Piyon Fırtınası

2014 yılının sonlarında ortaya çıkan ve “Pawn Storm” olarak adlandılan siber casusluk operasyonunda kullanılan yeni bir bileşen ortaya çıktı. Apple mobil cihazlarda kullanılan iOS işletim sistemini hedef alan zararlı yazılım “Pawn Storm” (Tür. “Piyon Fırtınası”) operasyonunun ilk bakışta tahmin ettiğimizden çok daha geniş bir ölçeğe yayılmış olabileceğine de kanıt oluşturabilecek niteliktedir.

“Pawn Storm” Operasyonu

2007 yılından beri yürütüldüğüne dair kanıtlar bulunan siber operasyon dünya genelinde Askeri, Kamu, savunma sanayii ve medya kuruluşlarını hedef almaktadır. A.B.D’li savunma sanayii taşeronu ACADEMI (Eski adıyla Blackwater), Fransa Savunma Bakanlığı, Avrupa Birliği Güvenlik ve İşbirliği Örgütü (Organization for Security and Co-operation in Europe), Pakistanlı üst düzey askeri komutanlar ve Polonya hükümeti şu ana kadar tespit edilebilen hedeflerden sadece bir kaçı. Operasyon kademeli olarak ve birden fazla zararlı yazılım ve/veya güvenlik zafiyeti kullanılarak yürülmektedir.

“Pawn Storm” saldırıları

Saldırıların ilk aşaması seçilen hedefe yönelik özel olarak hazırlanmış bir oltalama (phishing) e-postası yoluyla zararlı yazılımın Microsoft Office formatında bir belge (PDF, Word ve Excel görülmüştür) ile gönderilmesidir.

Aşağıda Irak’ta bulunan Vatikan Büyükelçiliğine gönderilen oltalama e-postası ve ekindeki dosyanın görüntüsü var.

Resim 1: Gelen oltalama e-postası

Resim 2: Zararlı kod çalışırken görülen belge

Bu örnekte ilgili Word belgesinde bulunan zararlı kod Microsoft Office 2003, 2007 ve 2010’u etkileyen CVE-2012-0158 zafiyetini istismar ederek saldırganların bu dosyanın açıldığı bilgisayar üzerinde kod çalıştırmalarını sağlamaktadır.

Aşağıdaki görüntüler ise yine aynı zafiyetin Microsoft Excel dosyaları kullanılarak Pakistan ordusunun üst düzey komutanlarına yönelik saldırıda istismar edildiğini görebiliyoruz.

Resim 3: Gelen başka bir oltalama e-postası

Resim 4: Zararlı kod çalışırken görülen belge

İlk aşamanın sonunda hedef bilgisayarı ele geçiren saldırganlar bu sistemi ikinci aşamada kullanacakları zararlı yazılımı indirmek için kullanıyorlar. İkinci aşamada indirilen yazılım klavye hareketlerini komuta sunucusuna iletmektedir.

Saldırganların sistemi ele geçirmek için kullandıkları zafiyeti kullanarak klavye kaydedici yazılımı indirmemeleri izlerini daha etkili biçimde gizlemelerini sağlamaktadır. Bu durumda ilk aşamada kullanılan zararlı yazılım tespit edilse bile ikinci aşamayla ilgili bilgi sahibi olunamayacağından saldırganların asıl amaçları anlaşılmayacaktır.

Yeni nesil sosyal mühendislik saldırıları

Operasyon kapsamında kullanılan bir diğer önemli saldırı vektörü ise hedef kuruluşların OWA (Outlook Web Access – kuruluş e-postalarına tarayıcı üzerinden ulaşılmasına imkan veren arayüz) erişimleridir.

Saldırganların hedefe gönderdikleri ve popüler savunma sanayi fuarlarını düzenleyen şirketlerden  gelmiş gibi görünen oltalama e-postaları içerisinde zararlı yazılım yok ancak kullanılan yöntem dikkat çekici.

Saldırganların gönderdiği oltalama e-postasını OWA üzerinden bağlanarak açan kurbanların tarayıcılarında çalışan bir Javascript kodu OWA oturumunun sonlandırıldığını ve yeniden parola girilmesi gerektiğini düşündüren bir ekran gösteriyor.

Güvenlik ve savunma teknoloji fuarı Eurosatory konferansının sayfasına (eurosatory.com) benzeyecek şekilde eurosatory2014.com alanadını kullanan saldırganlar yine iki kademeli bir saldırı düzenlemektedir.

