçlular ile paylaştığı tespit edildi.

Tespit Edilen Zararlı Yazılımlar

PIP Photo (5,000,000+ yükleme)
Processing Photo (500,000+  yükleme)
Rubbish Cleaner (100,000+  yükleme)
Horoscope Daily (100,000+  yükleme)
Inwell Fitness (100,000+  yükleme)
App Lock Keep (50,000+  yükleme)
Lockit Master (5,000+  yükleme)
Horoscope Pi (1,000+  yükleme)
App Lock Manager (10+  yükleme)

Google Play güvenlik ekibi, bu tip suistimalleri engellemeye karşı yeni politikaları devreye alıyor, genel iyileştirme çalışmaları doğrultusunda 2 basamaklı (2SV) doğrulama kullanımını da devreye almaya başladığı da bilinmekte.

Kullanıcı Olarak Ne Yapabiliriz?

Çözüm çoğu zaman kullanıcının bilinçli yaklaşımında yatıyor. Kullanıcıların app - uygulama yüklemeleri sırasında uygulamaya verdiği izinleri gözden geçirmesi gerekir. Dijital varlıklarımızın güvenliği için gerçekten gerekmeyen programları yüklememeli, fonksiyonu için ihtiyaç duymasa da her izni isteyen programları tercih etmemeliyiz.

Biliyor muydunuz?
Siber güvenlik uzmanları olarak bizler, cihaz güvenliğimizi sürdürmek amacıyla pek çok yazılımı gündelik hayatımızda kullanmıyoruz! Yalnızca gerçekten ihtiyaç duyduğumuz yazılımların, risk doğuran bir erişim izni talep edip etmediğini yükleme sırasında okuyarak gözden geçirip onaylıyoruz. Ne kadar popüler olursa olsun riskli gördüklerimizi telefonlarımıza yüklemiyor ve pek çok keyifli oyundan, renkli programlardan mahrum kalıyoruz :)

Volkswagen Müşterileri Veri İhlali

Volkswagen Amerika, ürünlerinin satış ve kiralamasını gerçekleştiren 3. taraf bir firmadan, müşteri verilerinin açığa çıktığını açıkladı


2014-2019 yıllarında otomobil satın almış 3.3 Milyon müşteri olduğu açıklandı. Sızan veriler ağırlıklı olarak ad, soyad, kişisel veya ticari e-posta, telefon numarası bilgilerinden oluşuyor. 90 Bin müşterinin ise araç tahsis numaraları, satın alınan veya kiralanan araçların renk, yıl, model gibi bilgileri ve ek olarak kredi kartı numarası, ehliyet numarası, sosyal güvenlik numaraları bulunmaktadır.

İlk incelemelere göre veri sızıntısı sebebinin, firmanın verileri güvensiz olarak çevrimiçine taşıması olduğu düşünülüyor.

Açığa çıkan veriler ile ilgili henüz bir ihlal gözlemlenmemiş; fakat, ilerleyen süreçlerde bu bilgiler ile oluşturulacak saldırı senaryolarıyla kurum müşterilerinin oltalama saldırılarına maruz kalacağını öngörmek çok zor değil.

 

Kullanıcı Olarak Ne Yapabiliriz?

Sizden kaynaklı olmayan bu tür veri sızıntılarında, değiştirilmesi mümkün olan bilgileri değiştirmeniz gerekmekte, değiştirilemeyen bilgiler için ise gelebilecek saldırıları öngörüp, veri sızıntısı yaşanan konu ile ilgili gelebilecek yazışma ve taleplere karşı ek dikkat ile yaklaşmak gerekiyor.

Sizi arayan veya e-posta gönderen kişinin hakkınızda bir çok bilgiye sahip olması, sizin bir talebiniz ve beklentiniz olmadığı müddetçe, karşı tarafa olan güveninizi kesinlikle artırmamalı; şüphe ile yaklaşılmalıdır. Maalesef veri sızıntısı sebebiyle, uzunca bir süre gelebilecek oltalama telefonları veya e-postalara karşı şüphe ile yaklaşmak gerekecektir.

