u.s.t.a. 2016 faalİyet raporu · İşbu rapor, 2012 senesinden bu yana faaliyette olan u.s.t.a....
TRANSCRIPT
INVICTUS Bilişim Güvenlik Hizmetleri Danışmanlık ve Üretim Ticaret A.Ş.a Teknopark İstanbul. 4/101 Pendik İstanbul
g [email protected] J+90 216 290 23 27 www.invictuseurope.com
RAPOR HAKKINDA
2
Özet
İşbu rapor, 2012 senesinden bu yana faaliyette olan U.S.T.A. (Ulusal Siber Tehdit Ağı) Platformu’nun
2016 yılında bildirilen, rapor edilen, aksiyon alınan ve/veya incelenen siber tehditler hakkında genel
bir perspektif ortaya koymak için hazırlanmış olup, geçtiğimiz yılın kötü-niyetli teşebbüslerine ilişkin
çeşitli çıkarımlar sunmaktadır.
Platform dahilinde işleme alınan 14 farklı bildirim tipinin her biri ayrı ayrı analiz edilmiş olup, 2016
senesinin en ilgi çekici başlıklarına da ayrıca yer verilmiştir.
Raporda analizi yapılan başlıca bildirim türleri:
• Oltalama Sitesi
• Çalıntı Kredi Kartı
• Siber Saldırı
• Raporlar
• Kurumsal E-Posta Sızıntısı
• Veri Sızıntısı
• Zararlı Yazılım
• Zararlı URL
• Oltalama E-Postası
• Marka Koruma
• Sahte Yazılım
• Güvenlik Zaafiyeti
• Dolandırıcılık Yöntemi
Yukarıda belirtilen bildirim türlerine ek olarak, herhangi bir ön-tanımlı siber tehdit grubuna dahil
edilmeyen siber tehditler, platform dahilinde “Diğer” başlığında sınıflandırılmış olup, bu başlık altında
işleme alınan tehdit türlerine ilişkin çeşitli verilere de rapor kapsamında yer verilecektir.
U.S.T.A. Üyesi Kurumların Sektörel Dağılımı
Finans65%
Sigortacılık9%
E-ticaret18%
Enerji4%
Havayolu4%
INVICTUS Bilişim Güvenlik Hizmetleri Danışmanlık ve Üretim Ticaret A.Ş.a Teknopark İstanbul. 4/101 Pendik İstanbul
g [email protected] J+90 216 290 23 27 www.invictuseurope.com
2016 GENEL DURUM
3
2016 YILI SİBER GÜVENLİK TEHDİTLERİNİN RAKAMSAL İSTATİSTİKLERİ:
Oltalama Saldırıları:
2016 yılı İçerisinde U.S.T.A. Platformu’ndan Türkiye kurumlarını hedef alan 2,254 adet oltalama sitesi
tespit edilerek kapatılmıştır. Bu çalışma ile farklı kurumları ilgilendiren toplam 40,143 adet farklı
vakanın önceden tespit edilerek sonlandırımlası sağlanmıştır.
Çalıntı Kredi Kartı Tehditleri:
U.S.T.A. Platformu tarafından, siber suçlular tarafından ele geçirilen ve tespit edilerek U.S.T.A. üyesi
finans kurumlarına bildirilen Türk vatandaşlarına ait çalıntı kredi kartı sayısı 50,339 adettir. Global
olarak tespit edilen çalıntı kredi kartı sayısı ise 2016 itibariyle 2 milyonu geçmiştir.
Çalıntı Nüfus Cüzdanı Tehditleri:
2016 yılı içerisinde U.S.T.A. ekibi tarafından tespit edilerek U.S.T.A. üyesi kurumlar ile paylaşılan çalıntı
nüfus cüzdanı sayısı 1,019’dur.
Kurumsal E-Posta Sızıntısı Tehditleri:
2016 yılı dahilinde saldırganların eline geçmiş toplam 28,718 adet kurumsal e-posta adresi/parolası
tespit edilerek ilgili kurumlara bildirilmiştir.
Zararlı Yazılım Bildirimleri:
Doğrudan Türkiye’de belirli bir sektörü hedef aldığı tespit edilerek bildirilen / analiz edilen ve aksiyon
alınan hedef odaklı zararlı yazılım sayısı 2016 yılı için 71’dir.
Zararlı URL Tehditleri:
Hedef odaklı olmayan ve genellikle Cryptolocker, Torrentlocker ve benzeri örnekleri gözlemlenen
fidye yazılımlarının (“Ransomware”) dağıtıldığı zararlı URL adreslerine ilişkin toplam 3,765 bildirim
gönderilmiştir.