İlk aşamada saldırganlar tarafından gönderilen e-posta üzerindeki bağlantıya tıklandığında kurban saldırganların sayfasına yönlendiriliyor ve eşzamanlı olarak yeni bir sekmede Eurosatory (konferansın gerçek sayfası açılıyor).

Diğer sekmede kalan saldırganların sayfası ise hedef kuruluşa özel olarak hazırlanmış bir alanadı üzerinde barındırılan sahte bir OWA giriş sayfası oluyor.

Aşağıda Macaristan Savunma Bakanlığı’nı hedef alan saldırının ekran görüntüsünü bulabilirsiniz.

İkinci sekmede Eurosatory konferansının sayfası açıkken, kullanıcıya OWA oturumunun sonlandırıldığını ve yeniden şifre girmesi gerektiğini düşündürecek sahte OWA sayfası görülmektedir.

Resim 5: Gerçek sayfa

Resim 6: Sahte OWA sayfası (konferans sayfası ikinci sekmede)

Macaristan Savunma Bakanlığı’nın OWA sayfasının adresi mail.hm.gov.hu iken bu saldırıya özel olarak hazırlanmış alanadı mail.hm.qov.hu dur.

Aynı saldırı yönteminin başka fuarlar ve ülkeler için de kullanıldığı tespit edilmiştir.

Mobil cephesi

“Pawn Storm” operasyonu adını saldırıların satrançta kullanılana benzer kademeli taktikleri kullanmasından almaktadır. Bu benzetmeden devam edecek olursak son olarak tespit edilen piyonlar ile oyunun düşündüğümüzden ok daha geniş bir alanda oynandığını söyleyebiliriz.

IOS_XAGENT.A ve IOS_XAGENT.B olarak adlandırılan iki farkı zararlı yazılımın bu operasyon kapsamında Apple iOS işletim sistemini kullanan mobil cihazları hedef almak için geliştirildiği görülmektedir.

Hedef alınan kişinin kullandığı iPhone’a bulaşan zararlı yazılımlar aşağıdaki bilgilere saldırganlara iletebilmektedir:

SMS’ler

Rehberdeki kayıtlar

Fotoğraflar

Konum bilgisi

Yazılımın buna ek olarak sahip olduğu özellikler şunlardır;

Ses kayıt başlatabilme

Yüklü uygulamaların listesini çıkartabilme

Kablosuz ağ bağlantı durumunu görme

Zararlı yazılım bu bilgileri komuta sunucusuna internet bağlantısı (mobil veya kablosuz) iletmektedir.

Zararlıların iOS 7 üzerinde istikrarlı çalışması ve uygulama kapatılsa bile kendini geri açabilmesi gibi özelliklerinin iOS 8 üzerinde verimsiz çalışması nedeniyle ele geçirilen sürümün iOS 8 çıkmadan yazıldığı ve bulaştırıldığı düşünülmektedir.

“Pawn Storm” operasyonunun devam ettiğine dair kanıtlar göz önüne alındığında iOS8 sürümünün çıkmış olabileceğini düşünmek yanlış olmaz.

Zihin haritaları

Düşüncelerinizi ve fikirlerinizi işe yarayacak şekilde kağıda aktarmak zordur. Aklınıza gelenleri alt alta bir kağıda dökmek ilk bakışta mantıklı gelse de aslında beynimizin çalışma biçimine uygun bir yapı olmadığı için, en verimli yöntem değildir.

 Listelerin eksik kaldığı en önemli noktalardan birisi fikirlerimizin birbirleriyle olan bağlantılarının net bir şekilde görülememesidir. Özellikle belirli bir konuda kafa yorarken veya bilgi toplarken “zihin haritası” (ing. Mind Map) kullanmak işinize yarayabilir.

Zihin haritalarının faydalarını ve kullanılabilecekleri alanları aşağıda listeledim.

Zihin haritalarının faydaları:

Verimliliği artırmak

Yaratıcı düşünme yeteneğini geliştirmek

Düşüncelerinizi yapılandırmak

Bilgileri görselleştirmek

Veriyi daha etkin biçimde yönetmek

Zihin haritalarının kullanılabileceği alanlar:

Kişisel bilgileri yapılandırmak

Bilgiyi kayıt altına almak

Hayatınızı yönetmek

Beyin fırtınası yapmak için

Planlama yapmak için

Yönetim becerilerini geliştirmek

Toplantıları  daha verimli hale getirmek için

Sınavlara çalışırken

Ders içeriği hazırlarken

Ezber yaparken

Yukarıdaki iki listeden aklınızda nelerin kaldığını bilmiyorum ama yukarıdaki sıkıcı listeleri zihin haritası haline getirdim. Fark edeceğiniz gibi, aynı bilgileri sunmama rağmen, beyniniz büyük ihtimalle aşağıdaki şekli çok daha kolay algıladı.

