Europol Siber Suçlarla Mücadele Merkezi 2014 Raporu

Gelişmiş tehdit olarak sınıflandırdığımız APT hacker’ların dışında göz önünde bulundurmamız gereken önemli bir tehdit grubu siber suçlulardır. APT hacker’dan farklı olarak siber suçluların en büyük amacı para kazanmaktır. Son birkaç ayda Europol’a bağlı Avrupa Siber Suçlar Merkezi tarafından 2014 yılı için yayınlanan İnternet Suç Örgütleri Tehdit Değerlendirme raporunu okudum.

 Siber suçları diğer suçlardan ayıran en büyük özellik kuşkusuz suçlunun sucu işlemek için olay yerinde bulunmaya gerek duymamasıdır. Bu soruna raporda da değinilmiş ve bu nedenle güvenlik güçleri arasında ve uluslararası düzeyde yapılması gereken işbirliğinin önemi vurgulanmış. Siber suçlarda genel olarak görülen artışın ötesinde internet üzerinden işlenen suçların her geçen gün daha karmaşık hale gelmesi ve işlenen suçların hem sıklığının hem de sayısının artmasına da dikkat çekilmiş. Bu noktada rapor “bulut tabanlı siber suç” (Crime-as-a-Service) olarak da adlandırabileceğimiz ve suçu işlemek isteyenlere gerekli teknolojik bilgi ve araçların kiralandığı modele ve suçlular arasında artan gizlilik (anonymisation) seviyesine değinmiş.

Bulut tabanlı siber suçlar suç işlemek için gerekli imkanları sağlayarak internet üzerindeki yeraltı ekonomisinde büyük bir paya sahiptir. DDoS (Dağıtık Hizmet Dışı Bırakma) saldırılarının veya botnetlerin kiralanması, ihtiyaca özel zararlı yazılım geliştirilmesi, veri hırsızlığı ve şifre kırma gibi hizmetlerin kiralanabilir hale gelmesi standart suç örgütlerinin faaliyetlerini internete taşımalarını kolaylaştırmıştır. Siber suç örgütleri arasındaki ilişkilerin çıkar amaçlı veya proje bazlı başlaması ve bitmesi nedeniyle bu örgütlerin hiyerarşik yapısının tespit edilmesini zorlaştırmaktadır. Gizililik (anonymisation) ve Bitcoin benzeri kriptoparaların yaygınlaşması ile uyuşturucu, silah veya çalıntı mal ticaretinin yapılması kolaylaşmaktadır. Raporda bu noktada amaca özel ve kısıtlı kullanıma yönelik özel kriptopara birimlerinin daha sık görülmeye başlanacağının öngörüldüğü belirtilmiş.

Bulut tabanlı suç (Crime-as-a-Service)

Son yıllarda hızla gelişen siber suç dünyasının küresel ölçekte yılda 300 miyar dolardan fazla zarara yol açtığı tahmin edilmektedir. Siber suçlular olarak adlandırdığımız bu grup kendi içerisinde çok farklı özelliklere ve yeteneklere sahip küçük gruplara bölünmüştür. Uzmanlık alanlarının çeşitliği ve farklılığı ise yeteneklerini suç işlemek isteyenlere kiralayan kişi ve grupların ortaya çıkmasına ve yayılmasına neden olmuştur. Bu sayede eskiden çok özel yetenekler gerektiren siber suçları işlemek kiralama yoluyla geniş kitlelerin eline geçmiştir.

Yeraltı forumları

Siber suç dünyası çok büyük ölçüde internet siteleri ve forumlar üzerine kuruludur. Bunlar; siber suçluların tanışmak, tanıtımlarını yapmak, ürün veya hizmet alıp satmak için kullanılan pazar veya toplanma yerleri olarak düşünülebilir.  Forumlar kredi kartları veya hacking gibi belirli bir konuda uzmanlaşmış olabileceği gibi siber suçların tümünü de kapsayacak şekilde daha geniş kapsamlı olabilir. Yakın zaman kadar büyük ölçüde deepweb üzerindeyken (derin internet olarak da bilinen ve internetin endekslenmemiş bölümü) son zamanlarda Darknet’e (Derin internet üzerinde makinelerarası doğrudan paylaşım yapılan küçük ağlar) doğru kaymışlardır. Forumlarda kullanılan altyapı ve yazılımlar gibi forumları işletenlerin uyguladıkları operasyonel prosedürlerin de geliştiği görülmektedir. Darknet üzerinden hizmet eden bu yapılar suç forumları ve yasadışı alışveriş siteleri olarak ikiye ayrılabilir. Forum sitelerinin kendi içlerinde iyi düzenlenmiş bir hiyerarşi içerisinde yönetildikleri dikkat çekmektedir.

