2024 te en çok görülecek siber saldırılar.
En çok rastlanan 8 siber saldırı şekli görseldeki gibidir. Siber saldırılar, işletmeler için giderek artan bir tehdittir. Ancak siber güvenlik konusunda artan farkındalık ve yatırıma rağmen, birçok işletme bu saldırıları önleyemiyor. Tedbirleri almayan işletmeleri zor günler bekliyor.
1. PhisingAttacks
Yemleme diğer bilinen adlarıyla phishing, oltalama, kimlik avı genellikle hackerların hedef kişiye hediye, indirim veya benzeri cezbedici sahte iletiler gönderilerek parola, kimlik bilgisi veyahut benzeri verilerini çalmaya çalışmasına verilen isimdir.
Sözcük, İngilizce password (Türkçe: şifre) ve fishing (Türkçe: balık avı) sözcüklerinin birleşmesiyle oluşturulmuş phishing ifadesinin Türkçe karşılığıdır. “Yemle” diye tanımlanan şifre avcıları, genelde e-posta gibi yollarla kişilere ulaşır ve onların kredi kartı gibi ayrıntılarını sanki resmi bir kurummuş gibi ister. Bu “av”a karşılık veren kullanıcıların da hesapları, şifreleri vb. özel bilgileri çalınmaktadır.
Örnek olarak; format açısından resmi bir banka konseptinde bir e-posta alınır, ve bu e-posta’da şifre, kredi kartı numarası vb. bilgilerin verilmesi önerilir.
Yemleme yüzünden ABD’de Mayıs 2004 ile Mayıs 2005 arasında 1 milyon bilgisayar kullanıcısı zarara uğramış ve toplam 929 milyon Amerikan doları kaybetmişlerdir, bu da şirketlere 2 milyar dolara yakın bir zarar teşkil etmiştir. İngiltere’de 2004’te 12,2 milyon İngiliz sterlini olan banka dolandırıcılığı, 2005’te 23,2 milyon sterlin’e çıkmıştır.
Yemleme karşısında tüm bankalar vb. kurumlar hiçbir zaman kullanıcılarından e-posta aracılığı ile özel bilgilerini istemeyeceklerini, böyle bir durumda e-postayı vb. talepleri kendilerine iletmelerini önerirler.
2. Ransomware
Fidye yazılımı,şantaj yazılımı,fidye virüsü veya ransomware (İngilizce: ransom software) olarak adlandırılan fidye yazılımlarına verilen genel bir addır. Fidye virüsleri bulaştığı bilişim sistemleri üzerinde dosyaları erişimi engelleyerek kullanıcılardan fidye talep eden zararlı yazılımlardır. Fidye virüsü, kurbanın cihazı (bilgisayar, akıllı telefon, giyilebilir cihazlar vb.) üzerinde gizlice kendini yükleyen veya kurbanın verisini rehin tutan kriptoviroloji ile kriptoviral alıkoyma saldırısı başlatan ya da fidye ödenene kadar kurbanın verisini yayınlamakla tehdit eden bir kriptoviroloji saldırısı başlatan bir bilgisayar zararlı yazılımıdır. Basit bir fidye virüsü, bilgili bir kişinin geriye çevirmesi zor olan bir şekilde sistemi kilitler ve kilidi açmak için ödeme isteyen bir mesaj gösterir. Daha da gelişmiş zararlı yazılımlar, kurbanın dosyalarını şifreler, bunları erişilemez kılar ve bunların şifresini çözmek için bir fidyenin ödenmesini talep eder. Fidye virüsü, bilgisayarın Ana Dosya Tablosu (MFT) veya tüm sabit sürücüsünü de şifreleyebilir. Şifreleme anahtarı olmadan dosyaların şifrelerinin çözülmesine karşı olduğu için, fidye virüsü bilgisayar kullanıcılarının dosyalarına erişimini engelleyen bir erişim dışı bırakma saldırısıdır, Fidye virüsü saldırıları, geçerli bir dosya olarak kendisini gizleyen bir Truva atı kullanılarak yürütülmektedir.
Başlarda Rusya’da popüler olsa da, fidye virüsü dolandırıcılığı uluslararası düzeyde yaygınlaşmıştır. Haziran 2013’te, güvenlik yazılımı dağıtıcılarından McAfee, 2013 yılının ilk çeyreğinde, 2012 yılının ilk çeyreğindeki rakamın yarısından daha fazla olan, 250000’den fazla eşsiz fidye virüsü çeşidinin tespit edildiğini gösteren veriler yayınlamıştır. Otoriteler tarafından alt edilene kadar 3 milyon dolardan fazla toplayan CryptoLocker ve FBI tarafından Haziran 2015 itibarıyla 18 milyon dolardan fazla topladığı tahmin edilen CryptoWallgibi Truva atları sayesinde, şifreleme tabanlı fidye virüslerini içeren geniş çaplı saldırılar artmaya başlamıştır.
