Saldırının Cinsi
Eurograbber olarak adlandırılan saldırı gelişmiş, çok kademeli ve hedefe özel olarak sınıflandırılabilir. Günümüzün en tehlikeli saldırı türlerinden biri olarak kabul edilen ve APT (Advanced Persistent Threat) olarak adlandırılan saldırı türünün bir çeşididir. Eurograbber kurbanın hem bilgisayarına hem de cep telefonuna yerleştiği için bankalar tarafından kullanılan 2 kademeli kimlik doğrulama yöntemini geçersiz kılabilmektedir.
Eurograbber olarak adlandırılan saldırı gelişmiş, çok kademeli ve hedefe özel olarak sınıflandırılabilir. Günümüzün en tehlikeli saldırı türlerinden biri olarak kabul edilen ve APT (Advanced Persistent Threat) olarak adlandırılan saldırı türünün bir çeşididir. Eurograbber kurbanın hem bilgisayarına hem de cep telefonuna yerleştiği için bankalar tarafından kullanılan 2 kademeli kimlik doğrulama yöntemini geçersiz kılabilmektedir.
Saldırının anatomisi
İlk Aşama
Kullanıcının bilgisayarına “Zeus” adıyla bilinen bir Truva Atı yerleşiyor. Gelen bir “phishing” veya spam mailindeki bir bağlantıya tıklayarak bulaşabileceği gibi Zeus internet sayfalarını ziyaret edenlere de bulaşabilmektedir.
Kullanıcının bilgisayarına “Zeus” adıyla bilinen bir Truva Atı yerleşiyor. Gelen bir “phishing” veya spam mailindeki bir bağlantıya tıklayarak bulaşabileceği gibi Zeus internet sayfalarını ziyaret edenlere de bulaşabilmektedir.
İkinci Aşama
Zeus kurbanın işlem yapmak için bir banka sitesine bağlanmasını bekliyor. Bankanın sayfasını ziyaret eden kurbanın internet tarayıcısına javascript kodu gönderen Zeus bir “güvenlik seviyesi arttırma” sayfasının çıkmasını sağlıyor.
Üçüncü Aşama
Eurograbber edindiği telefon numarasını komuta merkezine gönderiyor.
Eurograbber edindiği telefon numarasını komuta merkezine gönderiyor.
Dördüncü Aşama
Ele geçirilen telefon numarasına kurbanın biraz önce başlattığını düşündüğü “güvenlik seviyesi arttırımı” sürecinin tamamlanması için gerekli bir SMS gönderiliyor. SMS içerisinde bulunan internet bağlantısının tıklanması Eurograbber’ın mobil sürümünün indirilmesine neden oluyor. Aşağıdaki resimde Android ve Blackberry kullanıcılarına gönderilen iki farklı mesajın ekran görüntüsü mevcuttur.
Beşinci Aşama
Cep telefonuna gönderilen SMS ile eşzamanlı olarak kurbanın bilgisayarında “Ücretsiz şifreleme uygulaması için kullanacağınız indirme bağlantısı SMS ile tarafınıza gönderilmiştir. Uygulama kurulduktan sonra telefonunuzun ekranında beliren şifreyi aşağıdaki kutuya yazın” uyarısı belirmektedir.
Altıncı Aşama
Zararlı yazılım kurulduktan sonra kurbanın telefonunun ekranında ve kullanılan dile uygun olarak bir mesaj beliriyor.
Zararlı yazılım kurulduktan sonra kurbanın telefonunun ekranında ve kullanılan dile uygun olarak bir mesaj beliriyor.
Böylece
kurbanın bilgisayarına ve cep telefonuna zararlı yazılım kurulmuş oluyor.
Paranın çalınması
Yukarıda
anlatılan zararlı yazılımların kurulmasından sonra saldırganlar kurbanın
parasını çalabilecek hale gelmektedir. Para transfer işlemi aşağıdaki beş
adımda gerçekleşmektedir.
Birinci
Adım
Kurbanın banka sitesine bağlanması üzerine zararlı yazılım çalışmaya başlamaktadır.
Kurbanın banka sitesine bağlanması üzerine zararlı yazılım çalışmaya başlamaktadır.
İkinci
Adım
Saldırganlar tarafından belirlenmiş bir banka hesabına para transferinin yapılması için gerekli istek bankaya gönderilir.
Saldırganlar tarafından belirlenmiş bir banka hesabına para transferinin yapılması için gerekli istek bankaya gönderilir.
