Siber Güvenlik Bülteni - Kasım 2025

 

Bültenimizin Kasım Ayı konu başlıkları;  Yeni Nesil Oltalama Tehlikesi: Sneaky 2FA BitB Saldırısı Hacktivistler İnternete Açık Endüstriyel Sistemleri Hedef Alıyor  FortiWeb Güvenlik Zafiyeti SonicWall SSLVPN Zafiyeti Cl0p, Sıfırıncı Gün Açığıyla Saldırılarını Artırıyor

Yeni Nesil Oltalama Tehlikesi: Sneaky 2FA BitB Saldırısı

Siber saldırganlar, Sneaky 2FA olarak bilinen bir Phishing-as-a-Service (PhaaS) kitinin içine Browser-in-the-Browser (BitB) özelliği ekledi. Bu durum, bu tür hizmetlerin gelişmeye devam ettiğini gösteriyor ve daha az yetenekli tehdit aktörlerinin geniş çapta saldırılar düzenlemesini daha da kolaylaştırıyor. Uzmanlar bu tekniğin, kurbanların Microsoft hesap kimlik bilgilerini çalmak için tasarlanmış kimlik avı saldırılarında kullanıldığını gözlemlediğini söyledi. BitB tekniği ilk olarak Mart 2022’de güvenlik araştırmacısı mr.d0x tarafından belgelenmişti. Bu teknik, HTML ve CSS kombinasyonlarının kullanılarak, meşru servislerin giriş sayfalarını taklit eden sahte tarayıcı pencereleri oluşturabileceğini ve böylece kimlik bilgisi hırsızlığını kolaylaştırabileceğini ortaya koyuyordu. BitB temel olarak, şüpheli kimlik avı URL’lerini pop-up giriş pencerelerini taklit ederek gizlemek için tasarlanmıştır. BitB tabanlı kimlik avı sayfaları, sahte bir pop-up pencere görünümü oluşturup içine kötü amaçlı bir sunucuya yönlenen bir iframe yerleştirerek gerçeğe çok benzeyen bir login penceresi taklit eder. Aldatmaca tamamlandığında, pop-up tarayıcı penceresi meşru bir Microsoft giriş URL’si gösterir. Bu da kurbana bilgilerini gerçek bir sayfaya girdiği izlenimini verir; oysa sayfa aslında bir kimlik avı sitesidir. Gözlemlenen saldırı zincirlerinden birinde, şüpheli bir URL’ye (“previewdoc[.]us”) giren kullanıcıya bir Cloudflare doğrulama kontrolü sunuluyor. Kullanıcı bot koruma kontrolünden geçtikten sonra saldırı bir sonraki aşamaya ilerliyor ve PDF görüntülemek için “Microsoft ile giriş yap” butonu içeren bir sayfa gösteriliyor. Butona tıklandığında, BitB tekniğiyle gömülü bir tarayıcı içinde Microsoft giriş formuna benzeyen bir kimlik avı sayfası yükleniyor. Son aşamada girilen bilgiler ve oturum ayrıntıları saldırgana aktarılıyor; saldırgan bunları kullanarak kurbanın hesabını ele geçirebiliyor. Saldırganlar, CAPTCHA ve Cloudflare Turnstile gibi bot koruma teknolojilerini kullanmanın yanı sıra, koşullu yükleme teknikleriyle yalnızca hedeflenen kişilerin sayfaları görmesini sağlıyor. Diğer kullanıcılar filtreleniyor veya zararsız sitelere yönlendiriliyor. Sneaky 2FA, analize karşı dayanmak için çeşitli yöntemler kullanmasıyla biliniyor. Bunlar arasında kodun gizlenmesi, geliştirici araçlarının devre dışı bırakılması ve kimlik avı alan adlarının hızla döndürülmesi de bulunuyor. Saldırganlar, kimlik avı ekosistemi profesyonelleştikçe tekniklerini sürekli geliştiriyor ve kimlik tabanlı saldırılar arttıkça altyapılarını da güçlendirmeye yöneliyor. Saldırganlar taktiklerini geliştirmeye devam ederken, kullanıcıların şüpheli mesajları açmadan veya tarayıcıya uzantı yüklemeden önce dikkatli olması kritik önem taşıyor. Kuruluşlar da belirli kriterleri karşılamayan girişleri kısıtlayarak hesap ele geçirme saldırılarını engellemek için koşullu erişim politikaları kullanabilir.