Zihin haritaları yapılacak listesi tutmaktan, geliştirdiğiniz bir yazılımın özelliklerini ve projenin hangi aşamasında olduğunuzu takip etmeye kadar her alanda kullanılabilir. Aşağıda örnek olarak hazırladığım bir Barselona seyahati planını görebilirsiniz. Gidiş yolculuğum, dönüş yolculuğum, Barselona'daki Türkiye Cumhuriyeti temsilciliği, Otel bilgileri, göreceğim yerler ve ihtiyacım olabilecek İspanyolca cümleler dahil bütün bilgileri görebilirsiniz. Veriler anlamlı gruplar ve görsel olarak algılayabileceğim bir biçimde karşımda olduğu için uzun bir liste yerine çok daha etkili kullanabildiğim bir bilgi kaynağı haline gelmiştir. 

 Zihin haritalarını günlük olarak müşterilerde takip ettiğim projelerde ve sızma testlerinde bulgu kaybetmediğimden emin olmak için kullanıyorum. Aşağıdaki örnekte sızma testi yaptığım bir ağda, bulguları ekledikçe ortaya çıkan yapıyı görebilirsiniz.

Öncelikle hedef hakkında bildiklerimden başlıyorum. Aşağıda IP adresi bloğunu ve kuruluş ağı üzerinde bulunduğunu tahmin ettiğim sunucuları yerleştirdim. 

İkinci aşamadı IP bloğu üzerinde çalışır durumda olduğunu tespit ettiğim sunucuların IP adreslerini yerleştirdim. Normalde bunları hangi yöntemle (ping, TCP scan, UDP scan, vs.) bulduğumu ve üzerlerinde hangi servislerin çalıştığını (sonraki aşamada da tespit ettiğim zafiyetleri) de zihin haritasına dahil ediyorum. 

Tespit ettiğim DNS sunucularını ekliyorum

Diğer sunucuları tespit ettikçe ekliyorum ve sonuç olarak aşağıdaki haliyle hedef hakkında bir zihin haritası oluşturmuş oluyorum. Bu çalışma hedefin topolojisinin de oluşturulması aşamasında da faydalı olmaktadır. 

Zihin haritalarını çizmek için Freemind yazılımını kullanıyorum (http://freemind.sourceforge.net/wiki/index.php/Main_Page) ihtiyacımı büyük ölçüde karşılıyor. 

İşiniz veya projeniz ne olursa olsun zihin haritalarını kullanarak işinizi daha etkili yapabileceğinize inanıyorum. 

Saldırı Ağacı

1998 yılında Salter tarafından ortaya atılan “Saldırı Ağacı” (ing: Attack Tree) fikri bir sistemin, çeşitli saldırılara karşı güvenliğinin, biçimsel ve metodolojik olarak ortaya konulmasını sağlamaktadır. Türkçe olarak ifade edersek, güvenliğini sağlamaya çalıştığım sisteme “kim ve nasıl saldırabilir?” sorusuna yanıt oluşturacak bir çalışmadır.

Kolay ve hızlı bir çözüm olması nedeniyle Türkiye’de genel olarak kabul gören zafiyet temelli güvenlik yaklaşımından farklı olarak saldırı ağacı veya STRIDE gibi yaklaşımlar kuruluşunuzun bilgi güvenliği seviyesine daha bütünsel bir bakış açısı sağlar.

Zafiyet temelli yaklaşım, kısaca, sistem üzerindeki güvenlik zafiyetlerinin tespit edilmesi (otomatik zafiyet tarama aracı, sızma testi, vb.) ve bunları ortadan kaldıracak veya istismar edilmesini engelleyen gerekli önlemlerin alınması olarak özetlenebilir. Daha Saldırı Ağacı ise sistemde tespit edebileceğimiz zafiyetlerden yola çıkarak güvenliği sağlamaya çalışmak yerine saldırganların amaçlarından yola çıkarak sistemin güvenliğini sağlamaya çalışmaktadır.

Yaklaşımların her ikisinin de eksik kaldığı yerler vardır şüphesiz ancak amacımızın sistemin güvenliğini sağlamak olduğunu düşünürsek sadece zafiyetlerden yola çıkarak tam bir sonuç elde etmemizin mümkün olamayacağı görüşündeyim.

