Karanlık ağdan kimlik avı neden tehlikeli hale geldi?

Bilgi güvenliği uzmanlarına göre 2024 yılında kimlik avı mesajlarının yaklaşık %85’i BDT ve EAEU ülkelerindeki şirketlere resmi mektup veya mali belge adı altında gelecek. Mektupların onda biri o kadar yetkin bir şekilde yazılmıştır ki, sahte olanı tanımak zordur, ancak Kimlik avının %91’i, alıcının dikkatsizliği için tasarlanmış düşük kaliteli toplu posta olarak kalıyor. Darknet’te popüler hale gelen hırsız abonelik formu özel ilgiyi hak ediyor. Saldırgan, onu satın alarak geliştiriciden teknik destek almış oluyor. Mevcut eğilimler neden tehlikelidir ve karanlık ağdaki hırsız endüstrisiyle nasıl başa çıkılır? – İzvestia’nın materyalinde.

Kimlik avı nasıl anlaşılır

2023 yılında Rusya ve diğer BDT ülkelerindeki şirketlere yönelik saldırıların %68’i kimlik avı e-postalarıyla başladı. 2024 yılının ilk yarısında bu rakam %76’ya çıktıdijital risk yönetimi şirketi Bi.Zone tarafından İzvestia için hesaplanmıştır. Aynı zamanda, kimlik avı saldırılarının %79’u saldırganlar tarafından mali belgeler (faturalar ve ödeme belgeleri), %8’i sözleşmeler ve anlaşmalar ve %5’i ise özgeçmişler olarak gizleniyor. Bu tür postaların geri kalan %4’ü düzenleyicilerden gelen mesaj kisvesi altında geliyor.

Bi.Zone Tehdit İstihbaratı başkanı Oleg Skulkin, bu eğilimlerin Kazakistan’daki şirketlere yönelik yakın zamanda gerçekleşen bir dizi saldırıda mükemmel bir şekilde ortaya çıktığını söylüyor.

Bloody Wolf grubu, kurbanlara yalnızca düzenleyiciler adına son derece makul kimlik avı e-postaları göndermekle kalmadı, aynı zamanda kötü amaçlı yazılımını Kazakistan Cumhuriyeti devlet kurumlarından birinin web sitesini taklit eden bir alanda barındırdı. Kurban, resmi bir belge kisvesi altında kötü amaçlı bir JAR dosyası indirdi. Saldırganlar bu tür dosyaları nadiren kullandıkları için bazı güvenlik önlemlerini atlayabildiler.

— Kötü amaçlı yazılım, Strigoi Master olarak da bilinen ticari bir Truva Atı STRRAT’tı. Bu, bir saldırganın güvenliği ihlal edilmiş bir bilgisayarda komutları uzaktan yürütmesine, dosyaları ve tarayıcıları kontrol etmesine, tuş vuruşlarını engellemesine vb. olanak tanır. Oleg, bu kötü amaçlı yazılımın (kötü amaçlı yazılımın) avantajı, nadir dosya türlerinin kullanılması nedeniyle tanınmasının daha zor olmasıdır, diyor. Skulkin.

Bloody Wolf, BDT ve EAEU ülkelerindeki şirketlere saldırmak için devlet kurumlarından mesaj olarak gizlenen kimlik avını kullanan ilk grup değil. Benzer planlar, Scaly Wolf adlı hackerlar tarafından Rus sanayi ve lojistik şirketlerine saldırmak için, Gizemli Kurtadam askeri-endüstriyel kompleks işletmelerine saldırmak için ve Yapışkan Kurtadam Rusya ve Belarus’taki devlet kuruluşlarına saldırmak için kullanıldı.

First Bit şirketinin analitik sistemler ve raporlama departmanı başkanı Pyotr Ivanov, İzvestia’ya dolandırıcıların artık “FSB’yi korkutmaya ve onları harekete geçmeye kışkırtmaya çalıştıklarını” söyledi.

Fotoğraf: IZVESTIA/Alexander Kazakov

— Birincil kimlik avının amacı, bir kişiyi yasayı veya şirket kurallarını en azından az da olsa ihlal etmeye zorlamaktır. Daha sonra dolandırıcıların amaçları doğrultusunda onu manipüle etmeye başlarlar. Kişi adım adım giderek daha karanlık eylemlerin içine sürüklenir ve panik içinde ne yapacağını bilemez hale gelir. Pyotr Ivanov, son zamanlarda böyle bir fenomen için bir terimin bile ortaya çıktığını belirtiyor: “biodronlar”.

iTProtect sistem ve hizmetleri koruma departmanı başkanı Kirill Lukyanov şunları vurguluyor: Son zamanlarda kişiselleştirilmemiş kimlik avı saldırılarının %90’ından fazlası BDT – EAEU ülkeleri tarafından gerçekleştirilmektedir. Ancak son iki yıldır saldırganlar, e-posta formatlarını mümkün olduğunca güvenilir hale getirmek için özenle geliştiriyor ve uyarlıyor. O zaman siber suçluların kurbanlarının hiçbir şüphesi kalmayacak.