INVICTUS Bilişim Güvenlik Hizmetleri Danışmanlık ve Üretim Ticaret A.Ş.a Teknopark İstanbul. 4/101 Pendik İstanbul
g [email protected] J+90 216 290 23 27 www.invictuseurope.com
2016 GENEL DURUM
4
2016 YILI SİBER GÜVENLİK TEHDİTLERİNİN RAKAMSAL ANALİZİ:
Marka Odaklı Tehditler:
Saldırganlar tarafından bir dolandırıcılık/saldırı sitesine dönüştürüleceği öngörülen ve genellikle
ülkemizdeki bankacılık/telekomünikasyon kurumlarının adını kullanan 1,984 adet alan adı marka
koruma kapsamında tespit edilmiştir. Bu 1,984 alan adı anlık izlemeye alınmış, toplam 385 adedinin
daha sonraki bir tarihte zararlı yazılım veya oltalama saldırısı olarak tasarlandığı tespit edilerek yayına
geçmesini takiben ortalama 35 dakika içerisinde kapatılmıştır.
Dolandırıcılık Yöntemi
Çalıntı kredi kartlarının nakte çevrilmesi için kullanılan 3,032 adet farklı yöntem 2016 yılı içerisinde üye
kurumlar ile paylaşılmıştır.
INVICTUS Bilişim Güvenlik Hizmetleri Danışmanlık ve Üretim Ticaret A.Ş.a Teknopark İstanbul. 4/101 Pendik İstanbul
g [email protected] J+90 216 290 23 27 www.invictuseurope.com
OLTALAMA SALDIRILARI
5
Sahte Site (Oltalama Sitesi) Trendleri
2016 yılı içerisinde Oltalama saldırıları başlığında gerçekleşmiş olan en önemli gelişme, saldırganların
Kredi Kartı numarasının yanı sıra, bankacılık müşterilerinin Internet Bankacılığı giriş bilgilerini de ele
geçirmek üzere yürüttüğü saldırılardır.
Saldırganlar 2016 yılı içerisinde HTTrack ve benzeri web sitesi kopyalama programlarının yaygınlaşması
ile İnternet bankacılığı giriş ekranlarını çok daha hızlı ve efektif şekilde kopyalayabilir hale gelmişlerdir.
2016 içerisinde, Türkiye finans sektörünü hedef alan 2,254 oltalama sitesinin 118 adedi doğrudan
Internet Bankacılığı giriş ekranı kopyalama vakasıdır. Bu rakamın 2017 senesinde büyük bir oranda
artması beklenmektedir. Zira bu saldırı vektöründe saldırganlar, kullanıcı ekranına gizli bilgilerini
girdiği an harekete geçerek kullanıcıya giden SMS bilgilerini de anlık olarak toplamakta, bu şekilde
dolandırıcılık işlemini gerçek zamanlı olarak yürütmektedirler. Diğer bir ifade ile kullanıcı gelen SMS’i
oltalama sitesine girmekte, saldırgan ise, oltalama sitesi ile aldığı SMS’i, kullanıcı adına giriş yapmaya
çalıştığı İnternet Şubesi’nde kullanmaktadır. Saldırganların dolandırıcılık işlemini gerçek zamanlı
olarak yürütmediği senaryolarda ise, özellikle Android için yayınlanan zararlı yazılımların çeşitliliği;
saldırganların hareket imkanını arttırmaktadır. Bu çerçevede 2017 yılı içerisinde, saldırganların
hazırladıkları oltalama sitelerinin henüz tasarım aşamasında tespitini öngören farklı mekanizmalar
Ar-Ge çalışmalarını takiben devreye alınmaktadır.
“Kelime bağımsız” yaklaşım
Kelime takibi ile açılan benzer alan adları düzenli olarak U.S.T.A. platformundan bildirilmektedir. Aynı
zamanda grafik bazında eşleşme algoritmaları geliştiren U.S.T.A. ekibi, farklı oltalama sitelerinde
geçen resimler ile üye işyerlerinin logo’ları arasında benzerliği otomatik olarak tespit ederek
“kelimeden bağımsız“ bir yaklaşım ile de sahte siteleri tespit edebilmektedir.