Hacktivistler İnternete Açık Endüstriyel Sistemleri Hedef Alıyor

Kanada Siber Güvenlik Merkezi, CISO’ları ve diğer karar vericileri, hacktivistlerin internet üzerinden erişilebilen endüstriyel kontrol sistemlerini (ICS) giderek daha fazla hedef aldığı konusunda uyardı. Devletin siber güvenlik kurumu, yetkililere bildirilen son saldırılardan birkaç örnek paylaştı. Bir vakada, saldırganlar bir su tesisini hedef aldı ve su basıncı vanalarıyla oynadı; bu durum tesisin hizmet verdiği toplulukta hizmet kalitesinin düşmesine neden oldu. Başka bir vakada, saldırganlar bir petrol ve gaz şirketinde otomatik tank göstergesi (ATG) ile oynayarak sahte alarmlar tetikledi. ATG’ler uzun süredir ciddi güvenlik açıklarıyla biliniyor ve en az on yıldır saldırganlar tarafından hedeflenmektedir. Merkezin paylaştığı üçüncü örnek ise bir çiftliğe yapılan saldırıyı anlatıyor; saldırganlar tahıl kurutma silosundaki sıcaklık ve nem değerlerini manipüle etti. Kurum, saldırı zamanında tespit edilmeseydi tehlikeli koşulların oluşabileceğini belirtti.. Kurum, hacktivistlerin medya ilgisi çekmek, kurumları itibarsızlaştırmak ve “Kanada’nın itibarını zedelemek” amacıyla zayıf güvenlikli ICS cihazlarını hedef aldığını belirtiyor. Bu gruplar genellikle belirli bir kuruluşu hedeflemek yerine fırsatçı saldırılar gerçekleştiriyor. Dünya genelinde en az 100.000 internetten erişilebilen ICS cihazı bulunuyor ve çoğu kolayca hacklenebilir durumda olması riskin ne kadar büyük olduğunu gösteriyor. Uyarıdaki aktörler hacktivistler olarak tanımlansa da, devlet destekli grupların zaman zaman kendilerini hacktivist gibi göstererek saldırılar yapmasının çok yaygın bir yöntem olduğu belirtiliyor. Kurum, saldırganların hedef aldığı ICS bileşenleri arasında güvenlik sistemleri, bina yönetim sistemleri, endüstriyel IoT cihazları, PLC’ler, HMI’lar, RTU’lar ve SCADA sistemlerinin bulunduğunu bildiriyor. ICS ortamlarının internetten erişilebilir olması, hacktivistler ve hatta devlet destekli gruplar için bulunmaz bir fırsata dönüşmüş durumda. Özellikle fiziksel etkisi olan sistemlerde (su, enerji, altyapı otomasyon) küçük bir değişiklik bile toplumu etkileyen sonuçlar doğurabilir. Kurumların acilen ağ segmentasyonu yapması, ICS cihazlarını internete kapatması, güçlü kimlik doğrulama uygulaması ve anomali tespit sistemleri kurması kritik hale geldi. Şirketler, ICS’yi klasik BT varlıklarından ayrı ele alması gerektiğini bir kez daha net olarak görüyoruz.

FortiWeb Güvenlik Zafiyeti

Fortinet, FortiWeb’de tespit edilen ve siber ortamda istismar edildiğini söylediği yeni bir güvenlik açığı konusunda uyarıda bulundu. Orta seviyeli bu güvenlik açığı, CVE-2025-58034 olarak takip ediliyor ve maksimum 10 üzerinden 6.7 CVSS puanına sahip. Başarılı saldırılar için bir saldırganın önce başka bir yöntemle kimlik doğrulaması yapması ve ardından CVE-2025-58034 açığını zincirleyerek keyfi işletim sistemi komutları çalıştırması gerekiyor. Açık aşağıdaki sürümlerde düzeltilmiş durumda: FortiWeb 8.0.0 – 8.0.1 (8.0.2 veya üstüne yükseltin) FortiWeb 7.6.0 – 7.6.5 (7.6.6 veya üstüne yükseltin) FortiWeb 7.4.0 – 7.4.10 (7.4.11 veya üstüne yükseltin) FortiWeb 7.2.0 – 7.2.11 (7.2.12 veya üstüne yükseltin) FortiWeb 7.0.0 – 7.0.11 (7.0.12 veya üstüne yükseltin) Dikkat çekici olan ise gelişmenin, Fortinet’in birkaç gün önce başka bir kritik FortiWeb açığını (CVE-2025-64446, CVSS 9.1) sessizce 8.0.2 sürümünde yamaladığını doğrulamasının hemen ardından gelmiş olması. Şirket iki açığın sömürü faaliyetlerinin bağlantılı olup olmadığını netleştirmese de, Uzmanlar, CVE-2025-58034’ün CVE-2025-64446 ile zincirlendiği çeşitli istismar kampanyaları gözlemlediğini söyledi. Bu zincir, kimlik doğrulama atlatma ve komut enjeksiyonu sağlıyor. Rapid7, “Her iki güvenlik açığının açıklanma zaman çizelgesi sadece birkaç gün arayla. Her iki açık da satıcı tarafından önceden yayımlanan ürün güncellemeleriyle yamalandı ancak o sırada duyurulmadı,” dedi. “Kimlik doğrulama atlatma ile kimliği doğrulanmış komut enjeksiyonunu zincirlemenin bariz bir faydası var. Bu koşullarda, bu iki açığın savunmasız FortiWeb cihazlarına karşı kimlik doğrulaması gerektirmeyen uzaktan kod yürütme için bir istismar zinciri oluşturduğunu söylemek oldukça olası görünüyor.” Fortinet’in neden yamaları yayımlayıp bir danışma metni yayınlamadığı henüz net değil. Ancak bu durum, savunmacıları dezavantajlı bıraktı ve yeterli karşı önlemi almalarını zorlaştırdı. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi ve Federal kurumlara 25 Kasım 2025 tarihine kadar yamalamaları çağrısında bulundu.