Saldırı ağacını hazırlamak

Güvenliğini sağlamaya çalıştığımız sistem için bir saldırı ağacı hazırlamak için aşağıdaki adımları izleyebiliriz;

• Ağacın köküne karar verin
• Dalları belirleyin
• Bütünlük açısından değerlendirin
• Ağacı “budayın” (fazlalıkları atın)
• Sunum

Ağacın kökü

Genel olarak ağacın kökünü saldırganın hedefi oluşturacaktır. Aşağıdaki basit örnekte ağacın kökünü oluşturan ve saldırganın hedefi olabilecek olay “ofisten laptop çalmak” olarak belirlenmiştir. (baştan söylemekte fayda olabilirdi tabii, saldırı ağacı ters duruyor). Görüldüğü gibi saldırganın amacına ulaşmak için kullanabileceği yöntemler belli bir akış içerisinde ortaya konmaktadır.

Dallar

Saldırı ağacının diğer bileşenlerini tespit etmek için “beyin fırtınası” yapılıp aklımıza gelenleri sırayla yazabiliriz. Bazı önemli noktaları gözden kaçırmamıza neden olabileceği için bu tavsiye edeceğim bir yöntem olmaz. Kök sebep ve alt bileşenler arasındaki geçiş VE veya VEYA anlamında olabilir. Yukarıdaki örnekte bağlantılar VEYA anlamındadır ve saldırganın kullanabileceği çeşitli yöntemler listelenmiştir. Bağlantıları VE olarak oluşturmak saldırganın birden fazla araca ihtiyaç duyacağı durumların ortaya konuşması için daha etkili olacaktır.

Alt bileşenleri ortaya çıkartmak için saldırganın amacından yola çıkıp ihtimal dahilinde olan her saldırı vektörünü listeleyip sonrasında bir alt kademeye geçmek daha uygun olacaktır.

Bütünlük değerlendirmesi

Ağacın ilk hali ortaya çıktıktan sonra her bileşeni “bu sonuca ulaşabilecek başka bir yol var mı?” sorusu ile tekrar değerlendirmek faydalı olacaktır. İlk çalışmadan gözden kaçabilecek bazı saldırı vektörleri de bu şekilde ortaya çıkar. Sonuçların yanında saldırı yöntemlerinin ve saldırganların da tekrar değerlendirilmesi gerekecektir. Bu sayede saldırı ağacını farklı bilgi ve beceri seviyesine sahip saldırganlara karşı da etkili hale getirme imkanımız olacaktır.

Ağacı budayın

Çalışma tamamlandıktan sonra dalları ele alıp bu saldırıya karşı bir önlem alındı mı? Bu saldırı veya sonuç başka bir dalda ele alınmış mı? Gibi soruların cevaplarını arayarak gereksiz veya tekrar eden durumlar çalışmadan çıkartılabilir.

Sunum

Ele aldığınız sistem ne olursa olsun saldırı ağacının bir sayfadan uzun olmamasında yarar var. Bu sayede, amacımız olan, saldırıları anlaşılır ve kolay algılanır şekilde göz önüne serme işini gerçekleştirmiş oluruz. Sayfalarca devam eden bir saldırı ağacı ile, saldırganın kök amacını göremeyeceğimiz için, etkin bir sonuç elde etmemiz zorlaşacaktır. Bu durumla karşılaşılması halinde çalışmayı daha küçük birimlere ayırıp aynı sistemin farklı bileşenleri için ayrı saldırı ağaçları hazırlanması daha iyi olacaktır.

Saldırı ağacının anlamlandırılması

Korumaya çalıştığımız sisteme karşı düzenlenebilecek saldırıları listelemek iyi bir çalışma olacaktır ancak tek başına savunmamızı nasıl tasarlamamız gerektiği konusunda bilgi veremez. Diyelim ki saldırı ağacımızı ortaya çıkarttık ve bu sene bilgi güvenliği için 100.000 TL bütçe ayırdık. Bu çalışma bize hangi yatırımları yapmamızın daha faydalı olacağı konusunda bilgi vermez. Güvenlik seviyemizi nasıl iyileştirmemiz gerektiği konusunda bir fikir edinebilmek için saldırı ağacına bazı değerler atamakta fayda var.

Saldırı ağacını anlamlandırmak için kullanılabilecek çeşitli yöntemler arasında, bu yaklaşımı bilgi güvenliği alanına 1999 yılında tanıtan Bruce Schneier’in ele aldıkları hala geçerliliklerini korur.

