ݺߣ

ݺߣShare a Scribd company logo
SPARTA BİLİŞİM
2020'n n lk yarısında
OLTALAMA SALDIRILARI
Oltalama (Kimlik avı) saldırıları COVID-19 salgını sırasında
neredeyse iki katına çıktı.
Toplam sahte web sayfası sayısının yüzde 46'sını kimlik avı için
açılan siteler oluşturdu.
Group-IB tarafından 2020 yılının ilk yarısını ele alan raporda
COVID-19 salgını sırasında çeşitli çevrimiçi hizmetleri
hedefleyen oltalama saldırılarının neredeyse iki katına çıktığı
görüldü.
Rapora göre fidye yazılımı saldırılarının birinciliğini elinden alan
oltalama (kimlik avı) saldırıları ilk sıraya yerleşti.
OLTALAMA SALDIRILARI İKİ KATINA ÇIKTI
SPARTA BİLİŞİM | www.sparta.com.tr
ANALİZ EDİLEN
HER 3 E-POSTADAN
1 TANESİ OLTALAMA
SALDIRISI ÇIKTI
CERT-GIB tarafından analiz edilen e-postaların %1’i zararlı
yazılım içerirken, her üç e-postadan bir tanesinin siber
saldırganlar tarafından kullanıcı bilgileri, kredi kartı ya da banka
giriş bilgileri veya diğer hassas verileri çalmak üzere hazırlanmış
olduğu tespit edildi.
Siber saldırganların bu verileri elde ettikten sonra dark web’de
satışa sunmak ya da veri sahiplerine şantaj yapmak gibi
yöntemler ile ciddi gelir elde ettiği biliniyor.
SPARTA BİLİŞİM | www.sparta.com.tr
ANALİZ EDİLEN E-
POSTALARIN %43’Ü
CASUS YAZILIM
BARINDIRIYOR
2020’nin ilk yarısına ait raporda analiz edilen e-postaların %43’ü
spyware (casus yazılım) ya da zararlı yazılımları indirmek için
eklenmiş bağlantılar barındırıyor. Arka kapı ve bankacılık
trojanları ise ikinci ve üçüncü sırada yer alıyor.
SPARTA BİLİŞİM | www.sparta.com.tr
FİDYE YAZILIMLAR
TEKİL KULLANICILARI
DEĞİL KURULUŞLARI
HEDEFLİYOR
Fidye yazılımlar 2019 yılının ikinci yarısında en yüksek seviyesine ulaşmıştı.
Neredeyse her dakika bir fidye yazılım saldırısı düzenlendiği düşünüldüğünde
2020 yılının ilk yarısındaki verilere ait raporda bu zararlı yazılımların neredeyse
kaybolarak %1 gibi bir seviyeye düşmesi şaşırtıcı oldu.
Bu düşüşte önemli bir faktörün etkili olduğu düşünülüyor: Saldırganlar bireysel
kullanıcıları hedef aldıkları ve herkese aynı şekilde gönderdikleri e-postalar
yerine kendilerine hedef kuruluşlar belirleyerek bunlara saldırmaya başladı.
Saldırganlar kuruluşlara saldırırken tek bir kişinin bilgisayarına zararlı yazılım
bulaştırmak yerine ağda yanal olarak hareket ederek sistemde yetkilerini artırma
ve olabildiğince fazla sistem ve cihaza bulaşarak fidye yazılımı dağıtma
yöntemini benimsedi.
SPARTA BİLİŞİM | www.sparta.com.tr
SALDIRILARDA EN ÇOK
HANGİ ARAÇLAR
KULLANILDI?
İzlenen saldırılarda en çok kullanılan araçlar aşağıdaki gibi:
- Bankacılık Truva Atı RTM (% 30),
- Casus yazılım LOKI PWS (% 24),
- Casus yazılım AgentTesla (% 10),
- Keylogger ve kullanıcı bilgisi çalma zararlı yazılımı Hawkeye (% 5)
- Trojan ve kullanıcı bilgisi çalma zararlı yazılımı Azorult (% 1)
Yılın ilk yarısında tespit edilen yeni araçlar ise şöyle:
- Açık kaynak tabanlı bir uzaktan erişim aracı olan Quasar,
- Kullanıcıların oturum açma kimlik bilgilerini çeşitli uygulamalardan çalan casus
yazılım Gomorrah,
- Malware as a Service (Zararlı yazılım hizmeti) olarak dağıtılan ve kullanıcı
verilerini toplamaya yarayan bir yazılım olan 404 Keylogger
SPARTA BİLİŞİM | www.sparta.com.tr
ZARARLI YAZILIMLAR
NASIL
BULAŞTIRILDI?