SonicWall SSLVPN Zafiyeti

SonicWall, SonicOS SSLVPN hizmetinde kritik bir stack tabanlı arabellek taşması güvenlik zafiyeti açıkladı. Bu zafiyet, uzaktaki kimliği doğrulanmamış saldırganların hizmet reddi (DoS) saldırılarıyla firewall’ları devredışı bırakmasına olanak tanıyor. Bu güvenlik zafiyeti, SonicWall’ın güvenlik ekibi tarafından dahili olarak keşfedilip raporlandı. CVE-2025-40601 olarak izlenen bu hata 7.5 CVSS puanına sahip ve SonicWall’ın birçok firewall ürün ailesini etkiliyor. Zafiyet, SonicOS’un SSLVPN hizmeti bileşeninde bulunuyor ve stack tabanlı bir arabellek taşması zafiyetinden (CWE-121) kaynaklanıyor. İstismar edildiğinde saldırgan, kimlik doğrulaması olmadan savunmasız SSLVPN arayüzüne özel hazırlanmış istekler göndererek firewall’un çökmesine ve hizmetlerin kesilmesine neden olabiliyor. SonicWall, bu güvenlik zafiyetinin yalnızca firewall üzerinde SSLVPN arayüzü veya hizmeti etkin ise cihazları etkilediğini belirtiyor. Bu özelliği kullanmayan kuruluşlar etkilenmiyor. Bu zafiyet hem Gen7 hem de Gen8 SonicWall firewall’larını donanım ve sanal platformlar dahil etkiliyor. Gen7 cihazlarda 7.3.0-7012 ve önceki sürümler, Gen8 cihazlarda ise 8.0.2-8011 ve daha eski sürümler savunmasız durumda. SonicWall Gen6 firewall’lar ve SMA 1000/100 serisi SSL VPN ürünleri bu zafiyetten etkilenmiyor. SonicWall, kuruluşları acilen yamalı firmware sürümlerine güncelleme yapmaya çağırıyor. Yama uygulanana kadar yöneticilerin, SSLVPN erişimini yalnızca güvenilir IP’lerle sınırlandırması veya erişim kurallarını düzenleyerek, hizmeti güvenilmeyen internet kaynakları için tamamen kapatması öneriliyor.

Cl0p, Sıfırıncı Gün Açığıyla Saldırılarını Artırıyor

Cl0p, 2019 başından beri faaliyet gösteren önde gelen bir fidye yazılımı grubu olup siber güvenlik alanındaki en tehlikeli tehditlerden biri hâline gelmiştir. 1.025’ten fazla doğrulanmış kurban ve 500 milyon doların üzerinde gasp edilen para ile Rusya bağlantılı olduğu iddaa edilen bu grup, CIS ülkelerinden stratejik olarak kaçınırken dünya çapında kurumsal ve özel ağları sürekli olarak hedef almıştır. Grup adını, şifreleme sonrası eklediği “.cl0p” dosya uzantısından almaktadır; ancak terim Rusçada “tahta kurusu” anlamına da gelmektedir ve bu da grubun sistemleri istila etme konusundaki ısrarcı doğasını yansıtmaktadır. Fidye yazılımı grubunun son kampanyası, özellikle Oracle E-Business Suite’te keşfedilen kritik bir zafiyet olan CVE-2025-61882’nin sömürülmesine odaklanan sofistike bir sıfır-gün istismarı yaklaşımı sergilemektedir. Küresel çapta sipariş yönetimi, tedarik ve lojistik fonksiyonları için yaygın şekilde kullanılan bu ERP uygulaması, tehdit aktörlerinin hızlı ağ ihlali ve veri sızıntısı gerçekleştirmek için çekici bir hedef sunmaktadır. Zafiyet ilk olarak Haziran 2025’te gözlemlenmiş, ancak son aylarda giderek daha aktif hâle gelmiştir. Clop aktif kullandığı zafiyetler Oracle tarafından Ekim 2025’te paylaşılan ilk ihlal göstergeleri araştırıldığında, araştırmacılar aktif saldırılarla doğrudan ilişkili iki çıkış IP adresi keşfetti. Shodan ve FOFA gibi araçlarla yapılan ayrıntılı analizler ve taramalar sonucunda, analistler ilk saldırı altyapısı ile aynı SSL sertifika parmak izini paylaşan 96 farklı IP adresi ortaya çıkardı. Bu kümeleme, grubun operasyonel modellerini ve farklı coğrafi bölgelerdeki ağ tercihlerini ortaya koydu. Araştırmacılar, mevcut Oracle EBS istismarında kullanılan 41 alt ağ IP’sinin, 2023’teki MOVEit zafiyeti saldırılarında (CVE-2023-34362) da kullanıldığını tespit etti. Bu örüntü, grubun kalıcı barındırma ilişkilerini sürdürdüğünü ve kampanyalar arasında tamamen yeni altyapılar kurmak yerine altyapıyı stratejik olarak döndürdüğünü göstermektedir. Tespit edilen 96 IP’nin analizi, coğrafi dağılımda Almanya’nın 16 adres ile başı çektiğini, onu Brezilya (13) ve Panama’nın (12) takip ettiğini göstermektedir. Bununla birlikte, altındaki ASN altyapısı, coğrafi çeşitlendirme çabalarına rağmen Rusya merkezli sağlayıcıların yoğun biçimde kullanıldığını ortaya koymaktadır. Amaç, geleneksel IP tabanlı engelleme stratejilerinden kaçmaktır. Sıfır-gün istismar yeteneği, kalıcı altyapı yeniden kullanım alışkanlığı ve coğrafi esneklik, Cl0p’u mevcut tehdit ortamındaki en etkili fidye yazılımı operasyonlarından biri haline getirmeye devam etmektedir.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Mayıs 2022