Saldırıların maliyetlerini kullanmak: Saldırıyı düzenlemek için saldırganın ihtiyaç duyacağı kaynaklar söz konusunu saldırın gerçekleşme ihtimalini etkileyecek bir unsurdur. Biraz önceki bütçemize dönersek 100.000TL ile gerçekleşme ihtimali düşük ve 300.000TL kaynak gerektirecek saldırılara karşı tedbir almaya çalışmak yerine, saldırı ağacında bulunan ve çok daha düşük maliyetli saldırılara karşı tedbir almak daha mantıklı olacaktır. Bu yaklaşımı etkin bir şekilde kullanabilmek için saldırgan profillemesinin dikkatlice ve detaylı olarak yapılması önemlidir. Saldırıyı düzenlemek için gerekli 300.000TL’lik yatırım sıradan saldırganlar için büyük bir tutarken, başka devletler için önemsiz ve kolayca harcanabilecek bir paradır.

Hedef sistem değerini kullanmak: Savunmayı korumaya çalıştığımız sistemlerin değerine göre belirlemek yatırımlarımızı en kıymetli varlıklarımızı koruyacak şekilde yapmamızı sağlar.

Bütüncül yaklaşımın önemi

Yukarıda gördüğümüz laptop çalma konusunu zafiyet taraması veya sızma testi yaklaşımıyla ele alırsak yapacağımız araştırma bize kapıdaki kilidin matkapla delinebileceğini gösterebilirdi (sarı olarak işaretlediğim kutu). Biz de buna karşılık matkapla delinmeyen veya delinde bile kapının açılmasına imkan vermeyen bir kilitle değiştirilmesini önerebilirdik. Bu durumda işimizi çok iyi yapmış ve zafiyeti ortaya çıkartmış olmamıza rağmen bütün olası saldırılar arasında sadece 1 tanesini ortaya çıkartmış oluruz.

Saldırı ağacı gibi bütüncül modeller bilgi güvenliği seviyemize daha geniş bir açıdan bakmamıza imkan verdiği için güvenlik seviyemizin durumu hakkında daha anlamlı bilgiler vermektedir.

Mart ayının sonuna kadar benimle temasa geçecek Kamu kurumları (Bakanlıklar, Askeri kurumlar, Emniyet Teşkilatı, Müsteşarlık ve Genel Müdürlükler) için ücretsiz olarak temel saldırı ağacı çalışmalarını yapacağım. Bu çalışmanın mevcut güvenlik seviyemizin bir röntgenini de çekmemize imkan sağlayacağı için faydalı olacağına inanıyorum. 

Emre bir gönderide etiketlendi

Facebook saldırganlar tarafından sıkça kullanılan bir saldırı vektörüdür. Dünyanın her yerinde yüz milyonlarca kişinin “paylaşım” yaptığı bir ortam herkes için iştah açıcı olacaktır.

Profesyonel merak da diyebilirsiniz, yersiz risk almak da ama “tamam, tıklamayayım ama tıklarsam ne olur?” diyerek bu tuzaklardan birine atladım.

 Hollywood filmlerinde olduğu gibi saldırganın bakış açısından bir senaryo dahilinde ele alırsak “operasyon” şöyle gerçekleşiyor.

Yazının konusu olmadığı için tuzağın nasıl kurulduğunu ele almayacağım, sadece benim gördüğüm haliyle ekran görüntüsünü paylaşacağım.

Adım 1: Olta 

Arkadaşım Emre bir gönderide etiketlenmiş. Gönderiye konu fotoğrafın “kompozisyonu” erkek Facebook kullanıcılarının dikkatini çekebilecek şekilde hazırlanmış.

Adım 2: Kapan

Emre’nin gömlek düğmelerini iliklemeyi unutmuş bu ablanın olduğu videoda ne gibi bir rolü olabileceğini merak ettiğim için tıklıyorum ve aşağıdaki ekrana geliyorum.

Bu ekranda bir kaç nokta dikkatimizi çekiyor: 

Artık Facebook’ta değilim. Facebook gibi görünen bu site aslında www(.)videotr(.)me (DİKKAT: ziyaret etmeyin) sitesi.

Videotr(.)me sitesinin sahibine ulaşmak için birkaç sorgu yapıyorum ancak alanadı sahibi bilgileri gizli. Bu sitenin nasıl bir ekosistemin parçası olduğunu anlamak için Bing arama motorunun bir özelliğini kullanıyorum. Bing arama motoru üzerinde “ip:” operatörü ile yapılan aramaların sonucunda aynı IP adresinden yayın yapan ve Bing tarafından endekslenen siteleri bulabiliyoruz.