En bilinen fidye virüsü CryptoLocker olarak adlandırılan ve bulaştığı bilgisayarlardaki bir takım dosyaları şifreleyerek kaydeden; şifrenin geri açılması için ise ukash, bitcoin, para vb. emtialar talep eden virüstür.
3. Denial-of-service (DoS)
Servis dışı bırakma saldırısı (İngilizce: Denial-of-service attack, DoS), internete bağlı bir barındırma hizmetinin hizmetlerini geçici veya süresiz olarak aksatarak, bir makinenin veya ağ kaynaklarının asıl kullanıcılar tarafından ulaşılamamasını hedefleyen bir siber saldırıdır. DoS genellikle hedef makine veya kaynağın, gereksiz talepler ile aşırı yüklenmesi ve bazı ya da bütün meşru taleplere doluluktan kaynaklı engel olunması şeklinde gerçekleştirilir. DoS saldırısını; bir grup insanın, bir dükkân veya işyerindeki kapıları tıkayıp, meşru tarafların mağazaya veya işletmeye girmesine izin vermeyerek normal işlemleri aksatması şeklinde örnekleyebiliriz.
DoS saldırılarının failleri genellikle bankalar veya kredi kartı ödeme sistemleri gibi yüksek profilli web sunucularında barındırılan siteleri veya hizmetleri hedef alır. İntikam, şantaj ve haktivizm bu saldırıları motive edebilir.
Bu saldırı, hedef makineyi o kadar çok dış iletişim isteklerine maruz bırakır ki, artık makine normal oranda istek trafiğine cevap veremeyecek konuma düşer, gittikçe yavaşlar ve artık çevrimdışı olur. DoS saldırılarının iki genel formu vardır; servisin çökmesine sebep olanlar ve servisin aşırı yavaşlamasına sebep olanlar. En önemlileri ise dağıtık şekilde yapılan saldırılardır.
4. Man-in-the-middle (MitM)
Man-in-the-middle saldırısı (Türkçe: aradaki adam saldırısı veya ortadaki adam saldırısı, İngilizce kısaltması MITM saldırısı), saldırganın birbiri ile doğrudan iletişim kuran iki taraf arasındaki iletişimi gizlice ilettiği veya değiştirdiği saldırı türüdür. İletişim ağı üzerinde veri paketleri serbestçe dolaşır. Özellikle broadcast olarak salınan paketler, aynı ağa bağlı tüm cihazlar tarafından görülebilir. İlkesel olarak hedefinde kendi IP’si olmayan bir paketi alan makinelerin, bu paketlerle ilgili herhangi bir işlem yapmamaları gerekir. Ancak istenirse bu paketlere müdahale edebilir ya da içeriğini öğrenebilirler. Aradaki adam saldırısı ağ üzerindeki paketleri yakalayarak manipüle etmek olarak özetlenebilir.
MITM saldırısına bir örnek aktif gizli dinlemedir, saldırgan kurbanlarla bağımsız bağlantılar kurar ve aralarındaki mesajları, aslında tüm konuşma kurbanlar arasında doğrudan gizli bir bağlantı üzerinden gerçekleşiyormuş gibi iletir. Saldırgan, iki kurban arasında geçen tüm ilgili mesajları engelleyebilmeli ve yenilerini enjekte edebilmelidir.Bunu yapmak çoğu durumda basittir; örneğin, şifrelenmemiş bir kablosuz erişim noktasının (Wi-Fi) erişim menzilindeki bir saldırgan, kendisini ortadaki bir adam olarak ekleyebilir.
Karşılıklı kimlik doğrulamayı atlamayı veya eksikliğinden faydalanmayı amaçlayan bir saldırı olan MITM saldırısı ancak araya giren saldırgan her bir uç noktanın diğer uçtan beklentisini karşılayabilirse başarılı olabilir. Çoğu şifreleme protokolü, MITM saldırılarını önlemek için özel olarak bir tür uç nokta kimlik doğrulaması içerir. Örneğin, TLS, karşılıklı güvenilen bir sertifika otoritesi kullanarak taraflardan birini veya her ikisini de doğrulayabilir.
