Büyük Karantina: COVID-19 siber güvenliği nasıl etkiledi?

Karantinaların başlamasının üzerinden bir yıl geçti. Salgını ve sonuçlarını BT tehditleri prizmasından değerlendiriyoruz.

Mart 2020 tarihine gelene kadar, COVID-19 salgını çoktan 100’den fazla ülkeye yayılmış ve resmi bir şekilde bir salgın olarak tanımlanmıştı. Dünya, bir yıldır bu benzeri görülmemiş virüsle olan savaşına devam ediyor. Hastalığın yayılmasının, bireylerin sağlığı ve tüm ülkelerin ekonomileri üzerindeki bariz etkilerinin yanı sıra, milyonlarca insanın günlük yaşamlarında tetiklediği ani ve köklü değişiklikler de oldu. İş ve eğitim hayatı evlere taşındı; video konferanslar sosyalleşme ve iş toplantılarının yerini aldı. Büyük ölçüde çevrimiçine geçilmesi ile, siber güvenlik konulu endişeler daha da alevlendi.

Ev ofislerde siber güvenlik tehditleri

Muhtemelen iş süreçlerinde yaşanan temel değişiklik, mecburen evden çalışmaya geçiş yapılmasıydı. Nisan 2020 tarihinde yürüttüğümüz global anketimiz, 6.000 katılımcının neredeyse yarısının daha önce hiç evden çalışmadığını gösterdi. Buna rağmen, vakaların %73’ünde işverenler, çalışanlarına kurumsal kaynaklarla internet üzerinden güvenli bir şekilde etkileşim kurulması konusunda herhangi bir özel eğitim vermedi. Bu tür bir eğitim verilmiş olsaydı, insan faktörünün neden olduğu vakaların sayısı azalabilirdi. Kurumsal BT’nin cihazlar, yazılımlar ve kullanıcı faaliyetleri üzerindeki azalan kontrolü, bu konudaki risklerin artmasına yol açtı.

Ev ekipmanları

Şirketlerin birçoğu, çalışanlarına kurumsal ekipman sağlamadı. Bunu yapmak yerine, personellerinin genelde oldukça zayıf şekilde korunan ev cihazlarını kullanarak çalışmalarına ve ofis BT altyapısına bağlanmalarına izin verdiler. Anketimiz, katılımcıların %68’inin kişisel bilgisayarlarını kullanarak evden çalıştığını ortaya koydu. Sonbaharda bir başka çalışma yürüttük ve çalışmamızın sonucunda aynı şekilde çalışan çok daha fazla insan olduğunu tespit ettik. Ankete katılanların yarısından fazlasına (%51) işverenleri tarafından gerekli ekipman sağlanmış olmasına rağmen, katılımcıların yaklaşık %80’inin iş için ev bilgisayarlarını kullandığı görüldü.

Uzaktan çalışan bu kişiler, kişisel cihazlarını ayrıca eğlence, çevrimiçi oyun oynamak (%31) ve film izlemek (%34) için de kullandı. Bununla birlikte, birçok kişi şirket dizüstü bilgisayarlarını ve akıllı telefonlarını istenmeyen amaçlar için de kullandı. Örneğin, ankete katılanların %18’i, bu cihazları yetişkinlere uygun içerikleri görüntülemek için kullandığını belirtti. Siber suçlular, kullanıcıları sahte sitelere çekmeye ve bir film veya kurulum dosyası gibi görünen kötü amaçlı yazılımları kullanıcıların indirmelerini sağlamaya çalışarak çevrimiçi eğlence alanındaki artan ilgiden etkin bir şekilde faydalandılar. Sonbaharda gerçekleştirdiğimiz anketimize katılan kullanıcıların toplamda %61’i torrent sitelerinden yazılım indirdiklerini itiraf etti; %65’i bu tür siteleri müzik için, %66’sı ise filmler için kullandığını belirtti. Uzaktan ölçüm verilerimiz, 2020 baharındaki en popüler hedeflerin Minecraft ile televizyon dizisi olan Stranger Things olduğunu belirledi.

Uzaktan çalışma için güvenli olmayan kanallar

Ofislerde, BT yöneticileri internet kanalının güvenliğini sağlamakla ilgilenir. Ancak çalışanlar evden çalıştıkları zaman, kendi yönlendiricilerini ve ağlarını kuruyorlar; ve bu uygulama ile güvenlik risklerini artırıyorlar.