 

Bültenimizin Mayıs ayına ait başlıkları;  Hatırlatma! Siber Güç Türkiye'de Buluşalım Follina, Microsoft Zeroday Zafiyeti Türkiye Havayolu Şirketi Verileri Açığa Çıktı Mobil Uygulamalarla Savaş Devam Ediyor Öğrenci Verileri İfşa Oldu Sosyal Mühendislik Saldırıları Hız Artırıyor

Siber Güç Türkiye'de Buluşalım

“Siber Güç Türkiye” Yatırımcı / Girişimci Buluşmaları ve İş Geliştirme Etkinliği TÜBİTAK Marmara Teknokent'te 8 Haziran 2022 Çarşamba günü saat 08:00 – 16:00 saatleri aralığında bizlerin de katılımıyla “Siber Güç Türkiye” Yatırımcı / Girişimci Buluşmaları ve İş Geliştirme etkinliği gerçekleştirilecektir.   Etkinlikte bizler de ISR Bilgi Güvenliği olarak ev sahipliğinde bulunacağız.   Uzun bir aradan sonra tekrar yüz yüze gelecek olmak ise ayrıca heyecan verici! Çay, kahve ve siber güvenlik üzerine sohbet etmek isteyen herkesi bekleriz.   HABERLERİ BİR DE BİZDEN DUYUN! Etkinlikte sizlere sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan en son TINA çözümümüz hakkındaki çalışmalarımızı ve mevcut Anti-Threat serisi ürünlerimizdeki gelişmeleri de anlatacağız. Yürüttüğümüz bu çalışmalarımıza yönelik fikirleriniz bizler için çok değerli; hem sizleri dinlemek hem de bizden haberleri paylaşmak üzere standımıza da bekleriz. Katılım tüm kurum / kişilere açık ve ücretsizdir. SİBER GÜÇ TÜRKİYE NEDİR? “Siber Güç Türkiye” Yatırımcı / Girişimci Buluşmaları ve İş Geliştirme etkinliğinde, şirketlerin iş birliğini arttırma ve iş geliştirme süreçlerinin yönetilebilmeleri için özel etkileşim alanları oluşturulacak, siber güvenlik firmalarının projelerini sunabileceği özel buluşma alanları sağlanacaktır. Katılım tüm kurum / kişilere açık ve ücretsizdir. Etkinliğe girişimci, firma veya yatırımcı olarak katılım sağlamak isteyenler www.sibergucturkiye.org adresinden başvuru yapabileceklerdir.

Follina, Microsoft Zeroday Zafiyeti

Microsoft Office belgeleri ile tetiklenebilen, MSDT (Microsoft Support Diagnostic Tool) kullanarak powershell üzerinde uzaktan komut çalıştırmaya olanak sağlayan, topluluk tarafından "Follina" olarak adlandırılan kritik bir zafiyet tespit edildi. Follina güvenlik açığı CVE-2022-30190 olarak tanımlandı. Araştırmacılar analiz yapılan örneklerle Follina'nın daha önce Rusya, Hindistan, Filipinler, Nepal gibi noktaları hedeflediğini gördüler. Microsoft tarafından zafiyetin çok ciddiye alınmaması ve yeterli açıklama yapılmaması ise kullanıcılarda bir çok soru işareti bıraktı. Şu an protokolün yer aldığı aktif tüm sistemler etkilenmektedir. Follina zafiyetini önemli kılan diğer bir husus ise, Microsoft Office macroları devre dışı olsa bile çalışabilir olmasıdır. Henüz yayınlanmış resmi bir güncelleme mevcut değildir. Bunun için MSDT URL protokolünün devre dışı bırakılması önerilmektedir (Bu protokolü devre dışı bırakana kadar, gelen e-postalardaki office dosya eklerine karşı çalışanlarınızı lütfen uyarınız); MSDT URL protokolünü devre dışı bırakma; 1. Cmd'yi yönetici olarak çalıştırın, eğer sisteminizde Cmd mevcut değilse Powershell'i yönetici olarak çalıştırın. 2. MSDT protokol anahtarını yedeklemek için; reg export HKCR\ms-msdt D:\Backup\msdt. reg komutunu çalıştırın. 3. MSDT protokolünü devre dışı bırakmak / silmek için; reg delete HKCR\ms-msdt 4. MSDT protokolünü tekrar devreye almak için 2. adımda oluşturduğunuz yedek dosyası üzerinden çift tıklayarak veya komut satırından reg import D:\backup\msdt. reg ile tekrar kayıt defterine ekleyebilirsiniz.

