Şu anda bilgisayar korsanları, Silicon Valley Bank’ın başarısızlığı haberlerinden yararlanan kimlik avı kampanyaları geliştiriyorlar.
SVB, Amerika Birleşik Devletleri’ndeki en büyük 16. bankaydı ve öncelikle Buzzfeed, Roblox, Trustpilot ve Roku gibi isim markaları da dahil olmak üzere Silikon Vadisi girişimlerine ve teknoloji şirketlerine hizmet vermesiyle biliniyordu. Küresel enflasyonla başlayan ve mevduatlara hücumla biten bir zincirleme reaksiyon, düzenleyicilerin Cuma günü bankayı kapatmasına neden oldu.
SVB müşterileri, mevduatlarını geri alıp alamayacaklarından emin olamadıkları için hafta sonu paniğe kapıldılar. Ironscales CEO’su Eyal Benishti, “bilgisayar korsanları, insanların duygularını avlamak için SVB durumundan yararlanıyor” diyor. “SVB ile ilgili içeriği, kurbanlarının dikkati dağıldığında ve daha az uyanık olduğunda bir aciliyet duygusu yaratan mevcut, kanıtlanmış taktiklerine dahil ediyorlar.”
Gerçekten de analistler, bu hafta SVB ile ilgili bir saldırı dalgasını (kimlik avı ve diğer türlü) ve her gün düzinelerce yeni tehdidin ortaya çıktığını fark ettiler. Ve ne yazık ki, tamamen meşru şirketler aslında farkında olmadan saldırganlara yardım ediyor.
SVB Kimlik Avı Kampanyaları
Veriti’nin CPO’su ve kurucu ortağı Oren Koren, verilerin hemen akmaya başladığını gördü. “Hackerlar 10 ve 11 Mart’ta SVB ile ilgili alan adlarına çok yakın alan adları satın alarak başladı” diyor. Alan adları, ödemeleri veya bir kurtarma paketini referans alır veya Benshiti’nin “svblogin” dediği gibi meşru SVB alan adlarını taklit etmeye çalışır.[.]com” ve “login-svb”[.]com”. Bazen, bilgisayar korsanları daha az incelikli bir yaklaşım benimser – “wefinancesvbclients” gibi bir şey[.]com.”
Koren, benzer etki alanlarını kaydettiren faillerin kimlik avı saldırı akışlarını oluşturup test ettiğini gözlemledi. “Dağıtmadan önce, bir kimlik avı süreci oluşturuyorsunuz ve ardından çalıştığını doğrulamak için kendiniz test ediyorsunuz” diye açıklıyor.
Bir vakada, kötü niyetli bir aktör altyapılarını Türkiye’den açıkça test ederek elini uzattı. “Bu bir hataydı ve bu yüzden orada başladığını ve sonunda ABD’yi hedef almak için harekete geçtiğini biliyoruz” diyor. Toplamda Koren, bazı küçük kuruluşlara ek olarak iki büyük grubun saldırılarını gözlemledi.
Bu yazının yazıldığı tarihte, Veriti, SVB ile ilgili saldırılar için kayıtlı 62’den fazla yeni alan adını ve toplamda 200 kimlik avı saldırısını, özellikle Amerika Birleşik Devletleri’ndeki hedeflere karşı izlemiştir (SVB’nin müşterilerinin çoğu ABD merkezli şirketler olduğu için bu anlaşılabilir bir durumdur).
Bilgisayar korsanlarının önemli haberlerden çıkar sağlamaları yeni bir şey değil; bu, kendini defalarca tekrar eden bir model. Bu davaya özgü ve ilginç olan şey, halkın istemeden de olsa faillerin amaçlarına ulaşmalarına yardım ediyor olabileceğidir.
Hackerlar İçin İşi Nasıl Kolaylaştırıyoruz?
Dark Reading ile konuşan analistler, halkın SVB’ye tepkisinin aslında bilgisayar korsanlarının işini birçok yönden kolaylaştırdığını vurguladılar.