Suç Hizmetleri

Siber suç işlemek için ihtiyaç duyulabilecek bileşenlerin bütün veya parçalı olarak kiralanabilir olması suç örgütlerine yepyeni fırsatların kapılarını açarken konusunda uzman siber suçlular ise ihtiyaç duydukları destek hizmetlerini rahatça tedarik edebilir duruma gelmiştir. Suç hizmetleri kapsamında kiralanabilecek bazı bileşenleri aşağıda toparladım.

Altyapı hizmeti

Suç işlemek için siber suçluların kullanacakları altyapının güvenli, gizli ve emniyet güçlerinin erişiminden uzak olması gerekir. Bu kriterlere uyan altyapılar sadece maddi kazanç amacıyla işlenen suçlarda değil, çocuk pornosu dağıtımı veya ideolojik amaçlı işlenen siber suçlar kapsamında da kullanılmaktadır. “Kurşun geçirmez” olarak adlandırılan bu hosting hizmetlerini sağlayanların siber suç dünyasında önemli bir yeri vardır. Korudukları altyapının üzerinde barındırılan siber saldırı araçları, zararlı yazılımlar, zararlı yazılım komuta sunucuları, yasadışı içerik ve çalıntı verilerin suçlular arasında değeri düşünüldüğünde bu hizmetlerin yeraltı satış sitelerinde en çok rağbet gören hizmetlerin başında gelmesi şaşırtıcı değildir. Parasını ödeyen herkesin kiralayabileceği DDoS (dağıtık hizmet dışı bırakma) saldırılarını sağlayan altyapıların da her geçen gün geliştiği görülmektedir.

Veri hizmetleri

Siber suç dünyasının en genel geçer emtiası veridir. Bütün olarak çalınan kredi karı veya kimlik bilgisi gibi veriler yeraltı dünyasında perakende olarak satılır. Siber suçluların ticaretini yaptığı veriler sadece kredi kartı bilgileriyle sınırlı değildir. Websitesi giriş bilgileri, sosyal güvenlik bilgileri, doğum tarihi ve adres gibi bilgiler de alınıp satılmaktadır.

“Kurdukça öde” hizmeti

Zararlı yazılımı dağıtımında popüler olan bu hizmeti sağlayanlar zararlı yazılımı bulaştırdıkları sistem başına para alırlar. Bu hizmeti verenlerin ülke bazında özelleştirilmiş hizmet verdikleri de görülmüştür.

Hacking hizmeti

Basit haliyle e-posta veya sosyal medya hesabı bilgilerinin sızdırılmasını içeren bu hizmet daha hedefli veya ihtiyaca özel olarak da verilmektedir.

Tercüme hizmeti

Siber suçluların yaşadıkları ülke dışında düzenleyecekleri saldırılarda kullanılmak üzere tercümanlık hizmetleri sunulmaktadır.

Para aklama hizmeti

İnternet üzerinden çaldıkları paraları “kullanılabilir” hale getirebilmek için siber suçlular çeşitli para aklama hizmetlerinden faydalanmaktadır.

Zararlı yazılımlar

Siber suçlular tarafından sağlanan hizmetlerden en önemlilerinden birisi de zararlı yazılım tasarımı, geliştirilmesi ve yayılmasıdır. Son yıllarda karşılaşılan zararlı yazılımların teknik olarak çok gelişmiş olmasının yanında bu yazılımları geliştirenlerin 7/24 ulaşılabilir çağrı merkezi gibi profesyonel hizmetleri de vermeye başladıkları görülmüştür.