Türkiye Havayolu Şirketi Verileri Açığa Çıktı

Küçük bir Türk Havayolu şirketi, AWS (Amazon Web Services) üzerindeki yanlış yapılandırmalar sonucunda uçuş verileri ve kişisel bilgilerin de içerisinde olduğu 6.5 TB veri sızdırdı. Açığa çıkan dosyalar 23 milyon adedi bulmuş durumda, içerisinde hassas uçuş verileri, uçuş çizelgeleri, revizyonlar, sigorta belgeleri, uçuş öncesi kontrollerde tespit edilen sorunların ayrıntıları ve mürettebat hakkında kişisel veriler bulunmaktadır. Yanlış yapılandırılan sunucu üzerinde Pegasus Havayolları tarafından geliştirilen EFB yazılımının da kaynak kodlarının açığa çıktığı, düz metin halde parolalar ve gizli anahtarlar da tespit edildi. Bu anahtarlar ve parolalar kullanılarak yazılımda manipülasyon yapılabilir hale gelmiş oldu. Durum ile alakalı yetkilileri bilgilendiren uzmanlar yaklaşık 3 haftada gerekli iyileştirmelerin yapıldığını açıkladı. Henüz kayıtlara girmiş bir istismar girişimi bulunmamaktadır.

Mobil Uygulamalarla Savaş Devam Ediyor

Bilgisayarlar üzerinde bir uygulama kurmak eskiden çoğu kişi için çok zordu ve çevresinden destek almak zorundaydı. Mobil cihazlar ile uygulamalar da artık hayatımızın vazgeçilmezi haline geldi ve artık uygulamalara ulaşmak ve indirip kurmak akıllı telefon kullanan herkesin destek ihtiyacı olmadan ve hızlıca halledebildiği bir çözüm halinde sunuluyor. Durum böyle olunca kullanıcıların büyük çoğunluğu uygulamaları sorgulamadan yükleyebiliyor, en önemli sebebi de uygulama marketlerinin arkasında Apple, Google gibi büyük firmaların bulunmasında yatıyor. Bu konuda otorite olarak sayılabilecek Apple ve Google'da güvenli uygulamaları sunmaya yönelik birçok yatırım ve iyileştirmeler yaparak dolandırıcılığa açık uygulamaların önünü kesmeye devam ediyor. Fakat bu yatırımlar şu an yetersiz kalıyor ve kullanıcılar bu tür uygulamalar ile tamamen baş başa kalıyor. Siber Farkındalık ise burada kullanıcıyı bu tür dolandırıcılıklara karşı savunma adımında öne geçiriyor. 2021 yılı içerisinde dolandırıcılığa teşvik ettiği düşünülen pek çok uygulama yayından kaldırıldı. Apple bu konuda 1.6 milyon uygulamayı marketlerinden kaldırırken, Google 1.2 milyon uygulamayı marketlerinden kaldırdı. Banka bilgileri, sağlık bilgileri, özel ve hassas bilgileri gibi değerli verilerin barındırıldığı telefonlara herhangi bir uygulama indirirken erişim talepleri dikkat ile incelenmeli ve mümkün olduğu kadar ihtiyaç duyulan uygulamaların yüklenilmesine dikkat edilmelidir.

Öğrenci Verileri İfşa Oldu

Şikago'da yapılan fidye yazılımı saldırısı sonrasında devlet okullarında 500.000 öğrenci ve 60.000 çalışanın verileri ifşa oldu. Öğrenci ve öğretmen performans analiz sistemi Battelle for Kids uğradığı saldırı sonucunda öğrenci verileri ifşa oldu, sistemde kayıtlı yaklaşık 267 okul ve 2.8 milyon öğrenci bulunmakta. Yasalara göre veri ihlalinin hemen bildirilmesi gerekmesine rağmen, ihlalin anlaşılması ve bildirilmesi 4 ayı buldu. Bu saldırıdan bağımsız olarak Mart ayında ise 870.000 öğrenci verileri ifşa edildi. Bu veri ihlalleri sonrasında birçok öğrencinin sistemlere erişim bilgileri satılmaya başlandı. Bu tür saldırılar ülkemizde de gerçekleşiyor fakat tespit edilmesi çok uzun sürmekle beraber, tespit edilemeyen de çok fazla ihlal mevcuttur. Veri çalmaya odaklı ve ileri seviye saldırıları engellemek için TINA Security ürünlerini inceleyebilirsiniz.