Yatay bardak resmi üzerinde logo eşleştirmesi
INVICTUS Bilişim Güvenlik Hizmetleri Danışmanlık ve Üretim Ticaret A.Ş.a Teknopark İstanbul. 4/101 Pendik İstanbul
g [email protected] J+90 216 290 23 27 www.invictuseurope.com
6
22001166
22 bbiinn 225544SSeennee iiççeerriissiinnddee TTüürrkk FFiinnaannss kkuurruummllaarrıınnıı hheeddeeff aallaann ttooppllaamm oollttaallaammaa ssiitteessii ssaayyııssıı
TTüürrkkiiyyee hheeddeeffllii oollttaallaammaa ssaallddıırrııllaarrıı iiççiinn kkuullllaannııllaann aallaann aaddllaarrıınnıınn ssaattıınn aallıınnddığıığı ffiirrmmaallaarr
GGooDDaaddddyy
RReegg22CC
İİssiimmTTeesscciill
PPuubblliiccDDoommaaiinnRReeggiissttrryy
EEnnoomm
TTuuccoowwss
AAsscciioo
LLaauunncchhppaadd
NNaammee..ccoomm
2016 senesinde U.S.T.A. platformu tarafõndan šnceden tespit edilerek engellenen vaka sayõsõ 40,143
2 saat 45 dakika
Oltalama sitesinin U.S.T.A. tarafından kapatılma süresi (2016 ortalaması)
● GoDaddy● HostGator● Hostinger● One.com● OVH
OOllttaallaammaa ssiitteessii bbaarrıınnddıırrmmaakk
iiççiinn eenn yyaayyggıınn oollaarraakk
kkuullllaannııllaann iillkk 55 hhoossttiinngg ffiirrmmaassıı
Amerika
İngiltere
Almanya
Hollanda
Rusya
TTüürrkkiiyyee''yyee yyöönneelliikk ssaallddıırrııllaarrddaa kkuullllaannııllaann oollttaallaammaa ssiitteelleerriinnii bbaarrıınnddıırraann iillkk 55 üüllkkee
SSaallddıırrııllaarrııOltalama
INVICTUS Bilişim Güvenlik Hizmetleri Danışmanlık ve Üretim Ticaret A.Ş.a Teknopark İstanbul. 4/101 Pendik İstanbul
g [email protected] J+90 216 290 23 27 www.invictuseurope.com
OLTALAMA SALDIRILARI
7
Oltalama saldırılarında en çok tercih edilen kelimeler
2016 senesinde tespit edilen 2,254 oltalama sitesinde en sık geçen kelimeler bu sene de pek fazla
değişmemiştir. Genellikle Türkçe kelimelerin kullanıldığı alan adlarındaki kelime sıklığı şu şekildedir;
Yeni nesil saldırılar ve önlemler
Oltalama tehditleri ile ilgili 2016 yılında bir diğer dikkat çekici faktör ise saldırganların Google’da üst
sıralarda bulunmak ve tam olarak hedefledikleri kitlelerin önüne çıkmak için kullandıkları paralı reklam
verme yaklaşımı olmuştur. Saldırganlar, ele geçirdikleri çalıntı kredi kartları ile Google AdSense gibi
ücretli çevrimiçi reklam verme kanallarını kullanarak, hazırladıkları sahte sitelerini diledikleri bankaların
müşterilerine daha yüksek başarı ortalaması ile ulaştırabilmişlerdir. Bu tür vakaların özellikle 2016’nın
ikinci çeyreğinden itibaren popülerlik kazanması ile U.S.T.A. Ekibi, doğrudan bu şekilde hazırlanan
web sitelerinin tespit edilmesine imkan sağlayan sensörleri geliştirerek, yılın ikinci yarısından itibaren
gözlemlenen 11 farklı vakayı SLA süreleri dahilinde sonlandırmıştır.
U.S.T.A. üyesi kurumlardan bazılarına, oltalama sitesi henüz tasarım aşamasındayken bildirim
alınabilecek çeşitli yöntemler entegre edilmiştir. Bu sayede henüz bilinmeyen bir URL daha tasarım
aşamasındayken oltalama sayfası ve saldırgan hakkında haber alınarak U.S.T.A. platformuna uyarı
gönderilebilmektedir.
Bu entegrasyon için geliştirilen yazılımlar test sürecini başarıyla tamamlamış olup 2017 senesinin ilk
çeyreğinde tüm üye kurumları koruyacak bir yapıya getirilecektir.
1. sorgu2. banka3. odeme4. borc5. fatura
6. islem7. panel8. kredi9. sistem10. sube
sorgu26%
banka12%
odeme12%
borc11%
fatura11%
islem10%
panel6%
kredi4%
sistem4%
sube4%
INVICTUS Bilişim Güvenlik Hizmetleri Danışmanlık ve Üretim Ticaret A.Ş.a Teknopark İstanbul. 4/101 Pendik İstanbul
g [email protected] J+90 216 290 23 27 www.invictuseurope.com
ÇALINTI KREDİ KARTI TEHDİTLERİ
8
E-Ticaret tarafında artan tehlike
2016 yılı, 2015’deki öngörülerimizi haksız çıkarmayacak şekilde, Çalıntı Kredi Kartları açısından son
derece aktif bir yıl olmuştur. Ancak ilgili dönem içerisinde siber saldırganlar ve dolandırıcılar arasında
bir önceki yıla nazaran önemli eğitim farkları gözlemlenmiştir. İlgili yıl içerisinde USTA üzerinden toplam
2 bin üzerinde oltalama vakası bildirilerek sonlandırılmış olsa da, saldırganların Oltalama yöntemi ile
çalıntı kredi kartı elde etme eğiliminde azalma olduğu gözlemlenmiştir. Siber dolandırıcılık pazarı
ile e-ticaretin doğru orantılı olarak büyüdüğü göz önünde bulundurulduğunda, e-ticaret sitelerinin
siber saldırganlar için giderek daha fazla “açık hedef” haline geldikleri gözlemlenmiştir. Öyle ki,
ilgili yıl içerisinde tespit edilen kartların yaklaşık %40’ının doğrudan, ele geçirilen e-ticaret sitesi
veritabanlarından elde edilmesi şaşırtıcı değildir. (Bu rakama yıl içerisinde gerçekleştiği addedilen,
tüm bankacılık ve e-ticaret sektörünün bildiği, ancak ilgili tarafların doğrulamaktan imtina ettiği “ilgili
e-ticaret sitesi vakası” dahil değildir.)