Siemens PLC Kod Çalıştırma Zafiyeti

Siemens yakın zaman önce SIMATIC S7-1200 ve S7-1500 PLC ürünlerine yönelik uzaktan kod çalıştırmaya imkan sağlayan zafiyetler için yazılım güncellemesi yayınladı. Söz konusu zafiyet bellek koruma bypass zafiyeti CVE-2020-15782 olarak tanımlanmıştır.

Siemens tarafından yayınlanan raporda TCP 102. portuna erişimi olan kimliği doğrulanmamış bir saldırganın, korumalı bellek alanlarına rastgele veri ve kod yazabileceği veya daha fazla saldırıları artırmak için hassas verileri okuyabileceği belirtildi.

Bahsi geçen bu saldırı metotları ise Siemens PLC'ler için yeni bir zafiyet değil, daha önce de dünyada siber saldırı tarihinde önemli yeri olan Stuxnet, Siemens PLC üzerinde izinsiz kod çalıştırmaya imkan sağlıyordu. Bu zafiyet ile İran Nükleer Santralleri'nde felakete sebebiyet verecek bir saldırı düzenlenmişti, ancak her ne kadar etkili olsa da istenilen sonuca ulaşılamamıştı.

 

Ne Yapılmalı?

Siemens üzerinde yayınlanan güncellemelerin düzenli olarak takip edilmesi, uygulanması ve bu tür sistemlerin bilişim ağında izole edilmiş kontrollü bir şekilde bulunması gerekmektedir. Bu konuda gereken teknik tespitleri, dönemsel sızma testleri ile de gerçekleştirebilirsiniz.

Siemens'in yayınladığı rapora buradan ulaşabilirsiniz.

Güncellenmemiş Sonicwall'lara Dikkat!

Sonicwall ürünlerini hedef alan yeni Ransomware saldırısı


Amerika devlet yetkilileri ülkede etkin şekilde ortaya çıkmasından sonra bazı modellerin "acilen fişlerinin çekilmesine" yönelik uyarıda bulundu(!). Bu elbette bizim tarafımızdan önerilen bir önlem metodu değil, ancak zamanında yenilenmeyen veya sistemlerini destekleyen ek güvenlik önlemi bulunmayan bir çok işletme için böyle acil durumlarda söylenebilecek başka bir uyarı da kalmıyor.

Botlar ve otomasyon yazılımlar kullanarak yapılan saldırılar, eskiye kıyasla oldukça hızlı gelişiyor ve yayılıyor. Bu tip saldırılar maddi kayıplara dönüşüyor ve kayıplar büyüyor, çünkü başarılı olan saldırganın bir noktadan gelir elde etmesi durumunda, daha da fazla saldırı yapmak üzere motive olmasına vesile oluyor.
 

Etkilenen Sistemler


SRA 4600/1600  (2019'da sonlandırıldı)
Önerilen müdahale; devredışı bırakılması. Parolaların yenilenmesi.

SRA 4200/1200  (2016'da sonlandırıldı)
Önerilen müdahale; devredışı bırakılması. Parolaların yenilenmesi.

SSL-VPN 200/2000/400 (2013, 2014'te sonlandırıldı)
Önerilen müdahale; devredışı bırakılması. Parolaların yenilenmesi.

SMA 400/200 (Sınırlı destek devam ediyor) 
Önerilen müdahale; acilen 10.2.0.7-34 veya 9.0.0.10 versiyonuna güncellenmesi. Parolaların yenilenmesi. Multi-factor authentication (çok basamaklı doğrulama) devreye alınması.

Sonicwall'un yayınladığı bildiriye buradan ulaşabilirsiniz.

Sağlık Sektöründe Hassas Bilgi Krizi

Ransomware (Fidye Zararlısı) saldırıları halen bitmedi! Her geçen gün artmaya ve saldırı hedeflerini genişletmeye devam ediyor.


Alıştığımızın dışında son olarak bu saldırılar sağlık sektöründe iki alanı daha hedefledi ve fidye talep etti!