Sosyal Mühendislik Saldırıları Hız Artırıyor

Sosyal mühendislik türü saldırılar ve bunlara dair örnekler artık birçok kullanıcı tarafından bilinmekte, fakat yine de bir firma için en ağır sonuçlara sebep olmaya devam ediyor. Covid-19 ve uzaktan çalışmayla beraber sosyal mühendislik saldırıları da %65 artmış durumda. Bu tür saldırılar kurumları da ciddi anlamda zora sokmaktadır. Kurumsal e-postaların ele geçirilmesi (BEC) ile kurumlara verilen maddi zararın boyutu ciddi anlamda artmaktadır. 2016-2021 tarihleri arasında küresel finans kurumları tarafından bildirilen kayıp 43 milyar doları aştı. BEC saldırıları ile gerçekleştirilen saldırı senaryoları da daha etkili ve gerçekçi olmaktadır. Bu yüzden kurum çalışanların farkındalığı halen savunmada ön plana çıkmaktadır. Kullanıcılarınız farkındalığını test etmek ve farkındalığını artırmak için ISR Bilgi Güvenliği hizmetlerini inceleyebilirsiniz.

Siber Güvenlik Bülteni - Aralık 2021

 

Bültenimizin Aralık ayına ait başlıkları;  2021 Popüler Siber Tehditler KMSPico Gözünü Kripto Cüzdanlara Dikti Siber Hayatta Omicrona Dikkat QNAP NAS Cihazları Kripto Madencilerinin Yine Hedefinde Siber Saldırganlar Pasaportlarımızı Hedef Aldı

2021 Popüler Siber Tehditler

Gerçek dünyamızda 2021'de pandeminin etkileri devam ederken, aynı hareketlilik siber dünyada da hızını sürdürdü. 2021'de yerli ve yabancı çok büyük şirket yine siber saldırılara uğradı ve bunun sonuçları hem şirketleri hem de bizleri etkiledi. Bu yıl süresince gerçekleşen saldırılardan gördük ki, geçtiğimiz 2020 yılında yaşanan saldırılardan ders aldıklarımızın haricinde,  halen ders alamadığımız birçok saldırıya maruz kalınmış. 2022 yılının geçmiş yıllarda yaptığımız hatalardan uzak, temel dinamiklerin dikkate alındığı, farkındalığı yüksek ve daha güvenli bir yıl olmasını dileriz. 2021'in Popüler Tehditleri Fidye Yazılımları Sistemlerimize bulaştıktan sonra dosyalarımızı etkileyen Fidye yazılımları 2021'de zirvedeki yerini koruyor ve öyle görünüyor ki 2022'de de zirvede kalacak. Bir önceki yıla göre %93 oranında artarak hızla büyümeye devam ediyor. Bulut Zafiyetleri Bulut çözümlere olan ilgimiz her geçen gün artmaya devam ediyor; fakat 2021 yılında yine yanlış yapılandırmalar sonucunda birçok kurum verisi ifşa oldu. Unutmamak lazım ki bulut sistemler genel çözümleri sunan bir teknolojidir, doğru, özgünleştirilmiş olarak konumlandırılması gerekmektedir. Doğru konumlandırılmayan hiçbir sistem sizlere güvenlik vaat edemez. Oltalama Saldırıları Kimlik avı saldırıları kurumları hedefleyen en büyük risklerden biri olmaya devam ediyor, uzun yıllardır hayatımızda olan oltalama saldırıları günümüzde de hâlâ en çok kullanılan saldırı yöntemlerinden birisidir. Kullanıcı odaklı olduğundan, farkındalığı düşük kullanıcılar hedeflendiğinde başarı oranı çok yüksektir. Veri ihlallerinin %36'sı oltalama saldırıları sayesinde gerçekleşmektedir ve önceki yıla göre %22 oranında bir artış gözlemlenmektedir. Sosyal Mühendislik Kullanıcıyı kandırmak ve manipüle etmek sistemde başarı sağlamak açısından çok değerli sonuçlar üretir. Zira güvenlik sistemlerinin ele geçirilmiş olan bir kullanıcının hareketlerini gerçek kullanıcıdan ayırt etmesi oldukça zordur. Gecikmeli Yamalar - Yama Yönetimi Birçok saldırı yaması yapılmamış yazılımlar üzerinden başlar. Yazılımlarda çıkan zafiyetler sonucu, direkt hedef haline gelen sistemler saldırıya maruz kalır. Bu yüzden yama yönetimi ciddi bir süreç takibi gerektirir. Yamaların hiç uygulanmaması veya gecikmeli olarak uygulanması saldırıların daha kolay başarıya ulaşmasını sağlamaktadır. IoT Zafiyetleri IoT hayatımızda vazgeçilmezlerden biri haline geldikçe hackerların da dikkatini çekmeye devam ediyor. Artık kullandığımız birçok cihaz internete bağlanıp, birbirleriyle iletişime geçiyor. Kullanış kolaylığından ötürü birçok kurum IoT'leri süreçlerine katmaya devam ediyor. Bu kullanım kolaylıkları ise riskleri ile birlikte geliyor. Dünyanın en büyük DDoS saldırılarının IoT'ler kullanılarak gerçekleştirilmiş olmasından görüldüğü kadarıyla bu yıl olduğu gibi yeni yılda da IoT'ler saldırı vektörleri olarak karışımıza çıkacaktır. Fortune Business raporuna göre 2026 yılında IoT pazarının 1.1 trilyon dolara ulaşması bekleniyor. Kripto Hırsızlığı Siber suçlular tarafından kripto para madenciliği için insanların cihazlarının (bilgisayarlar, sunucular, akıllı telefonlar ve tabletlerin) yetkisiz olarak kullanılmasıdır. Kripto para madenciliği çok yüksek işlem gücü gerektirmektedir, siber suçlular da bu güce maddi olarak ulaşamadığından hedef seçtikleri kurbanların sistemlerini bu iş için kullanmaktadır. Birçok kurum satın aldığı sistemlerde performans kaybı olduğunu gözlemlemekte ve bunun sıradışı nedenlerinden birinin de kripto para madenciliği için kullanılan zararlı yazılımlardan kaynaklı olduğu bilinmektedir. Kısa vadede tespit edilebilen performans kaybının yanı sıra enerji maliyetinin artması, cihazlarda aşınmanın hızlanarak arıza riskinin artması gibi orta vadeli zararları da büyüktür. Form Hırsızlığı Form hırsızlığı genellikle bir web sayfasındaki forma JavaScript kodu enjekte edilmesi ile, kullanıcının forma bilgileri girdiği esnada kötü amaçlı kodun bu bilgileri saldırganların belirlediği yere göndermesi ile gerçekleştirilmektedir. Genellikle bu tür saldırılar, e-ticaret firmalarının ödeme sayfası üzerinde gerçekleştirilir. İnternet Güvenliği Tehdit raporuna göre her ay ortalama 4.800 web sitesinde form hırsızlığı koduyla güvenlik ihlal ediliyor. 3. Parti (Taraf) Zafiyetleri Birçok kurumda her süreç için kendi başına teknik çözüm geliştirme imkânı bulunmamaktadır ve bu ihtiyaç dolayısıyla farklı firmalardan ihtiyaçlarına özgün çözümleri bularak tedarik etmektedir. Bir başka firmadan temin edilen bu çözümlerin de zafiyetleri aynı zamanda kullanıcı kurumun da bir zafiyeti haline gelmektedir ve bu ürünler aracılığıyla sakladığınız veya işlediğiniz veriler ihlal edilebilmektedir. Her firmanın güvenlik süreçlerinin aynı olmadığı dikkate alınarak, ürün temin edilen 3ncü taraf işletmelerin de güvenlik süreçleri de gerek duyulan düzeyde irdelenmelidir. VPN Sistemleri Pandemiyle birlikte uzaktan çalışmaya hızlı bir geçiş yaşandı ve birçok kurum bu geçişlere hazırlıksız yakalandı. VPN kullanmaya yeni başlayan birçok kurum oldu. Bu yıl VPN servisi sunan firmalar açısından çok zorlu bir yıl oldu ve birçok VPN servis ve ürünlerinde çıkan zafiyetler sonucunda kurumsal ağlara da erişimler elde edildi.