Klasik yöntemlerden biri şudur: ARP zehirlenmesi yaparak yönlendiricinin ARP tablosu taşırılır. Yönlendirici gelen ARP isteklerini yanıtlayamaz hale gelir. Sonrasında ağda broadcast olarak ARP isteği yanıtı paketleri yollanır. Bu durumda ağda yönlendirici arayan bir bilgisayar olursa gerçek yönlendirici yerine saldırganın bilgisayarını yönlendirici olarak tanıyacaktır. Ağ üzerinde verilerini saldırganın bilgisayarı üzerinden gönderecektir. Şifrelenmemiş her veri paketi kolaylıkla açılabilir ve değiştirilebilir.
Kablosuz ağlarda ise paketler tamamen broadcast olarak yayıldığı için herhangi bir ön işleme gerek olmaksızın tüm paketler saldırgan tarafından yakalanabilir. Şifrelenmemiş paketlerin içerikleri kolaylıkla okunabilir. Ancak değiştirilen paketlerin yeniden kurban bilgisayara gönderilmesi için pasif olarak dinleme pozisyonunda olmak yeterli değildir.
5. SQL İnjection
SQL enjeksiyonu, veri tabanına dayalı uygulamalara saldırmak için kullanılan bir atak tekniğidir; burada saldırgan SQL dili özelliklerinden faydalanarak standart uygulama ekranındaki ilgili alana yeni SQL ifadelerini ekler. (Örneğin saldırgan, veritabanı içeriğini kendisine aktarabilir). SQL enjeksiyonu, uygulamaların yazılımları içindeki bir güvenlik açığından faydalanır, örneğin, uygulamanın kullanıcı giriş bilgileri beklediği kısma SQL ifadeleri gömülür, eğer gelen verinin içeriği uygulama içerisinde filtrelenmiyorsa veya hatalı şekilde filtreleniyorsa, uygulamanın, içine gömülmüş olan kodla beraber hiçbir hata vermeden çalıştığı görülür. SQL enjeksiyonu, çoğunlukla web siteleri için kullanılan bir saldırı türü olarak bilinse de SQL veri tabanına dayalı tüm uygulamalarda gerçeklenebilir.
SQL enjeksiyon saldırıları, saldırganların, sistemdeki kullanıcılardan birinin bilgileriyle giriş yapmasına, mevcut verilere müdahale etmesine, bazı işlemleri iptal etmesine veya değiştirmesine, veri tabanındaki tüm verileri ifşa etmesine, veri tabanındaki tüm verileri yok etmesine, veri tabanı sunucusunda sistem yöneticisi olmasına olanak sağlar.
SQL enjeksiyonu, SQL alt dilini kullanan PHP, ASPX gibi birçok programlama dili üzerinde görülebilmektedir. Bu atak tekniği, SQL dili kullanılan sistemlerde genellikle GET ve POST verileri gönderilir ve alınırken yapılmayan filtrelemeler sebebiyle ortaya çıkar.
2012’de yapılan bir araştırmada, bir web uygulamasının ayda ortalama 4 saldırı aldığı ve perakendecilerin diğer endüstrilerden iki kat fazla saldırı aldığı görülmüştür.
6. Cross-Site Scripting, (XSS)
Siteler arası betik çalıştırma (İngilizce: Cross-Site Scripting, kısa adıyla XSS), genellikle web uygulamalarında görülen, genellikle HTML enjeksiyonu zafiyetiyle birlikte ortaya çıkan veya Java Script kullanan bazı aplikasyonlarda bulunan bir güvenlik açıklığıdır. XSS, diğer kullanıcılar tarafından görüntülenen web sayfalarına istemci taraflı Java Script kodunun enjekte edilmesine imkân verir. Siteler arası betik çalıştırma açıklığı, saldırganlar tarafından aynı kök politikası gibi bazı erişim kontrollerini atlatmak ve hedef adresin oturum katmanını ele geçirmek için kullanılabilmektedir. Web sayfaları üzerinde gerçekleştirilen siteler arası betik çalıştırma saldırıları, 2007 itibarıyla Symantec’in raporladığı tüm güvenlik açıklıklarının yaklaşık olarak %84’ünü oluşturmaktadır. Zafiyet içeren sitenin işlediği verinin hassasiyetine ve site sahibi tarafından uygulanan güvenlik tedbirlerine bağlı olarak, etkisi ufak bir aksamadan önemli bir güvenlik riskine kadar değişebilmektedir.