Bunlardan biri doğum kliğini diğeri ise psikiyatri kliğini. Bu kliniklere sızan siber saldırganlar 40.000'den fazla kişinin, doğum süreç bilgilerini, ad, soyad, klinik test sonuçları, psikiyatri servisi süreçleri ve hasta seans notları gibi özel ve hassas verilerini çaldı ve fidye talep etti. Gerekli fidyelerin ödenip, ödenmediği henüz açıklanmadı fakat önceki benzer saldırılarda bu tür verileri ifşa olduğunu unutmamak lazım.

Kişinin en özeli olan, dostlarımızla, ailemizle hatta eşimizle bile paylaşamadığımız veriler, dijital ortamda saldırganlar tarafından erişilebilir hale gelebiliyor. Bu tür saldırılar insanlarda geri dönülemez yıkımlara da sebep olabilir.

Artan dijital dönüşümler dolayısıyla, siber saldırılar karşısında artık kurumların siber güvenlik yatırımlarını da sormamız gerektiği dijital çağa gelmiş bulunuyoruz.

2012'den Süregelen APT Saldırısı

APT Saldırganları 
Suriye e-devlet portalı üzerinden Android trojan dağıttı


APT zararlısı yazılım, 2021 Mayıs ayında Suriye e-devlet portalı görünümü ile web sitesi üzerinden dağıtılarak android uygulaması kullanıcıları hedeflendi.

İlk kez açık olarak web sitesi üzerinden kullanıcılara gerçekleştirildiği gözlemlenen APT saldırısının, farklı metotlar ile aynı amaçlar doğrultusunda 2012'den bu yana sürdürüldüğü ve Suriye'nin yanı sıra Türkiye'yi de odağına alan saldırı amacı taşıdığı da bilinmekte idi.

Bu saldırı ile yüklenmiş olan telefon üzerinde adres rehberi, hücresel ve kablosuz ağ bilgileri, konum bilgisi gibi önemli bilgilerin elde edilmesinin yanı sıra ayrıca çıkarılabilir hafıza alanına da yazma yaptığı görülmekte.

APT zararlısı ile ayrıca mobil cihazın arka planda uzun süreli işlem yapması mümkün olurken, saldırı komuta merkezi (command-and-control server)'ne de şifreli olarak bağlantı kurduğu ve saldırı hareket türünü değiştirebilen ayarlar aldığı tespit edilmiş durumda.

Bu erişimlerinin devamında ise tüm adres rehberi bilgileri, cihazda yer alan Word, Excel, PDF, resim belgeleri, güvenlik anahtarları ve kayıtlı dosyaları komuta merkezine ilettiği görülmekte.

Bazı uzmanların görüşlerine göre, yazılımların web sitesi üzerinden indirilerek dağıtılmasının sağlanması, android store üzerinde yaratılan güvenlik çemberinin kırılmasına yol açmakta ve riski artırmakta. Bu görüşe katılmakla birlikte, güncel örneklerde de görüldüğü gibi gerçek anlamda bir güvenliği sağlamanın ilk şartının kullanıcının verdiği yetkileri gözden geçirmesi, e-devlet uygulaması dahi olsa, yetki aşımına karşı izin vermemesi, gerektiğinde yazılım sahibine geri bildirimde bulunması kesin çözüm olarak görünüyor.

APT problemine yönelik sunduğumuz yerli çözümümüz TINA ve APT tespit hizmetimizi de konusu gelmişken tekrar hatırlatmak isteriz.

Veri Hırsızlığı Büyümeye Devam Ediyor

Hassas veri, kimlik bilgileri ve çerezler dahil toplam 1.2 TB veri elde edildi.


Geçtiğimiz aylarda yeni keşfedilen zararlı yazılım; 2018-2020 tarihleri arasında yaklaşık 2 yıl içerisinde hassas veri, kimlik bilgileri ve çerezlerden oluşan toplam 1.2 TB veri topladı. 3.2 milyon sistemden 6.6 milyon dosya, 26 milyon kimlik bilgisi, 11 milyon tekil e-posta adresi ve 2 milyar web giriş çerezleri topladığı belirlendi.