Üçüncü
Adım
Para transfer işleminin tamamlanabilmesi için banka tarafından kurbanın telefonuna gönderilen şifre mesajı telefonda bulunan zararlı yazılım tarafından yakalanır. Kurban kendisine bir SMS geldiğini bile fark etmez.
Para transfer işleminin tamamlanabilmesi için banka tarafından kurbanın telefonuna gönderilen şifre mesajı telefonda bulunan zararlı yazılım tarafından yakalanır. Kurban kendisine bir SMS geldiğini bile fark etmez.
Dördüncü
Adım
Bankadan gelen SMS saldırganların kullandığı bir telefon numarasına iletilir. Bu mesajda bulunan şifre daha sonra saldırganların kurbanın bilgisayarındaki zararlı yazılımı yönetmek için kullandıkları komuta sunucusuna iletilir.
Bankadan gelen SMS saldırganların kullandığı bir telefon numarasına iletilir. Bu mesajda bulunan şifre daha sonra saldırganların kurbanın bilgisayarındaki zararlı yazılımı yönetmek için kullandıkları komuta sunucusuna iletilir.
Beşinci
Adım
Ele geçirilen işlem onay şifresi bankaya kurbanın bilgisayarı üzerinden iletilir ve işlem tamamlanır. Bu işlemler sırasında kurbanın ekranında hiçbir şey görülmemektedir.
Ele geçirilen işlem onay şifresi bankaya kurbanın bilgisayarı üzerinden iletilir ve işlem tamamlanır. Bu işlemler sırasında kurbanın ekranında hiçbir şey görülmemektedir.
Bu işlem
kurban bankanın sitesine her bağlandığında tekrarlanır.
Savunma Teknikleri
Aşağıdaki
uygulamaların hayata geçirilmesi benzer bir olayı büyük ölçüde engelleyecektir:
Güvenlik Çözümlerinin Güncel Tutulması
Bu
saldırıda kullanılan Zeus adlı zararlı yazılım ilk kez 2007 yılında tespit
edilmiştir 2010 yılından beri belli başlı güvenlik çözümlerinin imza
tabanlarında mevcuttur. Bu nedenle güncellemeleri yapılan güvenlik çözümlerinin
bu tür zararlı yazılımları kurum ağına girişte yakalaması mümkündür.
Anti-Spam Çözümlerinin Kullanılması
Zeus’un
yayılmak için kullandığı başlıca yöntem phishing ve spam mailleridir. Phishing
mailleri bir bankadan veya kamu kurumundan gelmiş gibi görünen ama saldırganlar
tarafından kurbanı belli bir sayfaya yönlendirmek için kullanılan epostalardır.
Phishing dışında spam mailleri de zararlı yazılımları yaymak için
kullanılmaktadır. Kurumda güncel bir anti-spam çözümünün olması bu tür
epostaların kullanıcılara ulaşmasını engeller.
URL Filtreleme Çözümlerinin Kullanılması
Zeus adlı
zararlı yazılım kendini “drive by download” olarak da adlandırılan bir yöntemle
de bulaştırabilmektedir. Bunun için kurbanın zararlı yazılımın olduğu siteyi
ziyaret etmesi yeterlidir, herhangi bir dosyayı yüklemesine veya açmasına gerek
yoktur. URL filtreleme çözümleri zararlı yazılımların bulunduğu siteleri
engelleyebilmektedir.
Sistemlerin Güncellenmesi
İşletim
sistemlerinin güncel tutulması önemlidir. Günümüz saldırılarına baktığımızda
işletim sistemi kadar kullanılan diğer yazılımların da güncel tutulması
gerektiğini görüyoruz. Adobe Reader, Adobe Flash, gibi yazılımların yanında
internet tarayıcısı gibi diğer bileşenlerin de güncellenmesi bazı saldırı
türlerinin engellenmesini sağlayabilir.
Savunmaya Yönelik Düşünce Yapısı
İnternet
ne yazık ki güvenli ve güvenilir bir ortam değildir. İnternet’ten gelebilecek
tehditlerin bir kısmı belli savunma mekanizmalarına yapılan yatırımlarla
engellenebilse bile kullanıcının düşünce yapısı da önemlidir. Açıkça talep etmediğimiz
hiçbir epostaya güvenmemek edinilmesi gereken faydalı bir bakış açısıdır.
Bununla beraber başlatmadığımız hiçbir sürece de aynı şekilde kuşkuyla
yaklaşmamızda fayda vardır. Bu örnekte süreç “güvenilir internet bankacılığı”
bahanesiyle saldırgan tarafından ve internet tarayıcısı aracılığıyla
başlatılmıştır.
No comments:
Post a Comment