7. Zero-Day Exploit
Sıfır-gün (0-gün veya sıfır-saat veya sıfır-gün açığı olarak da bilinir) genellikle bir yazılımda bir zayıflığın keşfedildiği gün, çok uzun zamandan beri o açıklığın blackhatler tarafından bulunup kullanıldığının ortaya çıkmış olmasıdır. Ayrıca zayıflık ortaya çıktıktan sonra geliştirici tarafından bir güncelleme sunulamadan önce faydalanılan bir zayıflıktır
Sıfır-gün saldırıları genellikle güvenlik açıklarının genel kullanıma açıklandığı tarihten önce veya günümüzde bilgisayar korsanları tarafından denenir. Bazen de geliştiricinin açığın farkında olduğu veya düzeltilmiş halini hazırlamadan önce denenir.] Sıfır-gün saldırıları ciddi bir tehdittir.
Kötü amaçlı yazılım yazarları sıfır-gün açıkları için birkaç farklı saldırı yönünden yararlanabilir. Bazen kullanıcılar sahte internet sitelerini ziyaret ettiğinde, sitedeki kötü amaçlı kod internet tarayıcılarındaki güvenlik açıklarından yararlanabilir. İnternet tarayıcıları, yaygın dağıtım ve kullanımları nedeniyle suçlular için özel bir hedeftir. Siber suçlular, eki açan uygulamadaki zayıf noktaları sömüren kötü amaçlı e-posta eklerini SMTP yoluyla da gönderebilirler. US-CERT gibi veritabanlarında giderek artan oranlarda göründükleri gibi, yaygın dosya türlerinden yararlanan saldırılar çok sayıda ve sık görülür. Suçlular, saldırıya uğramış sistemlerden gizli verileri çalmak için bu dosya türü istismarlardan yararlanarak kötü amaçlı yazılım üretebilirler.
8. DNS Spoofing
Son zamanlarda artan DNS tabanlı saldırıların yükselişiyle mücadele etmek için DNS Spoofing Nedir? gibi sorularla siber tehditlerin nasıl tespit edileceğini ve nasıl önleneceğini anlamak son derece önemlidir.
DNS sahtekarlığı, DNS hijacking, DNS önbellek zehirlenmesi (DNS cache poisoning) gibi isimlerle karşımıza çıkan DNS spoofing, genel olarak siber korsanların web trafiğini sahte web sunucularına ve kimlik avı için hazırlanmış web sitelerine yönlendirdiği siber saldırıları kapsar.
Bilindiği gibi Alanı Adı Sistemi (DNS), bir alan adını, belirli IP adresine çevirmek için kullanılır. DNS önbelleği diğer alan adlarına yapılan ziyaretlerin tüm kayıtlarını içeren geçici bir veritabanıdır ve her bilgisayarın en son DNS isteklerini depolayan bir DNS önbelleği bulunur. En son ziyaret ettiğimiz sunucunun IP adresi TTL süresi (Time To Live) sona erene kadar burada saklanır, amaç sorgulara çok daha hızlı yanıt verilmesidir.
DNS sunucularındaki zayıflıklardan yararlanan DNS önbellek zehirlenmesi saldırıları, bir alan adının orijinalinden farklı bir IP adresine yönlendirilmesine olanak tanıyan bir siber tehdit türüdür. Çevrimiçi trafiği sahte bir web sitesine yönlendiren bu saldırı biçiminde saldırgan DNS kayıtlarını değiştirerek bunu başarır.
DNS önbelleğine erişim elde eden saldırganlar gerçek IP adresini sahte bir web sitesinin IP adresiyle değiştirerek kullanıcıların gerçek web sitesi yerine dolandırıcılık için özel hazırlanmış sahte web sitesine ulaşmasını sağlar. Sahte web sitesi, kullanıcının erişmeye çalıştığı orijinal web sitesiyle tamamen aynı göründüğünden DNS sahtekarlığını tespit etmek çok zordur.
DNS önbellek zehirlenmesi saldırılarının amaçları arasında virüslü dosya indirmeleri için kullanıcıları kandırmak, ortadaki adam saldırıları (MITM) ile trafiği izlemek, kimlik avı saldırıları ile banka hesap bilgileri gibi hassas verileri toplamak sayılabilir.
DNS Önbelleğine erişim elde eden saldırganlar gerçek IP adresini sahte bir sitenin IP adresiyle değiştirerek kullanıcıların dolandırıcılık için özel hazırlanmış sahte web sitesine ulaşmasını sağlar.
Üstte de belirttiğimiz gibi Alan adı sistemi yani DNS, trafiği doğru bir şekilde yönlendirmek için kullanıcıların tarayıcının adres çubuğuna girdiği alan adını uygun IP adresine eşler. Süreç, göndericilerin veya alıcıların kim olduklarını doğrulamalarını gerektirmeyen Kullanıcı Veri Birimi Protokolü (UDP) üzerine inşa edilmiştir. DNS zehirlenmesi, trafiği meşru olmayan bir IP adresine yönlendirmek için süreçteki bu zayıflıklardan yararlanır.
