Uzak masaüstü bağlantısı uygulamasının kısaltması olan RDP, çalışanların Windows tabanlı şirket bilgisayarlarına, kaynaklara ve hizmetlere uzak erişimini sağlıyor. Birçok uzak erişim hizmetinde olduğu gibi, RDP kullanıcıları arasında da basit parola kullanımı yaygın. Bu da kaba kuvvet (brute-foce) saldırılarıyla parola tahminini kolaylaştırıyor ve sistem erişiminin ele geçirilmesine sebep oluyor.
Ele geçirilen veriler 10 dolara satılıyor
Kaspersky’nin güncel araştırması mart ayından bu yana RDP kullanımındaki artışa paralel olarak, ağ saldırılarının sayısının 1,5 milyon arttığını ortaya koyuyor. Araştırma, bir uzak erişim sağlayıcısı olan USA RDP’ye yönelik saldırıların da üç katına çıktığını gösteriyor.
Bir başka güvenlik şirketi olan McAfee ise çalışanlara ya da şirket kaynaklarına ait kimlik bilgilerinin karanlık web ve hacker forumlarında ortalama 10 dolar ücretle satıldığını açıkladı.
Ele geçirilen RDP giriş bilgileri, sistemlere zararlı yazılım yükleme, kritik iş verilerini çalma, ağı inceleyerek yeni saldırı noktaları oluşturma gibi amaçlarla kullanılabiliyor.
Yeni bir tehdit konsepti: ‘Çifte şantaj’
Üstelik, tek saldırı türü, arka arkaya parola deneyerek kullanıcı erişim bilgilerini bulmayı sağlayan brute-force da değil. Son dönemde sık duyduğumuz fidye saldırılarının yeni bir türü olan ‘çifte şantaj’ (double extortion) da, kurumlara veri hırsızlığına kıyasla daha büyük zarar verebiliyor.
Çifte şantaj, iki farklı tehdidi birleştiriyor. İlki, verilerin şifrelenip, kullanılamaz hale getirilmesi. Hacker’lar belirli bir fidye karşılığında bu şifrenin anahtarını vermek ve verileri tekrar kullanılabilir hale getirmeyi teklif ediyorlar. Bunun için belirli bir süre vererek, istedikleri fidye kendilerine verilmezse, verileri silmekle tehdit ediyorlar.
İkinci tehdit ise, bu verilerin satışa çıkartılması. Çalınabilecek iş verileri arasında ticaret sırları, patentler, teklifler gibi kritik iş verilerinin olma ihtimali düşünülürse, şirketlerin karşı karşıya kalabileceği zorluk daha iyi anlaşılıyor.
Üstelik ilk tehditten sık alınan veri yedekleri ile kurtulmak mümkünken, ikinci tehdidin kurbanı olmaktan kaçmak çok daha güç.
VPN ile tüm iletişim takip edilebiliyor
Koronavirüs, insan sağlığındaki gibi doğrudan şekilde olmasa da dolaylı bir yoldan, kurumsal güvenlik açısından da tehdit ortaya çıkmasına sebep oldu. Uzaktan çalışma modeli, şirketlerin çalışma modelinin keskin bir dönüşüm yaşamasına sebep olurken, hacker’lar da deyim yerindeyse bayram ettiler, çünkü çalışanlar kurumsal ağlardaki güvenlik kalkanlarının dışına çıktılar.
Elbette bu süreçte çalışma biçimlerini değiştiren sadece sıradan çalışanlar olmadı. Hacker’lar da bugüne kadarki fırsatçı modelden, daha hedefli bir yaklaşıma doğru yöneldiler. Hedeflerini seçerek, internete açık, zayıflıkları olan sistemleri tespit edip, bunlara saldırmaya başladılar. Böylece sisteme girip, zararlı yazılım ya da araçları burada yayarak, tüm kurumu etkileri altına alabiliyorlar.
Kurumlar hem iletişimi şifreleyen hem de belirli bir ölçüde güvenlik sağlayan Sanal Özel Ağ (VPN) bağlantılarından faydalanıyorlar. Son bir sene içindeki saldırılara bakınca neredeyse her küresel büyük VPN sağlayıcının bir kez hacker’lar yüzünden sıkıntıya düştüğünü görmek mümkün.
VPN, doğrudan internete açık olduğundan ve iç kaynakların bulunduğu ağa da erişmek için kullanıldığından, hacker’lar için etkili hedeflerden birisi haline geldi.
Oltalama saldırıları can yakmaya devam ediyor
Kurumların kaynaklarını dışarıya açmak zorunda kalmaları, saldırı yüzeyini ciddi anlamda genişletti. Ancak dışarıdan gelebilecek tehditler, sadece teknik boyutla sınırlı değil, işin bir de sosyal boyutu var. Hatta güvenlik dünyası, yapay zeka ve makine öğrenimi sayesinde tehditlerin ötesinde, kötü niyeti algılama üzerinde kendini geliştirirken, insan faktörünün altını çizmekten bir hal oldu desek yeridir.
Zira yakın geçmişe baktığımızda, bugün artık herkesin aşina olduğu bazı siber saldırıların arkasında insan faktörü yatıyor. Sosyal mühendislik kimi zaman birebir iletişim, kimi zaman da e-posta gibi teoride herkese açık kanallar üzerinden kullanılarak, iyi niyetli bir alışverişten kurban devşirilebiliyor.
Oltalama adı verilen phishing saldırıları, bir bankanın parola yenileme ekranı gibi tehlike dolu olabilecek bir potansiyelde olabileceği gibi, hiç şüphe yaratmayacak kadar basit bir kişisel bilgiyi almak üzerine kurulu herhangi bir başka şey de olabilir. COVID döneminde, konuyla ilgili birçok içerik de e-posta, sosyal medya gibi kanallar üzerinden oltalama saldırılarında kullanıldı.
Keepnet Labs’in 410 bin e-postayı analizi sonucu hazırladığı son raporu, her 8 kişiden 1’inin saldırganların istediği bilgiyi paylaştığını ortaya koyuyor. Her iki çalışandan biri oltalama e-postalarını okurken, üç çalışandan biri içerikteki eklentileri açıyor ya da bağlantılara tıklıyor. Hâl böyle olunca da, geçen yıl 4,1 milyar veri kaydı sızdırılması ve her sızıntının ortalama 3,92 milyon dolarlık zarar vermesi şaşırtıcı değil, ancak korkutucu.
Rapor, siber saldırılara en açık sektörlerin danışmanlık, giyim ve aksesuar, eğitim, teknoloji ve holdingler olduğunu belirtirken, sırasıyla hukuk, denetleme, iç denetim, satın alma, yönetim, kalite yönetimi ve sağlık gibi departmanların etkilendiğini ortaya koyuyor.
Tüm bunlardan etkilenmemek için bir adım geriye çekilip, iyi bir korunma stratejisi belirlemenin ve teknik önlemler almanın yanı sıra, kurumların çalışanlarına siber güvenlik kültürü aşılamaları ve bu konularda çalışanların bilgilerini taze tutabilmeleri gerekiyor. Yoksa ya yapay zekanın kabiliyetlerinin bizim için e-postaları kontrol edecek kadar artmasını beklemek gerekecek ya da bu giderek büyüyen zararı karşılamaya razı olmak…
Aytun Çelebi, Gazeteci
Yorumlar