Blog

Çevrimiçi Bankacılık Hizmetlerini Tehdit Eden Zararlı Yazılımlar

Teknoloji ve telekominikasyon altyapısının güçlenmesi ile birlikte kurumsal çevrimiçi hizmetlerin saysısı giderek artış göstermiştirr. Akıllı cihazların hızla gelişip toplumun her kitlesine hitap ederek sözkonu hizmetlerin kullanımını arttırması ile çevrimiçi kullanıcı kitlesi genişlemiş ve insanlar birçok ihtiyacını internet üzerinden kolayca gidermeye başlamıştır. Oluşan bu pazar payına bankalarda dahil olmuş ve gerek internet siteleri gerekse mobil uygulamar üzerinden kullanıcılara hizmet vermeye başlamışlardır. Bankalar standart hizmet sağlayan sistemlerin aksine sahip oldukları bankamatik cihazlarına benzer olarak 7 gün 24 saat hizmet vermenin yanı sıra sistemi aynı şekilde sürekli  aktif ve olası siber saldırılar karşısında güvende tutma yükümlüğü altındadır. Teknolojinin gelişimi yeni ürün ve hizmetlerin artmasını sağlarken siber tehdit unsurları da aynı aynı şekilde artmaktadır.

Kullanıcı kitlesinin genişlemesi çevrimiçi olarak kullanılan verilerin yine çevrimiçi olarak muhafaza edilmesi ihtiyacını oluşturmuştur. Veri saklamada kullanılan manytetik ve manyeto-optik cihazların çevrimiçi olarak erişime açılması ile bu hizmet “bulut bilişim” sektörü adı altında hizmet olarak dağıtılmaya başlanmış ve birçok firma bu hizmeti sunmaya başlamıştır. Görüldüğü gibi günümüze veri depolama ve veriye erişme konularında herhangi kritik bir kısıtlama ve problem yoktur (devlet, birey ve şirketlerin özeli dışında). Verilerin coğrafi konum olarak hemen heryerden erişime açık olması, verilerin depolanmasından daha çok depolanan verinin yönetiminin bir sorun olmasına neden olmuştur.

Çevrimiçi veri saklama hizmetlerinden faydalanan bir diğer önemli kitle ise bankalardır. Bankaların bireylerden hesap açmak için istedikleri bilgiler nerdeyse bütün özel bilgileri kapsamaktadır ve bu bilgiler bankaların çevrimiçi veritabanlarında muhafaza edilmektedir. Saklanan bilgilerin değerinin yanı sıra sadece hesap bilgileri ile kişiler adına yapılacak bankacılık işlemleri kişilere ciddi oranda zarar verebilir. Bu ve benzeri birçok diğer sebepten ötürü bankalar, banka çalışanları, çevrimiçi bankacılık hizmetleri/uygulamları ve ATM cihazları potansiyel birer hedef halindedir. Bankalara yapılacak saldırıların sonucunda yakalanma riskinin çok fazla olmasından ötürü saldırganlar genellikle kullanıcı ve personel odaklı  saldırılar düzenlemektedir.  

Online bankacılık sistemleri 7/24 hizmet içinde olmak mecburiyetinde olan hizmetlerdir bundan ötürü siber güvenlik ve çevrimiçi bankacılık hizmetlerinin ilişkisi güven esasına dayanmaktadır, kişi özünde güvenerek  bir bankayı seçer ama bu güveni kesinlikle bankanın siber güvenlik yetkinliklerine bakarak seçmez –en azından ülkemizdeki birçok kullanıcının bu kriteri düşünmeden seçim yaptığına kendim şahit oldum-genelde “Banka batarsa ne olur?” “Paramı istediğim zaman çekebilir miyim?” tarzında düşünüldüğünden bankacılık işlemlerinde de siber güvenliğe pek önem gösterilmez (Önem kısmının eleştirilmesi kullanıcıların genelde hemen her cihazdan banka hesabına bağlanılmasından kaynaklıdır).Kişi bankadan gelen güvenlik kodu ve bilgilendirme mesajının kullanıcıyı güven altında tuttuğu yanılgısına kapılır ve kullanıcı tarafından alınması gereken en basit önlemler dahi almaz. Çevrimiçi bankacılık hedefli saldırılarda saldırganın amacı; oturum bilgilerini ve kullanıcının bakiyesini ele geçirmektir, dolayısıyla sisteme sızan veyahut herhangi bir zararlı yazılım bulaştıran bir saldırgann yapacağı tek şey kullanıcıyı izlemek ve yaptıklarını kaydetmek olacaktır. Bu yaklaşımdan ötürü kullanıcının saldırganı farketmesi daha güç olmaktadır.