Tam da bu nedenle, Mart-Nisan 2020 tarihleri arasında, güvenli olmayan RDP bağlantı noktalarına — Windows işletim sistemi ile çalışan bilgisayarlardaki en popüler uzaktan bağlantı protokolü — yönelik saldırıların sayısı Rusya’da on kat, Amerika Birleşik Devletleri’nde ise yedi kat arttı.

İşbirliği araçlarındaki güvenlik açıkları

Çalışanlar ofisteyken belgeleri düzenleyebilir ve toplantılara şahsen katılabilirdi. Uzaktan çalışma dünyasında, video konferans yazılımı ve işbirliği araçlarına olan talep önemli ölçüde arttı. Talepteki bu artış, siber suçluların ilgisini çeken şeylerden biri oldu.

Ancak meşru video konferans yazılımlarında da güvenlik açıkları olduğu keşfedildi. Örneğin, bir yıl önce, Microsoft Teams kurumsal mesajlaşma hizmetinde yer alan ve bir saldırganın bir kuruluştaki tüm hesaplara erişmesini sağlayan bir güvenlik açığı tespit edildi ve ortadan kaldırıldı. Aynı zamanlarda, Zoom for macOS geliştiricileri, yabancıların bir kullanıcının cihazının kontrolünü ele geçirmesine izin veren hataları düzeltti.

Çalışanlar, belgeler üzerinde işbirliği yapmak ve dosya alışverişinde bulunmak için genellikle Google Dokümanlar gibi ücretsiz hizmetlerdeki kişisel hesaplarını kullandılar. Ancak bu hizmetlerde genellikle gizli verilerin korunmasını sağlayacak merkezi haklar yönetimi bulunmuyor.

Saldırganların görüş alanındaki sağlık sektörü

Siber suçlular, salgın sırasında devasa bir yükün altında ezilen sağlık sektöründeki kurumlara, hastanelere ve hatta doktorlara doğrudan saldırmaya çalıştı.

Örneğin, Mart 2020’de ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın (HHS) sunucuları büyük bir DDoS saldırısına uğradı. Aynı ay içerisinde, Çekya’nın en büyük COVID-19 kan testi merkezlerinden biri olan Brno’daki Üniversite Hastanesine ait veri tabanları da bir siber saldırıdan etkilendi. Bu saldırının sonucunda, doktorlar koronavirüs testlerini işleyemedi, üstelik bir dizi cerrahi operasyonu da iptal etti.

İleri düzeydeki siber suçlular ise COVID-19 ile mücadele eden kuruluşları hedef aldı. Lazarus Grubu üyelerinin, Eylül 2020’de koronavirüs aşısı geliştiren bir ilaç şirketine saldırdığına dair kanıtlar bulunuyor; söz konusu olaydan bir ay sonra ise rotalarını benzer bir sağlık hizmetine çevirdiler.

Bu saldırının hedefinde ise hem sağlık kuruluşları hem de bireysel çalışanlar vardı. İngiltere’deki dolandırıcılar ise “ölümcül COVID-19 virüsü” hakkındaki sözde bir seminere kayıt olmalarını teklif ederek e-posta oturum açma bilgilerini ve parolalarını çalma amacıyla sağlık çalışanlarının kandırdı.

Sağlık sektörü sisteminin çalışmaları, tehdidi tahminen anlamış olması öngörülen kişiler tarafından da aksatıldı: bu kişiler, sağlık sektöründeki şirket çalışanlarının ta kendisi. Örneğin, geçtiğimiz yılın baharında, Amerikan bir şirket olan Stradis Healthcare’deki başkan yardımcılığı görevinden ihraç edilen bir adam, işten çıkarılmasının intikamı olarak doktorlara yönelik kişisel koruyucu ekipman tedarik edilmesini birkaç ay boyunca aksamasına neden oldu. FBI’dan alınan bilgiye göre, bu kişi, eski meslektaşlarının çalışmalarını sahip olduğu gizli bir hesabı kullanarak sabote etti. Ocak 2021’de, bu kişinin bir yıl hapis cezasına çarptırıldığı bildirildi.