Bu durum, e-ticaret sitelerinin güvenlik bakımından hızla standartlaşmaya gitmesi zorunluluğunu
doğurmaktadır. Aksi halde 2017 ve 2018’de yüzleşilecek dolandırıcılık vakalarının yüksek-profilli vakalar
olması kaçınılmaz olacaktır. Neyse ki ülkemizdeki finans sektörü, USTA-Zabıta ve benzeri sistemler/
önlemler ile giriş seviyesindeki e-ticaret sitelerine temel bir güvenlik kapsamını şart koşmaktadır.
0
2000
4000
6000
8000
10000
12000
Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık
2016 Yılı Aylık Çalıntı Kredi Kartı Bildirim Sayısı - Türkiye
Aylık Çalıntı Kredi Kartı Bildirimi - Türkiye
INVICTUS Bilişim Güvenlik Hizmetleri Danışmanlık ve Üretim Ticaret A.Ş.a Teknopark İstanbul. 4/101 Pendik İstanbul
g [email protected] J+90 216 290 23 27 www.invictuseurope.com
ÇALINTI KREDİ KARTI TEHDİTLERİ
9
İstatistikler ile çalıntı kredi kartları
2016 yılı içerisinde U.S.T.A. platformu üzerinden Türkiye’deki bankalara bildirilen çalıntı kredi kartı sayısında ilk 5 ay’da düzenli bir düşüş görülmekte iken Mayıs 2016 itibariyle birçok kredi kartının siber yeraltında satışa sunulduğu veya el değiştirdiği tespit edilmiştir. Bu verilerin global çalıntı kart tespiti istatistiklerinden farklı olması sebebi ile Türkiye özelinde Nisan-Mayıs 2016 tarihli büyük bir veritabanı sızıntısı olabileceği çıkarımı yapılabilir.
IRC ve ICQ kanalları yeniden gündemde
2016 yılına ilişkin çalıntı kredi kartı vaka ve tespitlerine ilişkin bir diğer dikkat çekici faktör ise, ele
geçirilen kredi kartlarının saldırganlar arasında paylaşılma biçimlerideki değişiklerdir. 2015 yılında
saldırganlar arasındaki kredi kartı paylaşımlarının genellikle derin ağlardaki forumlar, erişilebilir
açık Internet kaynaklarındaki forumlar ve sosyal medyada gerçekleştiği gözlemlenmiş durumda
iken, 2016 yılı içerisinde saldırganlar metodoloji değiştirerek mesajlaşma ve iletişim yazılımlarında
oluşturdukları gruplar üzerinden paylaşımda bulunmaya başlamıştır. 2016 yılı içerisinde özellikle
Türkiye’deki çalıntı kredi kartı şüphelilerinin ICQ ve IRC’de oluşturdukları kapalı kanal ve gruplar
üzerinden paylaşım yaptıkları gözlemlenmiştir. (U.S.T.A. Takip Sensörleri, tespit edilen saldırganlar
için gereğince yapılandırılmıştır.)
0
20000
40000
60000
80000
100000
120000
140000
160000
180000
200000
Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık
2016 Yılı Aylık Çalıntı Kredi Kartı Bildirim Sayısı - Global
Aylık Çalıntı Kredi Kartı Bildirimi - Global
INVICTUS Bilişim Güvenlik Hizmetleri Danışmanlık ve Üretim Ticaret A.Ş.a Teknopark İstanbul. 4/101 Pendik İstanbul
g [email protected] J+90 216 290 23 27 www.invictuseurope.com
10
UU..SS..TT..AA.. ÇÇaallıınnttıı KKrreeddii KKaarrttıı İİssttiihhbbaarraattıı
2016 yõlõ Global ve TŸrkiye šzelinde çalõntõ kredi kartõ bildirim istatistikleri
2 Milyon 95 Bin 843 Kredi Kartõ
50 bin 339 Kredi Kartõ
94GPACT U.S.T.A.