Zararlı yazılımların yaklaşık %70’i web sayfaları aracılığıyla, %18'i ofis belgeleri
(.doc, .xls ve.pdf dosya uzantılarıyla), % 14'ü yürütülebilir dosyalar ve komut
dosyaları olarak bulaştırıldı.
SPARTA BİLİŞİM | www.sparta.com.tr
SSL SERTİFİKALI
OLTALAMA SALDIRI
SİTELERİ
2020’nin ilk 6 ayında engellenen oltalama web sayfalarının bir önceki yılın aynı
aylarına göre %9 arttığı ve güvenli kabul edilen SSL/TLS bağlantısı kullanan
sayfaların iki katı artarak %33’ten %69’a çıktığı görülebiliyor.
Kullanmakta olduğumuz tarayıcıların çoğu SSL / TLS bağlantısı olmayan web
sitelerini tehlikeli olarak etiketlediği için saldırganların düzenledikleri kimlik avı
saldırılarını daha inandırıcı hale getirebilmek üzere sertifika kullanımına geçtiği
anlaşılıyor.
Tarayıcılarda gördüğümüz kilit işareti ve “bağlantı güvenli” yazısının kullanıcılar
tarafından yanlış anlaşılması saldırıların etkisini artırmak için kullanılıyor.
SPARTA BİLİŞİM | www.sparta.com.tr
PANDEMİ DÖNEMİ
HEDEFLER
2019’un ikinci yarısında olduğu gibi 2020’nin ilk 6 ayında da e-ticaret web siteleri gibi
çevrimiçi hizmetler kimlik avı saldırılarında ana hedef oldu. COVID-19 salgını nedeniyle
çevrimiçi hizmetlerde ciddi bir artış olurken bu alandaki oltalama saldırılarında da
%46’lık bir artış oldu.
E-ticaret sitelerinin çekiciliği, saldırganların kullanıcı bilgilerini çalarak kullanıcı
hesaplarına bağlı banka kartlarının verilerine de erişim sağlamasıyla açıklanabilir.
İkinci sırada ise e-posta hizmet sağlayıcıları %24’lük bir orana sahip. Bunu finans
kuruluşları %11 ile izliyor.
Kimlik avı saldırısının en sık yapıldığı diğer kategoriler: ödeme hizmetleri, bulut
depoları, sosyal ağlar ve eş bulma siteleri olarak sıralanıyor.
SPARTA BİLİŞİM | www.sparta.com.tr
Kaynak: Bu doküman hazırlanırken https://www.group-ib.com/media/ransomware-vs-malicious-emails/ adresi kaynak olarak kullanılmıştır.
SPARTA BİLİŞİM | www.sparta.com.tr

More Related Content

2020'nin ilk yarısında Oltalama (Phishing) Saldırıları

  • 1. SPARTA BİLİŞİM 2020'n n lk yarısında OLTALAMA SALDIRILARI
  • 2. Oltalama (Kimlik avı) saldırıları COVID-19 salgını sırasında neredeyse iki katına çıktı. Toplam sahte web sayfası sayısının yüzde 46'sını kimlik avı için açılan siteler oluşturdu. Group-IB tarafından 2020 yılının ilk yarısını ele alan raporda COVID-19 salgını sırasında çeşitli çevrimiçi hizmetleri hedefleyen oltalama saldırılarının neredeyse iki katına çıktığı görüldü. Rapora göre fidye yazılımı saldırılarının birinciliğini elinden alan oltalama (kimlik avı) saldırıları ilk sıraya yerleşti. OLTALAMA SALDIRILARI İKİ KATINA ÇIKTI SPARTA BİLİŞİM | www.sparta.com.tr
  • 3. ANALİZ EDİLEN HER 3 E-POSTADAN 1 TANESİ OLTALAMA SALDIRISI ÇIKTI
  • 4. CERT-GIB tarafından analiz edilen e-postaların %1’i zararlı yazılım içerirken, her üç e-postadan bir tanesinin siber saldırganlar tarafından kullanıcı bilgileri, kredi kartı ya da banka giriş bilgileri veya diğer hassas verileri çalmak üzere hazırlanmış olduğu tespit edildi. Siber saldırganların bu verileri elde ettikten sonra dark web’de satışa sunmak ya da veri sahiplerine şantaj yapmak gibi yöntemler ile ciddi gelir elde ettiği biliniyor. SPARTA BİLİŞİM | www.sparta.com.tr
  • 5. ANALİZ EDİLEN E- POSTALARIN %43’Ü CASUS YAZILIM BARINDIRIYOR
  • 6. 2020’nin ilk yarısına ait raporda analiz edilen e-postaların %43’ü spyware (casus yazılım) ya da zararlı yazılımları indirmek için eklenmiş bağlantılar barındırıyor. Arka kapı ve bankacılık trojanları ise ikinci ve üçüncü sırada yer alıyor. SPARTA BİLİŞİM | www.sparta.com.tr
  • 8. Fidye yazılımlar 2019 yılının ikinci yarısında en yüksek seviyesine ulaşmıştı. Neredeyse her dakika bir fidye yazılım saldırısı düzenlendiği düşünüldüğünde 2020 yılının ilk yarısındaki verilere ait raporda bu zararlı yazılımların neredeyse kaybolarak %1 gibi bir seviyeye düşmesi şaşırtıcı oldu. Bu düşüşte önemli bir faktörün etkili olduğu düşünülüyor: Saldırganlar bireysel kullanıcıları hedef aldıkları ve herkese aynı şekilde gönderdikleri e-postalar yerine kendilerine hedef kuruluşlar belirleyerek bunlara saldırmaya başladı. Saldırganlar kuruluşlara saldırırken tek bir kişinin bilgisayarına zararlı yazılım bulaştırmak yerine ağda yanal olarak hareket ederek sistemde yetkilerini artırma ve olabildiğince fazla sistem ve cihaza bulaşarak fidye yazılımı dağıtma yöntemini benimsedi. SPARTA BİLİŞİM | www.sparta.com.tr
  • 9. SALDIRILARDA EN ÇOK HANGİ ARAÇLAR KULLANILDI?