Habere konu bu tür zararlı yazılımlar en yaygın olarak; kullanılan kaçak - crackli yazılımlar, kaynağı belli olmayan 3. parti uygulamalar ve korsan araçlardan kaynaklı bulaşmaktadır.

Her geçen gün kullanıcı dikkatinin azaldığı dijital dünyada, bu tür verileri toplayan zararlı yazılımlar 100$ gibi çok ucuz fiyatlara satılmaktadır. Çalınan dosyaların içerisinde %70'i metinlerden (parola, log, kişisel notlar, word, pdf) oluşurken geri kalan %30'u ise png ve jpeg gibi resim formatlarından oluşmaktadır.
 
 Hedeflenen Top 10 Uygulamalar

  • Google Chrome
  • Mozilla FireFox 
  • Opera
  • Internet Explorer/Microsoft Edge
  • Chromium
  • CocCoc 
  • Outlook
  • Yandex Browser 
  • Torch 
  • Thunderbird

Saldırganların hata yaparak kendi çevrimiçi alanlarını ifşa etmesiyle bu veriler keşfedildi, ne mutlu ki saldırganlar da son kullanıcılar gibi hata yapabiliyor.

Kuzey Kore, Güney Kore'yi Hedef Aldı

Güney Kore devleti tarafından işletilen Korea Atomic Energy Research Institute (KAERI) 'e geçtiğimiz hafta sızıldığı açıklandı.


Henüz olumsuz bir sonuç tespit edilememiş durumda, fakat yapılan incelemelerde VPN üzerinden içeriye erişim olduğu düşünülüyor.

Bilindiği üzere pandemiyle beraber birçok kurum uzaktan çalışmaya geçti ve bununla birlikte VPN kullanımı ciddi oranda arttı. Bu yüzden saldırganların VPN sistemlerini yoğun olarak hedefledikleri ve başarılı oldukları görülüyor.

Saldırı, Kimsuky adlı siber saldırı grubu (Kuzey Kore destekli) tarafından gerçekleştirilmiş; bahsi geçen bu grup 2012 yılından beri aktif olarak Güney Kore'deki sosyal toplum kuruluşlarını ve nükleer güç operatörlerini hedef almaktadır.

Grubun henüz hangi VPN sistemi üzerinden içeriye eriştiği tespit edilememiş, fakat geçtiğimiz bültenlerde de belirttiğimiz bir çok üretici, son aylarda da aktif olarak Pulse Secure, Sonicwall, Fortinet FortiOS ve Citrix ürünleri tarafında ciddi zafiyetler bulunmuş ve yama yapmayan bir çok kullanıcı kuruluş ise hedef olmuş ve halen de aktif olarak hedef olmaya devam etmektedir.

Kurumsal işletmelerin dijital kaynaklarını ve bilgilerini korumaları, risklerini azaltmaları için önerimiz; periyodik olarak hem iç kontroller gerçekleştirmeleri, hem de siber güvenlik uzmanlarının gerçekleştireceği sızma testleri ile risklerini ve çözümlerini tespit ettirmeleridir.

07 Aralık 2018

Siber Güvenlik Bülteni - Kasım 2018

İstanbul Emniyeti İş Başında

İstanbul Siber Suçlarla Mücadele Şube Müdürlüğü, vatandaşların kripto para borsasındaki hesap bilgilerini ele geçirerek 437 bin lira vurgun yapan 11 kişilik çeteyi yakaladı.
Yapılan açıklamada kurbanların oltalama saldırısı ile hesap bilgilerini çaldırdığı ifade edildi. 
14 kişinin bilgisini ele geçiren çetenin evinde 18 cep telefonu ve sim kart, 22 flash bellek, 6 diz üstü bilgisayar, sahte sürücü belgesi ve sahte İETT indirimli taşıma kartı ele geçirildi.


VirtualBox’ta Zero-Day Açığı! 