COVID temalı kimlik avları

Bir yandan dünyanın dört bir yanındaki hükümetler COVID-19 ile mücadele edip işletmeleri ve vatandaşları desteklemek adına önlemler geliştirirken, diğer yandan siber suçlular virüsün yarattığı korkudan ve insanların yardım ihtiyacından faydalanmaya çalıştı. Anketimiz, kullanıcıların dörtte birinin COVID-19 ile ilgili konular hakkında kötü niyetli e-postalar aldığını ortaya koydu.

Müşterilerden ve devlet dairelerinden gelen sahte yazışmalar

Örneğin, dolandırıcılar ABD Hastalık Kontrol ve Önleme Merkezi (CDC) gibi davranarak sahte e-postalar gönderdiler. Gönderilen bu e-postalarda kurbanlardan komşuları arasında yakın zamanda ortaya çıkan koronavirüs vakalarının bir özet doldurarak bildirmeleri istendi; ve bu özeti doldurmaları için, bir bağlantıya tıklamaları, e-posta giriş bilgilerini ve parolalarını girmeleri gerekiyordu. Bu sayede hesap bilgileri suçluların eline geçti.

Karantina dalgası sırasında artan şeylerden bir diğeri ise ürün nakliyesi hakkındaki müşteri talepleri adı altında gizlenen e-postaların sayısı oldu. Saldırganlar güvenilirlik sağlamak amacıyla “COVID-19 kaynaklı lojistik sorunları”ndan şikayet ettiler veya karşı tarafları olan Çinlilerle ilgili yaşadıkları sorunları gerekçe göstererek hızlandırılmış teslimat talep ettiler. Bu mesajların içerisinde genellikle, suçluların virüs bulaşan cihazı uzaktan kontrol etmelerini sağlayan bir Truva atı veya arka kapı içeren bir ek yer alıyordu.

Sahte COVID-19 ödemeleri

Verilerimize göre dolandırıcılar, 2020 yılında geçen yıla göre sosyal yardımlarla ilgili beş kat daha fazla kötü niyetli e-posta gönderdiler. Bu mesajların yine devlet dairelerinden, Uluslararası Para Fonu’ndan ve hatta Dünya Sağlık Örgütü’nden geldiği iddia ettiler.

Klasik senaryo bu defa yeni bir şekilde sunuldu: Kurbana önce tazminat sözü verdiler, ardından ise söz konusu fonları mağdura aktarmak için ondan düşük tutarda bir komisyon talep ettiler.

Siber suçlular, Facebook’un küçük işletmelere bağış yapması ile ilgili yapılan gerçek haberlerden de yararlandı. Habere alıntılayıp popüler sosyal medya platformunun tüm kullanıcılarına söz konusu bağışın yapılacağını duyurdular. Kurbanlardan Facebook kullanıcı adı ve parolalarını, adreslerini, Sosyal Güvenlik numaralarını ve kimlik belgelerinin bir fotoğrafını sağlayarak başvuruda bulunmaları istendi. Tüm bu veriler karaborsada oldukça pahalı bir fiyata sahip.

Kendinizi nasıl koruyabilirsiniz?

Siber suçlular, geçirdiğimiz salgın yılı boyunca aslında yeni bir saldırı planı icat etmediler, bunun yerine COVID-19 temasından aktif olarak faydalandılar. Ayrıca, birçok kişinin iş nedeniyle çevrimiçi ortama geçmesiyle birlikte çevrimiçi saldırıların sayısı da doğal olarak yükseldi.

Kurbanlardan biri olmamanız için, sizlere “Evden çalışırken kendinizi nasıl koruyabilirsiniz?” konulu makalelerimizi okumanızı öneririz. Son olarak, gelin sizlere evrensel olarak geçerli olan birkaç ipucu verelim:

  • Gönderene güvenip güvenemeyeceğiniz konusunda emin değilseniz, yabancılardan gelen bağlantılara tıklamayın veya e-postalarda yer alan dosyaları indirmeyin;
  • İş için kurumsal cihazları ve şirket tarafından onaylanmış yazılımları kullanın; programları ve cihazları doğru şekilde yapılandırın;
  • İşvereninizden şirket cihazlarına güvenilir bir koruma kurmasını talep edin; siz de kişisel bilgisayarınızı ve akıllı telefonunuzun güvenliğini güçlendirin.
İpuçları