Bu yazıda çevrimiçi bancalık işlemlerini hedef alan ve kullanıcıları en çok tehdit eden zararlı yazılımlardan bahsedeceğiz.

2. Sık Rastlanan Çevrimiçi Bankacılık Zararlı Yazılımları

Literatüre bakıldığında birçok zararlı yazılım kategorisinin olduğunu görebiliriz, genelde yazılımlar tuş vuruşlarını kayıt edenler, donanıma zarar verenler ve oturumu ele geçirenler olarak sınıflandırılır. Bu yazıda, daha önce yapılanların aksine bahsedeceğimiz yazılımların sınıfından çok ne olduğu kısmına odaklanıyoruz. Bahsedilen zararlı yazılımların ortak özelliği ise hemen hepsinin sosyal mühendislik yöntemleri ile başarıya ulaşmasıdır.

2.1 Zeus

Zeus zararlı yazılımı bulaştığı cihazda kendi izlerini silebilen bir yazılımdır, bundan ötürü farkedilmesi güçtür. Sahte e-posta yolu ile bulaşır, genelde popüler firmalardan gelmiş gibi görünen fatura, rezervasyon, ve uyuarı gibi görünen e-postaler aracılığı ile dağıtılmaya çalışılır. Gelen e-posta içerisinde bulunan .pdf dosyasında gizlenen bu zararlı yazılımın “bir tıklama” ile bulaşma sebebi e-posta ile gelen dosyanın uzantısının .pdf değil .pdf.exe olmasıdır. Çoğu sistemde otomatik olarak aktif olan “Bilinen dosya uzantılarını gizle” özelliği sebebiyle kullanıcı dosyanın çift uzantılı olduğunu farkedemez. 2013 yılında yapılan bir araştırmada ülkemizin Zeus’tan en çok etkilenen 3. ülke olduğu açıklanmıştır.

2.2. Expiro

Bir diğer zararlı yazılım olan Expironun diğerlerinden farkı FTP bilgilerinide hedeflemesidir. Bu zararlının bulaşma yöntemindeki farklılık ise “Styx Attack Kit” ile dağıtılmasıdır.

2.3. Mevade

Mevade'nin diğer zararlı yazılımlardan farkı botnet özellikli bir zararlı olmasıdır. Bu zararlı saldırgan ile tor ağı aracılığı ile iletişim kurmaktadır. Son zamanlardakı tor kullanınımın artmasının bir nedenini buna bağlayan birçok güvenlik araştırması literatürde mevcuttur. Mevade genellikle reklam yazılımları ve sahte güncelleme uyarıları ile sisteme bulaşmaya çalışır, sisteme bulaştıktan sonra tor ağına bağlanmak için gerekli yazılımı indirip kurulumunu tamamlar.

2.4. SpyEye

Bu zaralı yazılım Amerika için özel olarak üretilen zararlı yazılımlardan birisidir ve geliştirilmiş bir hacker aracıdır. Zararlı, sisteme bulaştıktan sonra kullanıcının çevrimiçi bankacılık bilgilerini ele geçirmeye çalışır, başarılı olursa, hedef kişinin hesabından düzenli olarak farklı miktarlarda para transferi gerçekleştirir. Bu zararlının yaklaşık olarak 10,000,000 civarı sisteme bulaştığı ve 10,000’nden  fazla banka hesabına erişim sağladığı bilinmektedir.

2.5. Tinba

18kb boyutunda olan bu zararlı yazılım Türkiye için özel olarak üretilen zararlı yazılımlardan biridir. Zararlı, oltalama yöntemleri ile bulaşmaktadır, dosya boyutunun ufak olmasının aksine birden fazla saldırı özelliğine sahiptir. Tinba’nın sladırı yelpazesi: Oturum bilgilerini çalabilmektedir, ağ trafiğini dinleyebilmektedir, man in the middle saldırıları düzenleyebilmektedir ve en önemlisi iki adımlı doğrulama sistemlerini sahte siteler kullanarak aşabilmektedir.

Zaralı, sisteme bulaştıktan sonra %APPDATA%\Default\bin.exe konumunu oluşturup kendisini sistem açılışına kayıt edip daha sonra “dll injection” yöntemi ile winver.exe, svchost.exe ve explorer.exesistem hizmetlerine zararlı kod enjekte ediyor. Enjekte edilen kodlar ile saldırganın sistem yönetimini ele geçirmesi sağlanıyor ve daha sonra bin.exe işlemi kendini sonlandırıyor.