Rus güvenlik araştırmacısı Sergey Zelenyuk, Oracle’ın sanal makineleri çalıştırmak için kullanılan Sanallaştırma platformu VirtualBox’ta zero-day (sıfırıncı gün) açığı keşfetti ve VirtualBox’a haber vermeden tüm ayrıtıları ile Github üzerinden yayınladı. Açık sayesinde sanal sistemden ana sisteme sızılabiliyor.
Keşfedilen açık, saldırganın ya da kötü amaçlı yazılımın Ring 3 uygulama katmanına doğrudan ve kolayca erişmesine izin veriyor.  Sergey Zelenyuk, saldırganın diğer güvenlik açıklarını kullanarak kernel seviyesi (Ring 0) erişimine geçilebileceğini vurguladı.
Zelenyuk, 2017 yılında VirtualBox’ı atlatma ile ilgili bulduğu bir Zero Day açığını bildirmiş ancak açığın 15 ay gibi uzun bir sürede düzeltilmesine tepki olarak bu sefer raporlamak yerine detaylarını internetten paylaşmayı tercih ettiğini belirtti.

Siber Saldırganlar Nükleer Santral ve Hapishane Planlarını Ele Geçirdi

Fransız firması Ingerop’a sızan siber saldırganlar yaklaşık 65 GB büyüklüğünde, 11.000 dosyayı ele geçirdi.

Almanya’da korunaksız bir sunucuda saklanan verilerin içinde Fransa’nın en eski Nükleer Santrali olan ve 2022’de kapatılması planan Fessenheim Nükleer Santrali ile ilgili gizli bilgiler, Fransa’da bulunan yüksek güvenlikli bir hapishanedeki güvenlik kameralarının yerleri, Tramvay altyapıları ve Fransa’da yapılması planlanan nükleer atık döküm alanı tesisi ile ilgili ayrıntılı bilgiler yer alıyor.

Saldırganların 1000’den fazla Ingerop çalışanın da kişisel verilerini çaldığı tespit edildi.

Kripto Madencilik Zararlısı Linux Kullanıcılarını Hedefliyor

Yeni keşfedilen Linux.BtcMine.174 isimli Monero madenciliği yazılımı, bulaştığı Linux makinalarda madencilik dışında çalışan hizmetleri kapatmak, dosyaları gizlemek ve parolaları çalmak gibi eylemleri de gerçekleştiriyor.
1000 satırdan fazla koda sahip olan zararlı yazılım, sistemde çalıştıktan sonra diğer modüllerini de indirerek bir yandan madencilik yaparken diğer tarafta Linux tabanlı antivirüs çözümlerini tarayarak kapatıyor. Daha sonra bulaştığı makinanın SSH üzerinden bağlı olduğu uzak makinaları da tarayarak bu makinalara da atlamaya başlıyor.
Linux.BtcMine.174 ayrıca, bilinen bir DDoS kötü amaçlı yazılım türü olan Bill.Gates zararlısını da modüllerler beraber indirerek sisteme yüklüyor ve çalıştırıyor.

HSBC Siber Saldırıya Uğradı

Londra merkezli HSBC, Ekim ayında siber saldırıya uğradıklarını ve ABD’deki bir kısım müşterilerinin hesap numaraları ve işlem geçmişi de dahil olmak üzere bir kısım verinin sızdırıldığını açıkladı.
Saldırganların erişebileceği belirtilen diğer ayrıntılar ise, müşterilerin tam adları, hesap bakiyeleri, ikamet ve e-posta adresi, telefon numaraları olarak belirtildi. 
Geçtiğimiz aylarda Tesco Bank, gerekli güvenlik görevlerini almadığından dolayı İngiltere Finansal İdare Kurulu tarafından 16.4 milyon Sterlin para cezasına çarptırıldı.


Hava Yolarından Sonra Sıra Demir Yollarında

Geçtiğimiz aylarda British Airways ve Air Canada hava yollarının siber saldırıya uğramasının ardından bu sefer de Londra merkezli Eurostar demir yolu şirketi siber saldırganların hedefi oldu.
9.1 milyon kişisel verinin sızmasına sebep olan saldırıda, şirket tüm kullanıcılara e-posta göndererek şifrelerini yenilemelerini istedi. 
Sızdırılan veriler arasında kredi kartı bilgileri bulunmuyor.