  • 10. İzlenen saldırılarda en çok kullanılan araçlar aşağıdaki gibi: - Bankacılık Truva Atı RTM (% 30), - Casus yazılım LOKI PWS (% 24), - Casus yazılım AgentTesla (% 10), - Keylogger ve kullanıcı bilgisi çalma zararlı yazılımı Hawkeye (% 5) - Trojan ve kullanıcı bilgisi çalma zararlı yazılımı Azorult (% 1) Yılın ilk yarısında tespit edilen yeni araçlar ise şöyle: - Açık kaynak tabanlı bir uzaktan erişim aracı olan Quasar, - Kullanıcıların oturum açma kimlik bilgilerini çeşitli uygulamalardan çalan casus yazılım Gomorrah, - Malware as a Service (Zararlı yazılım hizmeti) olarak dağıtılan ve kullanıcı verilerini toplamaya yarayan bir yazılım olan 404 Keylogger SPARTA BİLİŞİM | www.sparta.com.tr
  • 12. Zararlı yazılımların yaklaşık %70’i web sayfaları aracılığıyla, %18'i ofis belgeleri (.doc, .xls ve.pdf dosya uzantılarıyla), % 14'ü yürütülebilir dosyalar ve komut dosyaları olarak bulaştırıldı. SPARTA BİLİŞİM | www.sparta.com.tr
  • 14. 2020’nin ilk 6 ayında engellenen oltalama web sayfalarının bir önceki yılın aynı aylarına göre %9 arttığı ve güvenli kabul edilen SSL/TLS bağlantısı kullanan sayfaların iki katı artarak %33’ten %69’a çıktığı görülebiliyor. Kullanmakta olduğumuz tarayıcıların çoğu SSL / TLS bağlantısı olmayan web sitelerini tehlikeli olarak etiketlediği için saldırganların düzenledikleri kimlik avı saldırılarını daha inandırıcı hale getirebilmek üzere sertifika kullanımına geçtiği anlaşılıyor. Tarayıcılarda gördüğümüz kilit işareti ve “bağlantı güvenli” yazısının kullanıcılar tarafından yanlış anlaşılması saldırıların etkisini artırmak için kullanılıyor. SPARTA BİLİŞİM | www.sparta.com.tr
  • 16. 2019’un ikinci yarısında olduğu gibi 2020’nin ilk 6 ayında da e-ticaret web siteleri gibi çevrimiçi hizmetler kimlik avı saldırılarında ana hedef oldu. COVID-19 salgını nedeniyle çevrimiçi hizmetlerde ciddi bir artış olurken bu alandaki oltalama saldırılarında da %46’lık bir artış oldu. E-ticaret sitelerinin çekiciliği, saldırganların kullanıcı bilgilerini çalarak kullanıcı hesaplarına bağlı banka kartlarının verilerine de erişim sağlamasıyla açıklanabilir. İkinci sırada ise e-posta hizmet sağlayıcıları %24’lük bir orana sahip. Bunu finans kuruluşları %11 ile izliyor. Kimlik avı saldırısının en sık yapıldığı diğer kategoriler: ödeme hizmetleri, bulut depoları, sosyal ağlar ve eş bulma siteleri olarak sıralanıyor. SPARTA BİLİŞİM | www.sparta.com.tr
  • 17. Kaynak: Bu doküman hazırlanırken https://www.group-ib.com/media/ransomware-vs-malicious-emails/ adresi kaynak olarak kullanılmıştır. SPARTA BİLİŞİM | www.sparta.com.tr