Double click to change text
UU..SS..TT..AA.. PPllaattffoorrmmuunnddaann hheerr ssaaaatt bbiillddiirriilleenn oorrttaallaammaa ççaallıınnttıı kkrreeddii kkaarrttıı ssaayyııssıı
Global Bildirimler
Ulusal Bildirimler
INVICTUS Bilişim Güvenlik Hizmetleri Danışmanlık ve Üretim Ticaret A.Ş.a Teknopark İstanbul. 4/101 Pendik İstanbul
g [email protected] J+90 216 290 23 27 www.invictuseurope.com
VERİ SIZINTISI TEHDİTLERİ
11
Kronolojik uluslararası veri sızıntısı sıralaması
Ulusal ölçekte bakıldığında da, özellikle 2016’nın son çeyreğinde iki farklı sektörde önemli sızıntılar
gerçekleştiği tespit edilmiştir. Havacılık ve e-ticaret sektörü bu dönem içerisinde önemli yaralar
almıştır. 5 büyük e-ticaret sitesinin veritabanı ele geçirilmiş, 2 orta ölçekli havayolu şirketinin ise
payment gateway’inden kaynaklı zafiyetler nedeniyle veri sızdırdığı tespit edilmiştir. Ayrıca 2016’nın
son haftasında, ülkemizde resmi olarak faaliyet gösteren büyük bir bahis sitesinin önemli müşteri
bilgilerinin sızmış olduğu tespit edilmiştir. Bu vakaların her biri, sızan verilere ilişkin ayrıntılar ile birlikte
U.S.T.A. üyeleri ile paylaşılmıştır. Diğer yandan işbu raporun kamuya açık şekilde paylaşılacak olması
sebebiyle ülkemizdeki veri sızıntılarına konu olan kurum isimlerinin açık şekilde belirtilmesi uygun
bulunmamıştır.
2016 - Uluslararası veritabanı sızıntılarının kronolojik sıralaması
• 30 Mart: Mate1.com
• 17 Mayıs: LinkedIN
• 27 Mayıs: Myspace
• 2 Haziran: Badoo
• 5 Haziran: VK
• 8 Haziran: Twitter (Toplu Twitter Kullanıcısı Hack vakası olup Twitter’a sızıntı söz konusu değildir.)
• 13 Haziran: iMesh
• 14 Haziran: Vertical Scope
• 4 Temmuz: WebHostingTalk
• 13 Temmuz: Shadi
• 9 Ağustos: DOTA2
• 16 Ağustos: SocialBlade
• 24 Ağustos: Mail.ru’da barınan tüm siteler
• 1 Eylül: LastFM
• 1 Eylül: Bitcointalk ve BTC-E
• 6 Eylül: Rambler.ru
• 11 Ekim: Evony
• 20 Ekim: Weebly
• 13 Kasım: AdultFriendFinder
UU..SS..TT..AA.. ÇÇaallıınnttıı KKrreeddii KKaarrttıı İİssttiihhbbaarraattıı
2016 yõlõ Global ve TŸrkiye šzelinde çalõntõ kredi kartõ bildirim istatistikleri
2 Milyon 95 Bin 843 Kredi Kartõ
50 bin 339 Kredi Kartõ
94GPACT U.S.T.A.
Double click to change text
UU..SS..TT..AA.. PPllaattffoorrmmuunnddaann hheerr ssaaaatt bbiillddiirriilleenn oorrttaallaammaa ççaallıınnttıı kkrreeddii kkaarrttıı ssaayyııssıı
Global Bildirimler
Ulusal Bildirimler
INVICTUS Bilişim Güvenlik Hizmetleri Danışmanlık ve Üretim Ticaret A.Ş.a Teknopark İstanbul. 4/101 Pendik İstanbul
g [email protected] J+90 216 290 23 27 www.invictuseurope.com
ÇALINTI NÜFUS CÜZDANI TEHDİTLERİ
12
Kurum içi tehdit faktörleri
2016 yılı içerisinde önemli veri sızıntısı vakaları geride bırakılmıştır. 2015 yılında dikkate değer bulunarak
takibe alınan Çalıntı Nüfus Cüzdanı verileri, 2016’da da hız kesmeden devam etmiştir. Bu durum,
Türkiye’deki âdi dolandırıcılık suçlarının giderek daha dijital hale geldiğini gösterir niteliktedir. Ayrıca,
satışa ve paylaşıma çıkarılan çalıntı nüfus cüzdanı sayısındaki artış; günlük iş hayatında elinden nüfus
cüzdanı fotokopileri geçen farklı şahısların; bu verilerin satılabilir birer meta olduğunu fark etmiş
olduklarını düşündürmektedir.
Dolayısı ile artık çalıntı nüfus cüzdanlarının yalnızca hacklenerek değil, bilinçli şekilde kurum-içi
tehdit faktörleri tarafından satışa çıkarıldığını söylemek mümkündür. Bildirilen çalıntı kimlik fotokopisi
miktarındaki artış bu görüşü destekler niteliktedir. 2017 yılında yeni TC Kimlik Kartları hakkında
araştırma yapılarak öngörülen riskler ayrıca üye kurumlara iletilecektir.
Veritabanı Sızıntıları
Veritabanı sızıntıları açısından değerlendirildiğinde, 2016 senesi son derece aktif bir yıl olmuştur.
2016 yılı içerisinde, önceki yıllarda sızmış olan veritabanlarının daha erişilebilir hale geldiği ve bu
veritabanlarında “hash’li” biçimde bulunan parolaların kırılmış şekilde tekrar paylaşıma sokulduğu
tespit edilmiştir. Dolayısı ile önceki tarihlerde gerçekleşmiş olan LinkedIN, Tumblr, Badoo, iMesh,
Fizy, Adobe, Yahoo, Twitter, AdultFriendFinder ve AshleyMadison sızıntılarının önemini halen
yetirmemiş vakalar olduğu unutulmamalıdır. Bununla birlikte Türkiye’de birçok e-ticaret sitesinin veri
tabanı siber yeraltına sızmış olsa dahi vaka örnekleri, kurumların itibarlarının zedelenmemesi adına
rapor kapsamına alınmamıştır. Bu veri tabanlarında geçen üye kurumlara ait veriler U.S.T.A. platformu
üzerinden bildirilmiştir.