Exploit kit olarak da adlandırılan yazılımlar bilgisayarları istismar ederek zararlı yazılımların kurulmasını sağlayan araçlardır. Blackhole Exploit Kit (BEK) en başarılı Exploit kit kiralama örneklerinden birisidir. BEK sahte antivirüs dağıtımından cryptolocker türevlerinin dağıtımına kadar geniş bir yelpazede hizmet vermektedir. Windows, MAC ve Linux sürümleri olan bu yazılımı satanlar lisansla birlikte ömür boyu ücretsiz güncelleme de sağlamaktadır.

Gelişen trendler

Siber suç işlemek için ihtiyaç duyulan becerilere olan talebin önümüzdeki yıllarda artarak devam edeceği öngörülmektedir. Darknet’in kullanımının sadece siber suçlular arasında değil, normal suç örgütleri arasında giderek yaygınlaşacağı da bir diğer görüştür. Siber suçlular ise temelde iki ana gruba ayrılabilir, teknik becerisi olmayan veya çok az olan ama sayıca fazla olan grup ve teknik becerileri gelişmiş olan sayıca az olan grup. Önümüzdeki yıllarda, siber suç işlemek için ihtiyaç duyulan hizmetlerin daha kolay kiralanabilir hale gelmesiyle teknik becerisi olmadan siber suç işleyenlerin sayısının artacağı düşünülmektedir.

Ödeme Dolandırıcılığı

2012 yılında Avrupa Birliği genelinde kredi kartı ile yapılan öemelerin toplamı 3,5 trilyon Euro iken aynı yıl suçlular ödeme kartı dolandırıcılığı ile 1,3 milyar Euro kazanç sağlamışlardır. Kartlar üzerinden kaybedilen her Euro’nun maliyetinin 2,79 Euro olduğu düşünülürse kartlar üzerinden işlenen suçların yol açtığı zarar çalınan paradan fazladır. Avrupa genelinde yapılan araştırmalar da Avrupa Birliği ülkelerinin vatandaşlarının %35’inin internet üzerinden kredi kartı ile ödeme yapma konusunda güvensizlik yaşadığını göstermektedir.

Kart üzerindeki manyetik şeritteki bilgilerin bir okuyucu vasıtasıyla çalınması (Skimming) giderek daha az görülen bir suç çeşidiyken kartın fiziksel olarak bulunmadığı alışverişlerde (Card Not Present – CNP) yapılan dolandırıcılıkların giderek arttığı gözlemlenmektedir.

Kart bilgilerinin ticaretinin yapıldığı sitelerde bu konuda gelişmiş bir ekosistem oluştuğu göze çarpıyor. Banka, ülke veya posta kodu gibi özelliklere göre süzüp kart bilgisi satınalınabilen web sayfalarında aynı zamanda kart bilgisi geçerlilik kontrol etme yazılımından banka hesabı açmak için kullanılabilecek sahta kimliklerin satışına kadar geniş bir yelpazede ek hizmetlere ulaşmak da mümkündür. Kartların satıldığı bazı siteler ise kart bilgisi satışından paranın aklanmasına kadar olan süreci uçtan uca tek hizmet olarak sunmaktadır.

Kart bilgilerini çalan grupla bunları paraya çeviren grupların farklı olması ve çoğu zaman farklı ülkelerde faaliyet göstermeleri Emniyet güçlerinin mücadelesini zorlaştıran önemli etkenlerden birisidir. Aşağıdaki çizimde internet üzerinden ve fiziksel olarak kart biligi çalma ve kullanma yöntemlerini basitçe özetledim. 

 İnternet üzerinden kredi kartlarıyla ilgili suç işleyenlere baktığımızda bunların genelde Doğu Avrupa veya Rus kökenli, bilgisayar becerileri oldukça gelişmiş ve geleneksel suç örgütleriyle bağı olmayan kişiler olduğunu görüyoruz. Buna karşın fiziksel olarak kartın üzerinden bilgi çalan kişilerin insan ve uyuşturucu kaçakçılığı da dahil olmak üzere pek çok suçla ilişkilerinin olduğu görülmektedir.

Raporda ele alınan çocuk istismarı, sosyal mühendislik saldırıları, kritik altyapılara yönelik saldırılar gibi başlıkların Emniyet güçleri özelinde daha anlamlı olması nedeniyle, genel okuyucu kitlesini sıkmamak adına, burada ele almayacağım.