Siber suç ekonomisi son birkaç yıldır çok büyük bir hızla büyüyor ve yakın zamanda hız kesmeyeceği de ortada. Şu anda yaklaşık 6 trilyon dolar olan siber suçların maliyetinin 2025 yılına kadar 10,5 trilyon dolara ulaşacağı hesaplanıyor. Bir siber güvenlik ihlalinin ortalama maliyeti 2021’de yüzde 10 artarak 4,24 milyon dolara yükseldi. 2025 yılına kadar siber dolandırıcıların kazancının tüm yasa dışı faaliyetler sonucu elde edilen gelirlerden 10 kat fazla olacağı tahmin ediliyor.
Siber dolandırıcıların yöntemleri her geçen gün çeşitleniyor. Siber dolandırıcıların kim olduğuna, son yöntemlerine ve siber suçlara yakından bakalım.
İKİ TÜR SİBER DOLANDIRICI VAR
İlk grupta kendi inisiyatifleriyle hareket eden veya kiralanabilen, dağınık yapıda, yalnız veya grup şeklinde hayata geçirilen suç girişimleri yer alıyor. Öncelikli amaçları tamamen finansal kazanç elde etmek olarak tarif ediliyor.
İkinci grupta yer alanlar ise uluslararası organize siber suç çeteleri. Çoğu zaman örtülü veya açıkça ulus-devlet desteğinden yararlanıyorlar. Saldırmaya yönelik motivasyonları arasında mali kazanç ve/veya siyasi nedenler (casusluk ve sabotaj) yer alıyor. Bu gruplar yalnızca fidye yazılımı dağıtmaya odaklı değil. Sürekli olarak yeni istismar yöntemlerini uyarlıyor, arıyor ya da geliştiriyorlar. Ayrıca çoğunlukla kalıcı tehdit saldırıları (APT*) kullanıyorlar.
EN AĞIR DARBE ÜRETİME
IBM X-Force Tehdit İstihbaratı Endeksi, 2021’de fidye yazılımlarının yüzde 23 ile en fazla saldırıya uğrayan sektör haline gelen üretim sektörüne yönelik saldırıları ve bu saldırıların küresel tedarik zincirlerini nasıl kırmaya çalıştığını ayrıntılı olarak açıklıyor. Saldırganlar, üretim kuruluşlarında yaşanan aksaklıkların kendilerine bağımlı tedarik zincirlerinde yaratacağı dalgalanma etkisine odaklanıyor. Bu durum diğer tüm sektörlerden daha fazla fidye yazılımı saldırısına uğrayan üretim sektörünü fidyeyi ödemeleri için baskı altına alıyor. Bu saldırıların hedefinde olan kuruluşların yüzde 47’si ise güvenlik açıkları nedeniyle henüz yazılımlarına yama uygulayamıyor.
GÜVENLİK AÇIĞI İSTİSMARI
Güvenlik açığı istismarı, çok önemli bir saldırı yöntemi. X-Force, önceki yıla kıyasla bu istismar türünde yüzde 33 artış gözlemledi ve 2021’de açığa çıkarılan güvenlik açığı sayısının rekor düzeye ulaştığını belirtti. Son 10 yılda 146.000’den fazla güvenlik açığı belirlenmiş olmasına rağmen kuruluşlar, dijital yolculuklarını ancak son birkaç yılda, daha çok pandeminin etkisiyle hızlandırdı. Bu durum güvenlik açığı yönetimi zorluğunun henüz tepe noktasına ulaşmamış olabileceğini gösteriyor.
FİDYE YAZILIMI BAŞI ÇEKİYOR
Siber dolandırıcılıktaki büyük hasarın en büyük sorumluları arasında fidye yazılımları başı çekiyor. 2021 yılında fidye yazılım aracılığıyla gerçekleşen hasar 20 milyar doları aştı. 2021’de aldığı fidye yazılım hasarı sonucu veri ve bilgi sistemlerine yeniden erişim sağlamak isteyen CNA Sigorta, tarihin en büyük fidye yazılım ödemesini 40 milyon dolar ile yaptı.