INVICTUS Bilişim Güvenlik Hizmetleri Danışmanlık ve Üretim Ticaret A.Ş.a Teknopark İstanbul. 4/101 Pendik İstanbul
g [email protected] J+90 216 290 23 27 www.invictuseurope.com
KURUMSAL E-POSTA SIZINTISI
13
Kritik personeller üzerinden yürütülen APT saldırıları
Kurumsal E-Posta Sızıntısı U.S.T.A.’ya 2016 yılında eklenen bildirim tiplerinden biridir. Daha önceki
yıllarda Veri Sızıntısı bildirim tipi altında bu tarz bilgiler paylaşılmasına rağmen, artan sızıntılar
nedeni ile artık kendi başlığı altında faaliyet göstermektedir. Bu bildirim tipinde, U.S.T.A. üyesi
kurumların çalışanlarına ait siber yeraltına sızan e-posta adresleri paylaşılmaktadır. U.S.T.A.
Modülleri arasındaki en önemli modüllerden biri olmasına karşın kurumların halen Kurumsal
E-Posta Sızıntısı bildirimlerine gerekli önemi göstermediği tespit edilmiştir. Diğer yandan kurumsal
e-posta sızıntılarının, ülkemizdeki bankacılık kurumlarının yüzleşebileceği APT tehditleri göz önünde
bulundurulduğunda, önlem alınması gereken en önemli faktörlerden biri olduğu unutulmamalıdır.
2016 yılında yaşanan yüksek profilli vakalar göz önünde bulundurulduğunda, kurumsal
e-posta sızıntılarına ilişkin takip mekanizmalarımıza yalnızca kurumsal e-posta adreslerinin
değil, kurumlarda kritik görevleri yürütmekte olan şahısların şahsi e-posta adreslerinin de
dahil edilmesi öngörülmektedir. (örneğin USTABANK’ta çalışan Koryak UZAN için, yalnızca @
ustabank.com uzantılı e-posta adresleri takip edilmeyecek, [email protected] adresine
ilişkin de sızıntı kontrolleri gerçekleştirilecektir.) Böylelikle kurumlardaki kritik personellerin şahsi
hesap ve aygıtlarından yöneltilen APT saldırı vektörlerinin önüne geçilmesi hedeflenmektedir.
INVICTUS Bilişim Güvenlik Hizmetleri Danışmanlık ve Üretim Ticaret A.Ş.a Teknopark İstanbul. 4/101 Pendik İstanbul
g [email protected] J+90 216 290 23 27 www.invictuseurope.com
GÜVENLİK ZAFİYETİ BİLDİRİMLERİ
14
11 adet sıfırıncı gün zafiyeti
U.S.T.A. yalnızca bilgi güvenliği ile ilgili dünyada yayınlanan önemli zafiyetleri değil, ayrıca INVICTUS
güvenlik test ekibi tarafından gerçekleştirilen zafiyet araştırmalarını ve keşfedilen Sıfırıncı Gün (0 Day)
zafiyetlerini de anlık olarak bildirmektedir.
Geçtiğimiz yıl içerisinde Ulusal Siber Tehdit Ağı’nda paylaşılan 105 adet zafiyetten 11 tanesi; dünyada
ilk kez INVICTUS ekibi tarafından keşfedilerek, öncelikli olarak U.S.T.A.’ platformunda duyurulmuştur.
Bu zafiyetler ve alınması gereken önlemler U.S.T.A. üyeleriyle paylaşılmış, zafiyetlerin mevcut
olduğu sistemleri geliştiren firma ve ekipler ile iletişime geçilerek gerekli yamaların yayınlanması
sağlanmıştır. Ek olarak bu zafiyetlerin gelecekte kurumların gerçekleştireceği sızma testlerinde de
kontrol edilmesine olanak sağlayabilmek adına INVICTUS Güvenlik Araştırmaları Ekibi, metasploit
için söz konusu zafiyetlerin 4 tanesini istismar edilmesine imkan sağlayan modüller geliştirmiştir.