Marriott Hotel Zincirlerinde Çatlak

Dünyanın en büyük otel zincirlerinden olan Marriott Hotel, bünyesinde bulundurduğu Starwood otellerine siber saldırıda bulunulduğunu ve 500 milyon müşteri bilgisinin çalındığını açıkladı.
Yapılan açıklamada 10 Eylül 2018 tarihine kadar Starwood otellerinde konaklayan müşterilerin, isim, adres doğum tarihi, pasaport numarası, otel giriş çıkış tarihleri, telefon numarası gibi bilgilerin ele geçirildiği belirtildi.
Veritabanında kredi kartı bilgilerinin AES- 129 şifreleme ile tutulduğu ancak saldırganların şifreleme anahtarlarına erişip erişemediğinin belli olmadığı aktarıldı.
Marriott Grubu’nun Türkiye’de yaklaşık 30 oteli bulunmakta.

Hacker'lar Lüks Telefon Avında!

Japonya’da gerçekleştirilen Pwn2Own Tokyo etkinliğinde, iPhone X, Samsung Galaxy S9 ve Xiaomi Mi 6 hacklendi. 
Etkinlikte ilk ödül kazanan Fluoroacetate takımı, Touch-to-connect ve NFC bağlantısı ile Xiaomi Mi 6’yı hackleyerek 30 bin Dolar, farklı bir yolla Galaxy S9’u hackleyerek 50 bin Dolar ödül kazandı.
Aynı ekip İOS 12.1 sürümüne sahip iPhone X cihazına Wi-Fi ile bağlanıp silinmiş verileri tekrar oluşturarak cihaza geri yükledi.
2017’de düzenlenen etkinlikte Samsung Galaxy S8, iPhone 7, Huawei Mate 9 Pro hacklenerek komut dışı işlemler yapmak zorunda kalmıştı.

Satılık Facebook Hesabı, Tanesi 10 Cent

2018 yılı sosyal medya devi Facebook için kabusa dönmüş durumda. Geçtiğimiz aylar içinde defalarca data sızıntısı haberi ile çalkalanan Facebook, siber saldırganların hedefi haline geldi.
Geçtiğimiz haftalarda bir grup saldırgan, ellerinde 120 milyon kişiye ait hesap bilgilerinin olduğunu açıkladı ve 81.000 adet hesabın görüntüleri ve mesajlaşma bilgilerini yayınlayarak tanesini 10 Cent’ten satışa çıkardı. Siyasi içerikli mesajlara sahip hesapların fiyatları katlanarak artıyor. 
Hesapların yayınlandığı internet sitesinin Ip adresi St. Petersburg olarak gözüküyor. Aynı adres daha önce de kullanıcıların şifrelerini çalmayı hedefleyen LokiBot trojanı nedeniyle işaretlenmişti. 
Saldırıdan etkilenen kişilerin büyük oranla Rusya, Ukrayna ve Kuzey Amerika bölgesinden olduğu açıklandı.
Kasım ayında Spotify müşterilerinin hesaplarını ele geçirmek için çok fazla oltalama saldırısı geldiği tespit edildi.

Hong Kong merkezli Cathay Pacific havayolları hacklenerek 9.4 milyon kişinin verileri sızdırıldı. Sızdırılanlar arasında kişisel verilerin yanında Pasaport bilgileri de var.

Verileri donanımsal olarak şifreleyerek tutan bazı Samsung ve Crucial marka SSD’lerde güvenlik açığı keşfedildi. Donanım tabanlı şifreleme özelliği, şifre olmadan aşılabiliyor.

Google Play Store'da bulunan 29 burç uygulaması, mobil bankacılık bilgilerine ulaşmaya çalışan zararlı kod içermesi sebebiyle kaldırıldı. Uygulamalar 30 binden fazla kişi tarafından indirilmişti.

Yapılan bir araştırmaya göre 2018 yılında, kaybolan ya da çalınan bir verinin şirkete olan maliyeti 141 Dolar'dan 148 Dolar'a yükseldi. 