KMSPico Gözünü Kripto Cüzdanlara Dikti

KMSPico, lisansları hileli bir şekilde etkinleştirmek için Windows Anahtar Yönetim Hizmetleri (KMS) sunucusunu taklit eden lisans hırsızlığı dünyasında popüler bir Microsoft Windows ve Office ürün etkinleştiricisidir. Saldırganlar, kripto para cüzdanlarını ele geçirmek için değiştirilmiş KMSPico'yu tekrardan piyasaya sürüyor! KMSPico kullanan bireysel kullanıcı haricinde, kurumsal şirketler de sanıldığından çok fazladır. Maalesef Türkiye'de de birçok kurum yeterli sayıda lisansı bütçeleyemediği için KMSPico üzerinden ürünlerini etkinleştirerek kullanmaktadır. Google'da arama yaptığınızda fazlasıyla Official (Resmi) KMSPico dağıtımı yapan alanadlarıyla karşılaşabilirsiniz. KMSPico kurarken aynı zamanda paralelinde Cryptbot adlı zararlı yazılımı da yüklenmektedir ve arka planda yüklendiğinden kullanıcı bunun farkına varamamaktadır. Aynı zamanda zararlı yazılım kendisini test etmek isteyen sandbox sistemlerine karşı da dirençlidir, çalıştırmamaktadır. Zararlı yazılımın veri toplayabildiği bazı uygulamalar Atomic cryptocurrency wallet Avast Secure web browser Brave browser Ledger Live cryptocurrency wallet Opera Web Browser Waves Client and Exchange cryptocurrency applications Coinomi cryptocurrency wallet Google Chrome web browser Jaxx Liberty cryptocurrency wallet Electron Cash cryptocurrency wallet Electrum cryptocurrency wallet Exodus cryptocurrency wallet Monero cryptocurrency wallet MultiBitHD cryptocurrency wallet Mozilla Firefox web browser CCleaner web browser Vivaldi web browser

Siber Hayatta Omicrona Dikkat

Pandemi ile beraber her geçen gün yeni varyantların adı ortaya çıkmaya devam ediyor. Bu varyantların hızlı yansımalarını siber dünyada da, saldırılarda görüyoruz. Her yeni isim, yeni bir saldırı türevi olarak karşımıza çıkıyor. Yeni saldırı Omicron üzerinden kurgulandı. Onlarca üniversite Omicron kaynaklı haberler üzerinden kullanıcı adı ve parolası hırsızlığına maruz kaldı. Bu tür saldırılarda ağırlıklı olarak COVID-19 üzerine araştırma yapan üniversitelerin hedeflenmesi, saldırının planlı olduğunu da ortaya koyuyor. Kasım ayı sonu itibarıyla Omicron'un çok fazla konuşulması, saldırı vektörlerinde Omicron'un sıklıkla kullanılmasına sebep oldu. Bu saldırı senaryoları genellikle Office 365 portalı veya üniversiteye özel portal sayfaları üzerinden kimlik avı saldırılarını içermektedir. Oltalama saldırıları kurumları en çok tehdit eden risklerin başında gelmektedir. Kurumların donanım ve yazılım yatırımları her geçen gün ciddi bir artış gösterirken, kurumlar çalışanların farkındalığının eksik olması veya dikkat verememesinden dolayı milyonlarca maddi zarara uğramaktadır. Bu tür riskleri ölçmek için Sosyal Mühendislik Testi hizmetleri alabilir, çalışanlarınızın farkındalık durumlarını ölçebilirsiniz, ayrıca farkındalığı artırmak için de kurumunuzda Siber Güvenlik Farkındalık Eğitimleri uygulayabilirsiniz. Kurum içerisinde herkesin farkındalığının artmış olması ile yazılım ve donanıma yapılan yatırımın sürekliliği sağlanır, sonuç olarak güvenliğin sağlanması; performansın, verimliliğin artması, maliyetlerin düşürülmesine de yardımcı olur.

QNAP NAS Cihazları Kripto Madencilerinin Yine Hedefinde

Kripto para madencileri her geçen gün farklı zararlı yazılımlar ile kripto para madenciliğini kurbanların sistemlerini izinsiz kullanarak yapmaya devam ediyor. Yeni zararlı yazılımın ismi Bitcoin Miner [oom_reaper] olarak adlandırıldı ve kurban sistemlerin performanslarını ortalama %50 etkilemektedir. Bu saldırının yeni kurbanı ise tekrar QNAP NAS oldu. QNAP dosya paylaşımı, sanallaştırma, depolama yönetimi ve gözetim uygulamaları için kullanılan Ağa bağlı depolama cihazları üreten bir şirkettir. QNAP yaygınlığı dolayısıyla bu tür saldırılara farklı zararlı yazılımlar tarafından maruz kalmaya devam ediyor. Bundan önce de eChOraix Ransomware, Muhstik Ransomware veya QSnatch gibi zararlı yazılımlarında hedefi haline gelmişti, CVE-2020-2506 ve CVE-2020-2507 zafiyetlerinden faylanmışlardı. Yeni zararlı yazılımın henüz hangi zafiyeti kullandığı ise tespit edilemedi. QNAP Tarafından Önerilen, Etki Azaltma Önlemleri QTS ve QuTS hero en son sürüme güncellenmelidir. Ağınızda zararlı yazılım analizi yapabilen sistemlerle takip etmelidir. (TINA) QTS ve QuTS hero > App Center > Malware Remover son sürümünü indirebilirsiniz. Yönetici ve kullanıcı parolalarını güçlendirmelidir. Tüm uygulamalar en son sürüme güncellenmelidir. Vlan segmentasyonu yapılmalı ve QNAP dış erişimlere kapatılmalıdır.

Siber Saldırganlar Pasaportlarımızı Hedef Aldı

Onfido'nun 2022 Identity Fraud Raporuna göre, kimlik sahtekârlığında en çok saldırıya uğrayan kimlik belgesi biçiminin Pasaportlar olduğu açıklandı. Ayrıca raporda belirtildiğine göre sahteciler gerçek bir kimliği taklit etmek yerine, sıfırdan bir belge yaratmayı daha çok tercih ediyorlar. Bunun yanı sıra COVID-19 ile küresel anlamda başlatılan uygulamalara göre, ülkeler kendi vatandaşlarını korumak için normal fiziksel pasaportlar dışında Aşı Kartı veya Dijital Aşı Sertifikaları gibi yeni kimlik türlerini üreterek ibrazlarını da ülkeye girişlerde zorunlu tutuyor. Hatta birçok ülke seyahat, konser alanları, sinema, restoran gibi kapalı alanlarda aşı kimliği zorunluluğu getirilmiş durumda. Şu an illegal forumlar üzerinde sahte aşı kimlikleri ortalama 34 dolara satılmaktadır ve oldukça ciddi rağbet gördüğü de söylenebilir.