2.6. Hesperbot

Bu zararlı ise “man in the middle” saldırı yöntemi ile hedef kullanıcın çevrimiçi bankaclık bilgilerini ele geçirmeye amaçlı kullanılmaktadır. Bu zararlının diğerlerinden kati olarak farkı iki aşamalı kimlik doğrulama sistemini alt edebilmesidir. Hesperbot ilk olarak bilgisayara sızıp daha sonra hedefin mobil cihazına sızmakta ve böylece iki aşamalı kimlik doğrulama sistemlerini kolaylıkla aşabilmektedir. Mobil cihazlarda kendini banka uygulaması yada kullanıcının faturayı açması için gereken yazılım olarak tanıtan hesperbot kolaylıkla “root” yetkileri ile kurulabilmektedir, kurulumun ardından mobil cihazda sınırsız erişim hakkına sahip olan uygulama gelen mesajları gizleme ve mesaj gönderip silme yolları ile bankaların gönderdiği güvenlik kodlarını saldırgana kullanıcının haberi olmadan gönderebilmektedir.

3. Güvenli Çevrimiçi Bankacılık İçin Yapılması Gerekenler

Güvenlik bankacılık ve internet kullanımına yönelik birçok farklı güvenlik yazılımı/uygulaması elbette vardır, temel düzeyde dikkate alınması gereken ve uygulanması hemen herkes tarafından kolay olan şu önlemler ile ortalamanın üzerinde bir güvenli ortama sahip olmak mümkündür;

  • Ödemeler her daim 3D güvenlik seçeneğini kullanarak yapılmalı.
  • Herkese açık bağlantılar üzerinden banka hesaplarına bağlanılmamalı.
  • Şifreler herhangi bir yere not edilmemeli, kısa aralıklar ile değiştirilmeli ve benzer şifreler kullanılmamalı.
  • Bankaların bilgilendirme ve doğrulama sistemlerini kullanmaya özen gösterilmeli.
  • Çevrimiçi banka giriş geçmişi sürekli olarak kontrol edilmeli.
  • Kablosuz bağlantıların güvenliği olabildiğince üst düzeyde tutulmalı (wps gereksiz yere açılmamalı, wpa2 tercih edilmeli, harf rakam ve sembollerden oluşan güçlü şifreler oluşturulmalı, modem arayüz şifresi değiştirilmeli).
  • Kullanılan yazılım ve hizmetler lisanslı ve sürekli güncel olmalı.
  • E-posta eklerine dikkat edilmeli ve şüpheli dosyalar sanal sistemlerde açılmalı.
  • Yüklenecek yazılımların kaynağı kontrol edilmeli ve e-posta ile gelen linklerin kaynak-hedef kontrolü yapılmalı.
  • Yetki siteyen yazılımlara onay verilirken dikkat edilmeli ve gereksiz yetki isteyen yazılımlar tercih edilmemelidir.
  • Sistem düzenli olarak kontrol edilmeli.

Bunlar en temel düzeyde alınması gereken ve büyük bir çoğunluk tarafından alınmayan önlemlerdir, sadece bu yöntemleri kullanarak birçok zararlı yazılıma karşı koruma sağlamak mümkünüdr. Tabikide temelde insanoğlu faktörü her daim bulunmaktadır, bundan ötürü kişiler bilinçlenmek, belli başlı kullanılan saldırı yöntemlerine ve güvenlik önlemlerine aşina olmak zorundadırlar aksi takdirde kullanıcı bir şekilde zararlı yazılım mağduru olacaktır. Çünkü insan zafiyetlerini sömürmek sistem zafiyetlerini sömürmekten daha basit olmakla birlikte çoğu zaman, özellikle bu tarz hazır yazılımları bulaştırma konusunda çok daha etklidir ve bilinenin akisne bu tarz sosyal mühendislik saldırılarında saldırganlar sistem zafiyetleri yerine kullanıcı zafiyetlerini kullanmaktadır.




Yazar Hakkında

Yönetim Bilişim Sistemleri alanında Yüksek Lisans eğitimine devam etmekte ve uzunca bir süreden beri siber güvenlik alanında çeşitli bilimsel araştırma ve akademik çalışmalar yapmaktadır. Başta Sosyal Mühendislik, Fidyeci Yazılımlar ve Siber Savaş kapsamında üretilen siber silahlar alanındaki çalışmaları ile ülke genelinde çeşitli ulusal ve uluslararası nitelikte kongre ve çalıştaya katkıda bulunmuştur. Halen, siber güvenlik ve siber savaş alanında çeşitli çalışmalarına devam eden Atasoy, güncel fidye yazılımları (Ransomware) ve zararlı yazılım analizi (Malware Analysis) konuları üzerine çalışmalarını sürdürmektedir.






Yorum Yapmak İçin Giriş Yapın.