B İ Z D E N   H A B E R L E R 

MENA SATIŞA HAZIR

Şu ana dek ISR Bilgi Güvenliği tarafından geliştirilen ürünler ailesinde tamamen farklı bir konsept ile yer alan MENA, başta Türkiye olmak üzere Ortadoğu bölgesinde Küçük ve Orta Boy işletmelerin güvenlik ihtiyacını karşılayacak. Güvenli Kablosuz Router olarak geliştirilen ve güçlü merkezi servislerden beslenen MENA hakkında bilgi almak isterseniz web sitesini ziyaret edebilirsiniz.
 
www.mena.istanbul

21 Kasım 2017

BankBot Yeniden Canlandı

İlk kez 2017 yılının başlarında görülen zararlı yazılım, anlaşılır anlaşılmaz Google Play Store’dan tamamen arındırılmıştı. Ancak yapılan araştırmalarda, BankBot zararlı yazılımının yeni versiyonunun, Google’ın otomatik algoritmasının tespit edemeyeceği şekilde tasarlandığını ve Tornado FlashLight, Lamp for Darkness, Sea Flashlight, Klasik Solitaire ve Örümcek Solitaire gibi uygulamaların içine sızdırılarak binlerce kişiyi yeniden mağdur etti.

El feneri ve Solitaire uygulamalarından yayılan BankBot isimli zararlı yazılımın, Google Play Store’da yapılan bir araştırma sonucunda yeniden canlandığı ve Türkiye dahil bir çok ülkede kullanıcıları mağdur ettiği ortaya çıktı.



BankBot ismi verilen zararlı yazılım, Wells Fargo, Chase, Citibank, Credit Agricole, Santander ve Commerzbank gibi ünlü bankaların da yer aldığı 160 mobil banka uygulamasından 132’si üzerinde etkili olduğu görüldü. 132 uygulamanın içinde Türk bankalarına ait 16 adet mobil banka uygulaması da bulunuyor.

Zararlı yazılım ayrıca, iki faktörlü kimlik doğrulama sistemlerini engelleyebilecek şekilde kısa mesajlar da atabiliyor.

Nasıl Çalışıyor?

BankBot, önceki versiyonlarında telefon üzerinden film izlemek isteyenleri sahte bir flash uygulamasına yönlendirerek zararlı yazılım yükletiyordu. Yeni versiyonunda ise, ayarlanmış gecikme ile tetiklenerek içine sızdığı uygulama veya oyun indirilip açıldıktan 20 dakika sonra devreye giriyor.

Zararlı yazılımdan etkilenen cihaz, oyundan bağımsız olarak Google Hizmeti isimli öğenin etkinleştirilmesini talep ediyor.

Sahte Google Hizmeti onaylandıktan sonra zararlı yazılım devreye girerek birkaç işlem gerçekleştiriyor

  • BankBot’u yükleyip başlatıyor.
  • BankBot için cihaz yöneticisini etkinleştiriyor.
  • BankBot, varsayılan SMS uygulaması olarak ayarlanıyor.
  • Diğer uygulamaları iptal etme izni alıyor.

BankNot ismi verilen zararlı yazılım, mobil cihazınıza yüklendikten sonra ilk iş olarak sahip olduğunuz mobil banka uygulamalarını kontrol ediyor.

Uygulamayı açtıktan sonra bankaların uygulamalarına entegre olarak karşınıza sahte bir banka ara yüzü çıkıyor.

BankBot, kendisini varsayılan SMS uygulaması olarak ayarladığı için cihazdan geçen tüm SMS akışına erişebiliyor ve böylece 2 faktörlü kimlik doğrulamasını atlatabiliyor.

Nasıl Korunurum?

  • Bilinmeyen kaynaklar tarafından kötü amaçlı bir uygulama yüklenmesine kesinlikle izin vermeyin
  • Mobil cihazlarınızı korumak için mobil antivirüs kullanmayı ihmal etmeyin
  • Bilinmeyen uygulamalara asla tıklamayın
  • Uygulamalara yönetici izni vermeyin
  • Mobil yedeklemelerinizi sık sık yapın
  • Daima doğrulanmış uygulamaları indirin


Popüler Yayınlar