(Bu modüller Rapid7’nin web sitesinden temin edilebilmektedir.)
https://www.rapid7.com/db/modules/exploit/linux/http/kaltura_unserialize_rce
https://www.rapid7.com/db/modules/exploit/unix/webapp/tikiwiki_upload_exec
https://www.rapid7.com/db/modules/exploit/unix/webapp/drupal_restws_exec
https://www.rapid7.com/db/modules/exploit/unix/webapp/drupal_coder_exec
INVICTUS Bilişim Güvenlik Hizmetleri Danışmanlık ve Üretim Ticaret A.Ş.a Teknopark İstanbul. 4/101 Pendik İstanbul
g [email protected] J+90 216 290 23 27 www.invictuseurope.com
SAHTE MOBİL UYGULAMALAR
15
Mobil Şube ve Gelişimi
2016 içerisinde, bir önceki yıla benzer şekilde en dikkat çekici husus, “mobilşube” adıyla bilinen
zararlı Android uygulaması olmuştur. Söz konusu mobil uygulama, bir önceki yılda olduğu gibi
bankacılık müşterilerine gönderilen SMS’ler ile yayılmıştır. Söz konusu mobil uygulamaların
uygulama marketlerinde yayınlandığı bir vaka ile karşılaşılmamıştır. Diğer yandan, mobilşube zararlı
yazılımını geliştiren saldırganın, ilgili zararlı yazılımın komuta kontrol sunucusunu TOR ağı ardına
konumlandırması, söz konusu varyantın geldiği endişe verici noktayı gözler önüne sermektedir.
Bununla birlikte mobilşube’nin bu denli yayılabiliyor olması, “ülkemizde yüzlerce bankacılık müşteri
cihazında, 3. partilerden *.apk indirilmesine olanak sağlayan güvenlik ayarının yetersiz şekilde
işaretlenmiş olduğunu ifade eder niteliktedir. Bu husus 2017 yılı içerisinde sahte mobil uygulama
vektörünün devam edeceğinin başka bir habercisidir.
Özellikle App Store ve Google Play haricindeki uygulama marketlerinin artmakta olduğu günümüzde,
bu bağımsız uygulama marketleri aracılığı ile farklı yayılımlar olabileceği öngörülmektedir. Benzer
şekilde bankacılık kurumlarının App Store ve Google Play’deki resmi ikincil uygulamaları (tahmin,
cüzdan, takip, borsa vb.) taklit edilerek oluşturulabilecek vektörlere karşı da tetikte olunması
öngörülmektedir.
Bu varsayımlar ışığında INVICTUS ve U.S.T.A. ekibi, 2016 yılı içerisinde 6 aylık bir Ar-Ge çalışması
yürütmüş, sahte mobil uygulamaların herhangi bir anahtar kelime gereksinimi olmaksızın,
tamamen imaj eşleme teknolojileri ile tespitine imkan sağlayacak bir teknoloji gelitşirmiştir.
Bu faaliyetler hakkındaki bilgilendirici rapor, Aralık 2016’da U.S.T.A. üyeleri ile paylaşılmıştır.
INVICTUS Bilişim Güvenlik Hizmetleri Danışmanlık ve Üretim Ticaret A.Ş.a Teknopark İstanbul. 4/101 Pendik İstanbul
g [email protected] J+90 216 290 23 27 www.invictuseurope.com
16
TTeehhddiitt PPaayyllaaşışımmııSiber tehditlerin kurumlar arasında paylaşılmasının büyük bir ihtiyaç olacağı konuşulmaya başlandı.
BBeellççiikkaa SSiibbeerr İİssttiihhbbaarraatt KKoonnffeerraannssıı
2013 senesinde U.S.T.A. platformu ilk defa Belçika'da düzenlenen dünyanın en prestijli Siber İstihbarat konferansında tüm ülkelerine tanıtıldı. U.S.T.A. platformu konferans gündeminin siber tehdit paylaşımı olması nedeni ile büyük ilgi topladı.
SSiibbeerr SSaavvaaşş KKoonnggrreessiiU.S.T.A. platformu 19 Kasım 2013 tarihinde Ankara'da düzenlenen ve çevre ülkelerden birçok üst düzey katılımcının bulunduğu Siber Savaş Kongresi'nde dünya üzerindeki siber suçluları gerçek zamanlı olarak harita üzerinde gösterdi.
SSüürreekkllii GGeelliişşiimm2015 başında 3 üye kurumdan alınan onlarca talebi yanıtsız bırakmayan U.S.T.A. platformu, kritik kurumların tam olarak ihtiyacına yanıt verecek seviyeye ulaştı.
İİllkk UU..SS..TT..AA.. üüyyeessiiAğustos 2014 tarihinde Türkiye'nin en büyük bankalarından biri U.S.T.A. platformunu tercih ederek platformun ilk kullanıcısı oldu.
EEnn İİyyii İİnnoovvaassyyoonn ÖÖddüüllüü18 Mayıs 2015 tarihinde U.S.T.A. platformu İngiltere'de düzenlenen ve dünya çapında finans kurumları ve alt yüklenicilerinin katıldığı RBI International'ın düzenlediği yarışmada "Yılın en iyi bankacılık inovasyonu" ödülünü aldı.
SSiibbeerr İİssttiihhbbaarraatt SSuunnuummllaarrıı2015 Ağustos ayında Romanya'da düzenlenen CyberIntelligence konferansında U.S.T.A. platformu tanıtılarak çevre ülkeler ile siber tehdit paylaşımı kanalları oluşturuldu.