Bu saldırılardan, bireyler ve şirketler kadar devletler de etkileniyor. Fidye yazılımlarla ele geçirilen veriler, ancak siber suçlulara kripto paralarla yapılan ödemeler sonucu geri alınabiliyor. Bu konuda en bilinen örneklerden biri 2021’de Amerika’daki bir enerji şirketine yapılan saldırı sonucu petrol boru hattının kapatılması, petrol sıkıntısı oluşması sonucu uçuşların ertelenmesi, benzin istasyonlarında benzin bulunamaması ve sonunda Başkan’ın olağanüstü hal ilan etmesi olmuştu. Bu doğrudan şirketin operasyonlarına yönelik bir saldırıydı. Benzer bir saldırı İrlanda’nın Sağlık Bakanlığı sistemlerine yapıldı. Pek çok kişinin kişisel verileri ve sağlık verileri riske girmiş oldu, sağlık sistemi bir süre çalışmadı.
KİMLİK AVI
Gelişmiş hedef odaklı kimlik avı ve iş e-postası ele geçirme (BEC), en yıkıcı kimlik avı saldırı türleri . Bir kuruluştaki üst düzey personeli hedefleyen bu saldırılar, balina avcılığı veya C-level kimliğe bürünme saldırıları olarak da adlandırılan bir yöntemi uyguluyor. Bu e-posta hesaplarının taşıdığı önemli idari ayrıcalıklar nedeniyle üst düzey personel hedefleniyor. Saldırgan bir çalışanın e-posta hesabını başarıyla ele geçirdiğinde, fidye yazılımını dağıtmak ve fidye talep etmek için ortalama süre 12 ila 76 saat arasında değişiyor.
KALICI TEHDİT SALDIRILARI
APT denilen gelişmiş kalıcı tehdit saldırıları şirketleri ve kamuoyunu en çok etkileyen saldırılardan. Bu, siber saldırganların bir sisteme sızıp uzun süre kimse fark etmeden sistemin açıklarını gözlemlemeleri anlamına geliyor. Örneğin birkaç yıl önce Bangladeş Merkez Bankası böyle bir saldırıda 1 milyar dolar kaybetti. Verizon 2021 Veri İhlali İncelemeleri Raporu’na göre 2021 yılındaki güvenlik ihlallerinin yüzde 36’sı kimlik avı ile ilgili. Dolandırıcılar her geçen gün yeni taktikler geliştirerek evde daha çok vakit geçiren kullanıcıları tuzağa düşürmeye çalışıyor. Aslında bu küresel çapta bir tehdit. Dolayısıyla kurumların siber güvenlik bütçelerinin de artması gerekiyor. 2021 yılında şirketlerin yüzde 82’sinin bu finansmanları artırdığı belirlenmişti.
SOSYAL MEDYA DOLANDIRICILIĞI
Sosyal medya hesaplarına gerçekleşen saldırılar da dikkat çekiyor. Özellikle Instagram hesaplarının çalınma oranı daha önceki yıllara göre arttı. Bir arkadaşınızın sosyal medya hesabından ‘Şu yatırım yaptım, kısa sürede çok para kazandım, siz de yapın siz de kazanın” gibi bir story atıldığını görüyorsanız bilin ki o hesap artık bir dolandırıcının elinde.
Organize gruplar, Instagram hesabını çaldıktan sonra birkaç yöntem kullanıyor. Örneğin, eğer yüksek takipçili herhangi bir hesap çalınmışsa, o hesap üzerinden yatırım dolandırıcılığı yapılıyor. Kişinin hesabı çalındıktan sonra story’lerden sürekli sahte dekontlar paylaşılıyor.
BULUTA SALDIRI
Saldırganlar kararlı bir biçimde bulut ortamları aracılığıyla faaliyetlerinin ölçeğini artırmaya çalışırken, işletmelerin hibrit altyapılarının görünürlüğünü artırmaya odaklanmaları gerekiyor. Birlikte çalışabilirlik ve açık kaynaklar esas alınarak oluşturulan hibrit bulut ortamları, kuruluşların kör noktaları saptamalarına ve güvenlik olaylarına müdahaleleri hızlandırıp otomatikleştirmelerine yardımcı olabilir.
Siber dolandırıcılıkta tüm bu gelişmelerle birlikte, şirketlerin ihlal gerçekleştiğini varsayarak hareket etmelerinin ve bir Sıfır Güven stratejisi uygulamalarının önemi tekrar gözler önüne seriliyor.
* Gelişmiş sürekli tehdit (APT), genellikle bir grup becerikli bilgisayar korsanı tarafından hazırlanan ve uzun bir süre boyunca devam eden sofistike ve sistematik bir siber saldırı programıdır.
Kaynaklar:
https://www.ibm.com/security/data-breach/threat-intelligence/
https://www.verizon.com/business/en-gb/resources/reports/dbir/