Göreceğiniz üzere bazı “ilginç” alanadları da aynı IP adresini ve büyük ihtimalle aynı hosting şirketini kullanıyor.

Burada dikkatimizi en çok çekenler;

Cotton-panty: erotik site.

Alfasro: Site başlığı Silkroad sunucusu olduğunu söylüyor. Silkroad "derin internet" olarak da bilinen internetin karanlık tarafında uyuşturucu, silah ve çocuk pornosu gibi konularda ticaret yapmak için kullanılan bir ortamdır. Bu sunucu gerçekten bu sistemin bir parçası mı? yoksa "derin internet" konusunda meraklı birkaç kurban bulmak için mi hazırlanmış emin olamadım. 
Düzeltme: Bildirdiği güvenlik zafiyetleri ile Yandex şeref listesine (Yandex Hall of Fame https://yandex.com/bugbounty/hall-of-fame/2014/11/) giren Gökmen Güreşçi'den gelen bilgi üzerine: Silkroad diye bir oyun varmış, onunla ilgili bir sunucu olabilirmiş. Gökmen Güreşçi'ye teşekkür ederim. 

Candyhile: Popüler Candy Crush oyununa hileleri yayınladığını iddia ediyor.

Kurtalankilim: Anadolu kaplanı sitesi gibi duruyor. Bunların arasında ne işi var anlam veremedim. Ucuz hosting bulmanın verdiği mutlulukla acaba komşularını çok sorgulamadan şirket sitesini buraya mı taşımış?

Taşıdıkları risk nedeniyle sitelerin hiç birini ziyaret etmedim, sizin de ziyaret etmenizi önermem.

Adım 3: Saldırı

Yönlendirildiğim sahte Facebook ekranında tamamı düğmesini tıkladığımda, aşağıda görüldüğü gibi bir yazılım bilgisayarıma iniyor.

Tersine mühendislik ve zararlı yazılım analizi konusunda bir iddiam yok, o işi Mert Sarıca ve Emre Tınaztepe uzmanlara bırakıyorum, bu konuya ilginiz varsa her ikisini de takip etmenizi öneririm. Bu nedenle bunun ne olduğunu analiz etmek için internette ücretsiz olarak bu işi yapan siteleri kullanıyorum. 

İlk test olarak indirilen yazılımı VirusTotal sitesine yükledim. Sonuç aşağıdaki gibi oldu;

Virustotal’de çalışan toplam 56 antivirüs yazılımı arasında sadece 17 tanesi bu zararlıyı tespit edebildi. Bilgisayarınızda güncel ve lisanslı bir antivirüs yazılımı olmasının neden önemli olduğuna dair önemli bir göstergedir. Bu zararlıyı tespit edemeyen 39 antivirüsten birini kullanmanız durumda faydası olmayacağını unutmamak lazım. Antivirüs kullanacağız ama sağduyumuzu da elden bırakmayacağız. 

Bu zararlı yazılımın tam olarak ne yaptığı konusunda da kabaca bir fikir sahibi olmak dosyayı bir de Malwr sitesine yükledim.

Aşağıdaki ekranlarda görülüğü üzere zararlı yazılım klavye ve fare hareketlerini kaydediyormuş.

Adım 4: Parayı kazanmak

Kurbanların kullanıcı bilgileri (sitelerde ve uygulamalarda kullandığınız kullanıcı adı ve parola bilgileri) ve kredi kartı bilgileri saldırgana iletiliyor.

Güncelleme: Bu yazıyı yayınladıktan 1-2 saat sonra aynı "gönderide" çok farklı bir arkadaş çevremden birinin daha etiketlendiğini gördüm. Bu zararlı yazılımın hızla yayıldığına bir kanıt oluşturabilir. Bir diğer yandan da son gönderide etiketlenenlerden birinin çalıştığı kurumu görünce, bu zararlı yazılımın şirket veya kurum içerisinde Facebook kullanımına izin veren yerlerde de görülebileceğini ve devlet sırrı / ticari sır kaybına neden olabileceğinden şüphelenmeye başladım (kurum adına dikkatinizi çekerim).

Facebook gibi sosyal medya araçlarının kullanımında “uyanık” olmak gerektiğine dair güzel bir örnek oluşturan bu saldırı konusunda çevremizdekileri ve özellikle çocuklarımızı bilgilendirmek önemlidir.