88//1100Türkiye Bankalar Birliği'nin yayınlamış olduğu Aktif büyüklüğüne göre bankalar listesinde ilk 10 bankanın 8'i U.S.T.A. üyesi oldu. Bu gelişme ile birlikte U.S.T.A. finans kurumu üye sayısı 14'e ulaştı. U.S.T.A. teknolojisini geliştiren firmamız Avrupa finans kurumlarına da hizmet vermek üzere İsviçre ofisini açtı. U.S.T.A. platformu Türkiye'de finans kurumlarının başlıca destek aldığı merkezi sistem halini aldı.
AArr--GGee FFaaaalliiyyeettlleerriiU.S.T.A. Ekibi farklı sektörden üye kurumlarının ihtiyaçlarına yönelik faydalanacağı birçok konuda Ar-Ge faaliyetlerini tamamlayarak hayata geçirdi. U.S.T.A. Zabıta, U.S.T.A. Devriye ve U.S.T.A. Mobil başta olmak üzere farklı servis modelleri ile birçok siber tehditi önceden tespit edebilmeye yönelik teknolojiler kullanıma sokuldu.
22001122
EEyyllüüll 22001133
KKaassıımm 22001133
22001144
OOccaakk 22001155
MMaayyııss 22001155
AAğğuussttooss 22001155
OOccaakk 22001166
AArraallııkk 22001166
01
02
03
04
05
06
07
08
09
TTeehhddiitt PPaayyllaaşışımmııSiber tehditlerin kurumlar arasında paylaşılmasının büyük bir ihtiyaç olacağı konuşulmaya başlandı.
BBeellççiikkaa SSiibbeerr İİssttiihhbbaarraatt KKoonnffeerraannssıı
2013 senesinde U.S.T.A. platformu ilk defa Belçika'da düzenlenen dünyanın en prestijli Siber İstihbarat konferansında tüm ülkelerine tanıtıldı. U.S.T.A. platformu konferans gündeminin siber tehdit paylaşımı olması nedeni ile büyük ilgi topladı.
SSiibbeerr SSaavvaaşş KKoonnggrreessiiU.S.T.A. platformu 19 Kasım 2013 tarihinde Ankara'da düzenlenen ve çevre ülkelerden birçok üst düzey katılımcının bulunduğu Siber Savaş Kongresi'nde dünya üzerindeki siber suçluları gerçek zamanlı olarak harita üzerinde gösterdi.
SSüürreekkllii GGeelliişşiimm2015 başında 3 üye kurumdan alınan onlarca talebi yanıtsız bırakmayan U.S.T.A. platformu, kritik kurumların tam olarak ihtiyacına yanıt verecek seviyeye ulaştı.
İİllkk UU..SS..TT..AA.. üüyyeessiiAğustos 2014 tarihinde Türkiye'nin en büyük bankalarından biri U.S.T.A. platformunu tercih ederek platformun ilk kullanıcısı oldu.
EEnn İİyyii İİnnoovvaassyyoonn ÖÖddüüllüü18 Mayıs 2015 tarihinde U.S.T.A. platformu İngiltere'de düzenlenen ve dünya çapında finans kurumları ve alt yüklenicilerinin katıldığı RBI International'ın düzenlediği yarışmada "Yılın en iyi bankacılık inovasyonu" ödülünü aldı.
SSiibbeerr İİssttiihhbbaarraatt SSuunnuummllaarrıı2015 Ağustos ayında Romanya'da düzenlenen CyberIntelligence konferansında U.S.T.A. platformu tanıtılarak çevre ülkeler ile siber tehdit paylaşımı kanalları oluşturuldu.
88//1100Türkiye Bankalar Birliği'nin yayınlamış olduğu Aktif büyüklüğüne göre bankalar listesinde ilk 10 bankanın 8'i U.S.T.A. üyesi oldu. Bu gelişme ile birlikte U.S.T.A. finans kurumu üye sayısı 14'e ulaştı. U.S.T.A. teknolojisini geliştiren firmamız Avrupa finans kurumlarına da hizmet vermek üzere İsviçre ofisini açtı. U.S.T.A. platformu Türkiye'de finans kurumlarının başlıca destek aldığı merkezi sistem halini aldı.
AArr--GGee FFaaaalliiyyeettlleerriiU.S.T.A. Ekibi farklı sektörden üye kurumlarının ihtiyaçlarına yönelik faydalanacağı birçok konuda Ar-Ge faaliyetlerini tamamlayarak hayata geçirdi. U.S.T.A. Zabıta, U.S.T.A. Devriye ve U.S.T.A. Mobil başta olmak üzere farklı servis modelleri ile birçok siber tehditi önceden tespit edebilmeye yönelik teknolojiler kullanıma sokuldu.
22001122
EEyyllüüll 22001133
KKaassıımm 22001133
22001144
OOccaakk 22001155
MMaayyııss 22001155
AAğğuussttooss 22001155
OOccaakk 22001166
AArraallııkk 22001166
01
02
03
04
05
06
07
08
09