Milyon Dolarlık Kaleler Neden Tek Bir Linkle Çöker? (Bölüm 1)
Google ve Facebook tek bir oltalama kampanyasıyla 120 milyon doları nasıl kaybetti — ve geleneksel güvenlik araçlarının gözden kaçırdığı şey neydi.
Siber güvenlik sektöründe hepimiz büyük bir yanılsamanın içinde yaşıyoruz.
Şirketler milyonlarca dolar harcıyor, en gelişmiş güvenlik duvarlarını kuruyor, ağlarını bölümlere ayırıyor ve devasa Güvenlik Operasyon Merkezleri (SOC'lar) inşa ediyor. Dışarıdan bakıldığında, aşılmaz ve kusursuz bir kurumsal kale görüyorsunuz. Ancak siber güvenlik bütçelerinin çoğu teknik altyapıya harcanırken, başarılı saldırıların çoğu hâlâ insan faktörü üzerinden gerçekleşiyor. Bu, sektörün yüzleşmekten sıklıkla kaçındığı büyük bir çelişki.
Bu milyon dolarlık kalelerin çoğu, uzun ve yoğun bir günün sonunda yorgun bir çalışanın ekranına düşen tek bir sahte link, tek bir e-posta, tek bir QR kod veya tek bir PDF dosyasıyla çöküyor.
Bu nedenle saldırganların artık tüm enerjilerini doğrudan sistemleri hacklemeye harcamalarına gerek yok. Güçlendirilmiş bir sunucuyu kırmak için aylar harcamak yerine, insanların güvenini, yorgunluğunu ve anlık aciliyetini hacklemek çok daha kolay, ucuz ve yıkıcı. Ne yazık ki geleneksel siber güvenlik araçları bu yeni cephe hattında doğal olarak kör kalıyor.
Siber güvenliğin gerçek cephe hattına inelim. Bu üç bölümlük serinin ilk bölümünde, dünyanın en büyük şirketlerinden bazılarının nasıl açıkça avlandığını inceleyeceğiz.
Kusursuz Güvenlik Duvarlarının Ardındaki Kör Nokta: Google ve Facebook Vakası
Dünyanın en iyi siber güvenlik mühendislerinden bazılarını istihdam eden ve en gelişmiş yapay zeka tabanlı filtreleme sistemlerini kullanan iki küresel devden bahsediyoruz: Google ve Facebook.
Bir siber suçlu, her iki şirketle de milyar dolarlık iş ilişkilerine sahip olan büyük bir Tayvanlı donanım üreticisi Quanta Computer'ı hedef aldı. Bu sıradan bir "şifrenizi sıfırlayın" e-postası değildi. Saldırgan, şirketlerin kurumsal e-posta yapılarını, gerçek fatura şablonlarını, ödeme koşullarını ve yazım tarzını günlerce analiz etti, ardından bunları neredeyse mükemmel bir şekilde kopyaladı. Bundan sonra, orijinal olanlara o kadar benzer sahte alan adları satın aldı ki, tek harflik farkı çıplak gözle fark etmek neredeyse imkansızdı. Bu sahte alan adları üzerinden, muhasebe departmanlarındaki çalışanlara sahte faturalar göndermeye başladı.
Siber güvenliği açısından burada ne oldu? Bu neden önlenemedi?
Geleneksel Güvenli E-posta Ağ Geçitleri (SEG'ler) bu gelen e-postaları taradı. Kurumsal güvenlik araçları çoğunlukla imza tabanlı ve itibar tabanlı mantıkla çalışır. E-postanın içinde bilinen bir kötü amaçlı yazılım yoktu. Mesajların içindeki linkler de daha önce herhangi bir siber tehdit istihbaratı kara listesinde yer almamış yepyeni, temiz alan adlarıydı. Filtreler geçmiş verilere baktı, her şeyin "temiz" olduğuna karar verdi ve e-postalar meşgul çalışanların ekranına düştü.
Çalışanlar, yıllardır çalıştıkları bir tedarikçiden gelen tanıdık fatura formatını gördüklerinde hiçbir şeyden şüphelenmedi. Sonuç? Google ve Facebook, bu sahte fatura e-postalarına güvenerek saldırganın banka hesaplarına toplam 120 milyon dolar transfer etti.
PhiShark Orada Olsaydı Ne Değişirdi?
Eğer bu çalışanların tarayıcılarında veya şirket e-posta ağında PhiShark Tarayıcı Eklentisi entegre olsaydı, sistem geleneksel araçlar gibi davranmaz ve yalnızca "Bu URL zaten bir kara listede biliniyor mu?" diye sormazdı.
PhiShark'ın Posta Koruması ve Gerçek Zamanlı URL Modülü, bu fatura linki tetiklendiği anda milisaniyeler içinde arka planda bir siber güvenlik analisti gibi düşünmeye başlardı. Ajan tabanlı yapay zeka analistimiz (AIPA) şu kritik soruları sorardı:
- Bu alan adı sadece 3 gün önce kaydedildi. Neden trilyon dolarlık bir donanım üreticisinin adını taklit ediyor?
- Gönderen sunucu kayıtları neden taklit edilen markanın gerçek altyapı kayıtlarıyla eşleşmiyor?
- Yönlendirme zincirinde neden yapısal anormallikler var?
Alan adının hiçbir itibar geçmişi olmasa bile, PhiShark saldırıyı canlı davranışından ve marka taklidi yapısından tespit ederdi. Çalışan faturayı ödemek için linke tıkladığında, parmağı henüz fareden kalkmadan önce eklentimiz devreye girer, ekranı kırmızıya çevirir ve işlemi durdururdu. O 120 milyon dolar şirketin içinde kalırdı.
Çünkü en iyi güvenlik duvarı, tehdit çalışanın ekranında göründüğü ilk milisaniyede onu yok eden duvardır.
İkinci bölümde, geleneksel e-posta filtrelerini atlatan kötü amaçlı PDF dosyalarının büyük şirketleri nasıl çökertebileceğini inceleyeceğiz.
Güvende kalın. PhiShark'ı İndirin.
Bu arada, eklenti hakkında teknik geri bildirim paylaşmak veya siber güvenlikle ilgili herhangi bir konuda konuşmak isterseniz, bana LinkedIn üzerinden her zaman ulaşabilirsiniz.
Ha bu arada, diğer bölümler çok yakında geliyor — bayağı çılgın hikayeler var sırada. Takipte kalın. :D
Sevgiler, Ozan.