Koren, SVB’den etkilenen müşterilerin listelerini yayınlayan abusebysvbonot.com ve svbmeltdown.fyi gibi web sitelerini ve bunların ne kadar kötü bir şekilde ifşa edildiğini not etti. “Yayın açısından önemlidir,” diye kabul ediyor, “ancak saldırganlar için bu hizmetler kimi hedef almaları gerektiğini daha iyi bilmelerini sağlıyor.” Saldırganlar, kimlik avı e-postalarını meşrulaştırmaya yardımcı olmak için bu web sitelerindeki belirli ayrıntıları kullanabilir veya bu şirketlerin kasalarında ne kadar para sakladığını gördüklerine göre fidye ödemelerini ölçeklendirebilir.
Proofpoint’in siber güvenlik stratejisinden sorumlu başkan yardımcısı Ryan Kalember, çok daha incelikli bir soruna işaret ediyor. SVB müşterileri diğer bankalara kaydıkça, müşterileri ve satıcıları yeni ödeme kanalları hakkında bilgilendirmek zorunda kalıyorlar. Bu bildirimler bazen kimlik avından çok da ayırt edilemez.
Aşağıdaki son derece dürüst e-postayı ele alalım — SVB’nin başarısızlığı nedeniyle ödemelerin yeni bir banka hesabına gönderilmesi gerektiğini müşterilere bildiren bir satıcı. “Bu haberin sonucu olarak” diyor, “biz soruyoruz. ani etkiyle Şirketinizin daha önce Silicon Valley Bank’a ödenmesini yönlendirdiğimiz ödemeler, artık ekli Finans Departmanımızdan gelen mektup.”
Kalember, “Aslında, e-posta son derece yararsız, çünkü doğru hesap ayrıntılarını sağlasa bile, dilden en küçük ayrıntılara kadar kimlik avına çok benziyor,” diye açıklıyor. “.docx.pdf nedeniyle bile son derece kötü niyetli görünüyor.”
SVB Dolandırıcılık Hücumuna Nasıl Hazırlanılır?
Kalember, kendi şirketi SVB’ye sınırlı düzeyde maruz kaldığından, bu ödeme sorununu yalnızca bir güvenlik analistinin bakış açısıyla değil, ilk elden halletmek zorunda kaldı. İlgili müvekkillerine bildirimde bulunurken daha dikkatli yaklaşmayı tavsiye ediyor. “E-postanın söylemesi gereken şey şu: ‘Lütfen bizi önceden bilinen bir şekilde, resmi ve tartışmasız meşru bir telefon numarasından arayın. İleride ödeme perspektifinden nereye gitmemiz gerektiğini tartışacağız.'”
SVB ile ilgili saldırıların daha geniş bir sorununu ele almak için Benishti, ileriye dönük bir güvenlik kültürüne ve iç güvenlik süreçlerini gözden geçirmeye duyulan ihtiyacın altını çizdi. “Şirketler ayrıca, sahte oturum açma sayfalarını tespit etmek ve SVB ile ilgili dolandırıcılıklarda öne çıkan bir oyun olacak olan kimlik bilgilerinin toplanmasını önlemek için sağlam sistemlere sahip olmalıdır” diyor.
Koren, çözümün daha da basit olduğunu düşünüyor. Halihazırda bir SVB kimlik avı kampanyasında hedef alınan bir kuruluşa örnek verdi. Sağlam uç nokta ve ağ güvenliği çözümlerinin yanı sıra “Posta güvenliklerinde kimlik avına karşı koruma vardı” diye belirtiyor. “Maalesef bu durumda güvenlikleri en üst düzeye çıkarılmadı. Kimlik avı e-postası ulaştı. Bu tür saldırılardan korunmak için gerekli tüm teknolojilere sahipler, özellikle kullanmamışlardı çünkü sahip olduklarının farkında değillerdi. kimlik avına karşı koruma sağlayan bir teknoloji.”
Koren, çoğu kuruluşun benzer bir konumda olduğunu söylüyor. “Yani amaç, güvenlik açısından sahip olduklarınızı en üst düzeye çıkarmak veya bunu yapmak için otomasyonları ve yapay zekayı kullanmak.” SVB ile ilgili kampanyalar artmaya devam ettikçe, şirketlerin zaten sahip oldukları güvenliği en üst düzeye çıkarmaları gerekecek.