Saldırganlar, yerel olarak bir kullanıcının bilgisayarına veya doğrudan bir ad sunucusuna yanlış girişler eklemeyi başarırsa, trafiği istedikleri zaman kontrol edebilir ve yeniden yönlendirebilirler. DNS sorguları genellikle şifrelenmeden aktarıldığından, saldırganların kötü niyetli müdahale için birçok seçeneği vardır.
DNS sunucuları, daha güvenli olan İletim Kontrol Protokolü (TCP) yerine Kullanıcı Datagram Protokolü (UDP) kullandığından, DNS önbelleğini zehirlemek mümkün olmaktadır. UDP ile bir bağlantının açık olduğunun, alıcının almaya hazır olduğunun veya gönderenin söylediği kişi olduğunun garantisi yoktur.
DNS hijacking olarak da bilinen DNS spoofing tekniğinde siber suçluların yönlendiriciler, PC’ler ve tabletler gibi cihazlara gizlice yükledikleri kötü amaçlı yazılımlar kullanıcıları fark etmeden zararlı web sitelerine yönlendirmek için cihazlarda depolanan ağ bağlantısı ayarlarını değiştirir. Bu tür kötü amaçlı yazılımların popüler bir örneği Windows Trojan Win32/DNSChanger’dır. Yürütülebilir EXE dosyasının boyutu yalnızca birkaç kilobayttır ve trafiği gizlice yeniden yönlendirmek için sistemin DNS ayarlarını değiştirecek şekilde tasarlanmıştır.
Dolandırıcılık amaçlı sahte web sitelerine yönlendirme, siber suçluların kullanıcıların cihazlarına virüs ve kötü amaçlı yazılım yüklenmek için erişim elde etmesine olanak tanır.
Önbellek zehirleme kodları genellikle spam e-postalar aracılığıyla gönderilen URL’lerde bulunur. Gerçek gibi görünen sahte bir IP adresine yönlendirildiğinizde tehdit, sistemlerinize enjekte edilir.
DNS Önbellek Zehirlenmesi Neden Tehlikelidir ?
Çoğu durumda, siber suçlular, sahte web sitelerinde oturum açma kimlik bilgilerini çalmak veya başka saldırılar için kötü amaçlı yazılım eklemek için DNS sahtekarlığını kullanır.
DNS sunucusu zehirlendiğinde, diğer DNS sunucularına ve ev yönlendiricilerine yayılmaya başlayacaktır. DNS girişlerini arayan bilgisayarlar, daha fazla kullanıcının DNS zehirlenmesinin kurbanı olmasına neden olarak yanlış yanıt alır.
Bu sorun yalnızca, etkilenen her DNS sunucusunda zehirlenen DNS önbelleği temizlendiğinde çözülecektir; o zamana kadar hassas bilgilerinizi kaybetme riskiyle karşı karşıya kalırsınız.
DNS zehirlenmesi, hem bireyler hem de kuruluşlar için çeşitli riskler oluşturur. En büyük risklerden biri, DNS önbellek zehirlenmesine kurban giden cihaz varsayılan olarak gayri meşru siteye geri döneceği için, sorunu çözmenin zorlaşmasıdır.
Ayrıca, sahte web sitesi gerçek siteyle neredeyse aynı olduğundan, DNS zehirlenmesini tespit etmek kullanıcılar için son derece zor olabilir. Bu durumlarda, kullanıcılar kendilerini ve/veya kuruluşlarını ciddi risklere maruz bıraktıklarının farkına varmadan, hassas bilgileri normal şekilde gireceklerdir.
Dolandırıcılara sosyal güvenlik numaraları ve ödeme bilgileri gibi hassas bilgilere erişmeleri için kolay bir yol sunan DNS zehirlenmesi ile siber suçlular, cihazların güvenliğini sağlayan önemli yamaların ve güncellemelerin alınmasını engellemek amacıyla güvenlik sağlayıcılarından gelen trafiği yeniden yönlendirebilir. Cihazları zamanla daha savunmasız hale getiren bu yöntem, truva atları ve virüsler gibi çok sayıda saldırıya kapı açabilir.
Ayrıca DNS saldırılarının otoriter yönetimler tarafından tartışmalı kullanımları da söz konusudur, bazı şirketler ve hükümetler tarafından interneti sansürlemek için DNS spoofing gibi tekniklerin tercih edildiği bilinmektedir. Ancak bazı durumlarda, DNS sahtekarlığı, hükümetler tarafından yasa dışı içeriğe sahip portalları çevrimdışına almak için de kullanılabilmektedir.