Kimlik avı dolandırıcılıklarının çoğu düşük kaliteli toplu e-postalardır. FACCT Siber Güvenlik Merkezi başkanı Yaroslav Kargalev, bunların etkisiz olduğunu ancak hacim nedeniyle sonuçlara ulaşılabileceğini açıklıyor.

— Kimlik avı e-postalarının büyük çoğunluğu, kural olarak hedefleme kriterlerinin uygulanmadığı hayran postalarıyla ilgilidir. Uzman, bundan sonra “hedefli saldırı” (iyi tasarlanmış bir bağlam) için belirli kriterlerin geçerli olduğu kimlik avının geldiğini belirtiyor.

Bilgisayar korsanları şifreleri nasıl öğreniyor ve buluyor?

Kaspersky Dijital Ayak İzi İstihbarat analisti Sergei Shcherbel, hırsızların (İngilizce’den çeliğe – çalmaya) Avrasya alanında güncel bir siber tehdit olduğunu belirtiyor.

Fotoğraf: Global Look Press/ZB/Jens Büttner

Ekibin araştırmasına göre, Yalnızca son beş yılda dünya genelinde 443 bin sitenin kullanıcı adı ve şifreleri hırsızlar tarafından çalındı. .ru bölgesindeki sitelere erişim için 2,5 milyon çift kullanıcı adı ve şifre çalındı.

Toplamda, 2020’den 2023’e kadar uzmanlar 100’den fazla hırsız türü keşfetti. Aynı zamanda, 2021’den 2023’e kadar bu tür kötü amaçlı yazılımların yeni ailelerini kullanan saldırıların payı %4’ten %28’e çıktı.Sergei Shcherbel açıkladı.

— Kural olarak hırsızlar abonelikle satılır. Saldırgan belirli bir süre için abonelik ücreti ödeyerek programın güncel sürümünü indireceği bir web paneline erişim sağlayabilir. Aynı panelde, program tarafından kullanıcılardan çalınan veriler olan günlük dosyalarına erişebilecek” dedi Sergei Shcherbel, Izvestia’ya.

Aboneliğin maliyeti geçerlilik süresine, şekillendirici türüne ve varsa ek seçeneklere bağlıdır. Ortalama olarak aylık aboneliğin maliyeti 300 ABD dolarıdır (yaklaşık 26 bin ruble). Artık en yaygın programlar Vidar, Lumma, RedLline’dır. 2020 ile 2023 yılları arasında cihaz hırsızlığı vakalarının %51’inde RedLine kullanıldı. Bunu Vidar (%17) ve Raccoon (%12) takip ediyor.

NGR Softlab bilgi güvenliği analisti Andrey Shabalin, hırsızların maliyetinin doğrudan aracın sağladığı işlevselliğe bağlı olduğunu belirtiyor.

Fotoğraf: Global Look Press/dpa/Annette Riedl

— Ücretsiz kaynaklar kamuya açık alanda da bulunabilir, ancak bu tür hırsızların tespit oranı önemli ölçüde yüksek olduğundan genellikle ek değişiklikler gerektirirler. – uzman ekler.

Üst sınıf kötü amaçlı yazılımların maliyeti 3-5 bin ruble’den başlıyor, ancak bir saldırganın tespit edilmesi zor bir araca ihtiyacı varsa bunun için en az 30 bin ruble ödemek zorunda kalacak. Maksimum maliyet yalnızca kötü amaçlı yazılım geliştiricisinin sözde vicdanıyla sınırlıdır.

– Benim bilgilerime göre, Ortalama olarak, kanıtlanmış hırsızların maliyeti ayda 200-300 ABD dolarıdır (17-26 bin ruble)Doktor Web uzmanı Ivan Korolev diyor. — Bu durumda alıcı, satın alınan süre içerisinde bir Truva atı dosyası, bir hırsız yönetim paneli veya geliştirici tarafındaki bir panele erişim ve ayrıca destek alır.

Positive Technologies’e göre, Dark Web’de satıcılar hem abonelik hem de tek seferlik satın alma olanağı sunuyor. Abonelik durumunda bir hırsızın aylık maliyeti ortalama 250$ oluyor. İkinci durumda fiyat 900 dolara (yaklaşık 78 bin ruble) çıkıyor.

Karanlık ağla nasıl savaşılır

Hırsızlık endüstrisine karşı mücadele neredeyse küresel hacker topluluğuna karşı mücadeleye eşdeğerdirInfosecurity’de (Softline Şirketler Grubu) dijital tehditlerin analizi ve değerlendirilmesinden sorumlu departmanın önde gelen uzmanı Vladislav Ivanov alaycı bir tavırla gülüyor.

Fotoğraf: Global Look Press/dpa/Marijan Murat

“Bu mümkün ancak farklı eyaletlerdeki kolluk kuvvetlerinin çabaları gerekli. Aynı zamanda hırsızların popülaritesinin, çoğu insanın gerekli düzeyde siber okuryazarlığa sahip olmamasından kaynaklandığına inanıyor.

Analist Andrey Shabalin şunu ekliyor: Genel olarak hırsız endüstrisiyle mücadele yöntemleri, genel olarak kötü amaçlı yazılımlarla mücadele yöntemlerinden çok farklı değildir. Hırsızlık endüstrisine karşı koymak birçok cephede çalışmayı gerektirir.

Her şeyden önce bu, belirli bir kuruluş için mevcut ve en alakalı bilgi güvenliği tehditlerine ilişkin personelin farkındalığını artırıyor. Ayrıca düzenleyici otoriteler tarafından da bu yönde bazı çalışmalar yapılmalı; potansiyel olarak zararlı kaynaklara erişimin kısıtlanması gerekiyor.

— Alınan verinin kaynağının güvenilirliğini kontrol eden araçların yardımıyla hırsız endüstrisiyle mücadele etmek mümkün.RDTECH BT Direktörü Maxim Lapshev diyor. — Şu anda geliştirilmekte olan Blockchain sistemleri, kimlik avı saldırıları kullanan çok sayıda dolandırıcının tespit edilmesine yardımcı olacak.

Zayıf bağlantıyı bulun

2024 yılının ilk yarısının sonuçlarına göre sosyal mühendislik, Rusya ve BDT ülkelerindeki (EAEU) kuruluşlara yönelik ana saldırı yöntemi haline geldi ve bu dönemdeki başarılı saldırıların %52’sinde kullanıldı.Pozitif Teknolojiler araştırma grubunun başkanı Irina Zinovkina diyor.

Fotoğraf: IZVESTIA/Eduard Kornienko

Ideco’ya göre, Gerçekte, kimlik avı e-postalarının %2’sinden azı gerçekten akıllı ve iyi hedeflenmiş durumda. Ancak saldırganların kaliteyi önemli ölçüde artırmasına gerek yoktur. Görevleri, tüm çalışanları hacklemek değil, kurumsal ağın korunmasındaki en zayıf halkayı bulmaktır.

ARPP Yurtiçi Soft uzmanı Ideco Direktörü Dmitry Khomutov, “Kimlik avına karşı korunmanın tek etkili yolu, kimlik avı saldırılarına karşı duyarlılıklarını test etmek için eğitim de dahil olmak üzere kullanıcılara kitlesel bilgi vermek ve düzenli eğitim vermektir” dedi.

2024 yılında Roskomnadzor bu tür 37,6 bin siteyi engelledi, 2023’te kurum 43,1 bin sahte kaynağa erişimi kısıtladı ve 2022’de 13,8 bin İnternet sayfası engellendi. Çoğu zaman, “sahte belgeler” ve “yasadışı mali faaliyetler” konularındaki sahte kaynaklar engellenir.

Dolandırıcıların kurbanı olmaktan kaçınmak için Roskomnadzor, dijital hijyen kurallarına uymanızı tavsiye ediyor – şüpheli bağlantılara tıklamayın. Öncelikle bir telefon numarası vermeniz, mesaj göndermeniz veya özellikle küçük bir miktar aktarmanız gereken çok kazançlı tekliflere, indirimlere ve ücretsiz hizmetlere yanıt vermemek önemlidir.

Fotoğraf: IZVESTIA/Eduard Kornienko

Dolandırıcıların mağdurları Dijital Ortamda Vatandaşlara Hukuki Yardım Merkezi’nden ücretsiz yardım alabiliyor. Rusya’nın herhangi bir bölgesinin sakinleri Merkezi arayabilir veya Merkezine yazabilirRKN, İzvestia’ya şunları söyledi: