Hüseyin Cem Köylü
Sık sık okuyoruz... Bir siteyi hack'leyen hackerlar, kullanıcılara ait, isim, e-posta, fatura ve kargo adresleri, telefon numaraları ve hatta kredi kartlarının bilgilerini kolaylıkla ele geçirebiliyor. Ve bu haberlerin ardından, hack'lenen sitelerden genellikle aynı açıklamalar geliyor: "Kritik kredi kartı ve diğer ödeme verileri ele geçirilmedi!"
Bu açıklama, saldırıdan etkilenen milyonlarca kullanıcıya, ay sonunda faturalarına yansıyabilecek gizemli değişiklikler olmayacağı konusunda güven verici, öyle değil mi? Peki ne için endişelenmeleri gerekir? Uzmanlara göre, güvenlik riskleri rahatsız edici spam e-postalardan, tehlikeli phising e-postalara kadar değişebiliyor. Bu postalarda hacker kendini güvenli biri ya da şirket olarak tanıtıp bir linke tıklamanızı istiyor, linke tıkladığınızda ise bilgisayarınıza yüklenen zararlılar, hacker'ın sizin bilgisayarınızın kontrolünü ele geçirmesine ve yazdıklarınızı kaydeden keylogger tarzı programlar kurmasına, hatta şahsi bilgilerinizi çalmasına neden olabilir.
- Bu bilgiler neden değerli?
- Ele geçirilen verilerin parasal değeri ne?
- Siber suç işlenebilmesi için ele geçirilen minimum veri miktarı nedir?
- Bir şirket hack'lendiğinde, ele geçirilen verilerin kötü amaçlarla kullanılması ne kadar zaman alıyor?
- Veriler ele geçirildiğinde, kullanıcılar nasıl tehlikelerle karşı karşıya kalıyorlar?
- Bu risklerin gerçekleşme ihtimali nedir?
Şimdi dilerseniz gelin, bu soruların cevabını birlikte aramaya başlayalım...
Bu bilgiler neden değerli?
Kişisel bilgi, yer altı dünyasının para birimidir aslında... Siber suçlular bilgi ticareti yaparlar. Verileri ele geçiren hackerlar bunu çeşitli alıcılara satabilirler, kimlik hırsızları, organize suç örgütleri, spammerlar ve botnet operatörleri... Bu alıcılar da, bu verileri, harcadıklarından daha çok paraya çevirirler.
Örneğin, spammerlar, taze bir e-posta listesi ele geçirip bu adreslere cinsel güç artırıcı ilaç reklamları gönderebilirler. Bu e-postalardaki linklere gelen her tıkla 1 dolar kazanabiliyorlar. Veya kimlik hırsızları, size gerçekmiş gibi görünen ve kredi kartı bilgilerinizi isteyen postalarla bu kritik verileri ele geçirebilirler.
Internet Identity'nin CTO'su Rod Rasmussen, "Asıl mesele kişi hakkında ele geçirebileceğin kadar veri ele geçirmek. İsmini alırsın, sonra e-posta adresi, telefonu, adresi, kredi kartı numarası, şifresi, gerekirse farklı kaynakları kullanarak tüm verileri toparlarsın" diyor.
Ele geçirilen verilerin parasal değeri ne?
Bilgi güvenlik eksperlerinin söylediğine göre, bir isim ya da e-posta adresi birkaç sent ila 1 dolar arası bir fiyata satılıyor. Tabi bu fiyat verilerin kalitesi ve tazeliğine göre de değişiyor. "Çok büyük bir veri akışı var ve yer altında para kazanmak istiyorsanız büyük miktarda veriye sahip olmanız lazım. Kredi kart numaraları bile 1 doların altında fiyatlara satılıyor" diyor Rasmussen.
Pek karlı gözükmüyor değil mi? Fakat bu miktarı milyonlarla çarptığınız zaman durum değişiyor. Örneğin hackerlar'ın milyonlarca kullanıcının verilerini ele geçirdiğini düşünün. Sadece 5 milyonunu, 5 sente satsalar bile, tek saldırıda 250.000 dolar kazanmış oluyorlar.
Botnet operatörleri daha çok para kazanıyor. 100.000 bilgisayardan oluşan bir botnet ağı, spammerlar'a saati 1.000 dolara kiralanabiliyor. KnowB4'un kurucusu ve CEO'su Stu Sjouwerman, "Örneğin 25 milyon veriyi satın alıyorsunuz ve bu adreslere zararlılar içeren e-postalar yolluyorsunuz. Yüzde 20'lik bir kısım bile bu zararlılardan etkilense, çok kolay bir şekilde botnet ağınıza 5 milyon yeni bilgisayar eklemiş oluyorsunuz. Artık 5 misli bilgisayara sahip olduğunuza göre saatliği 5.000 dolardan kiralayabilirsiniz. Bu adamlar paraya para demiyor" diyor. Tabii ki bu yasa dışı işler onlara, hapis ve para cezası olarak geri dönebilir.
Suç için ele geçirilmesi gereken minimum veri
Sjouwerman, tüm siber suçluların zarar vermeye başlamaları için gerekli olan tek şeyin e-posta adresi olduğunu söylüyor. Bu sayede kurbanların posta kutularını spamle doldurup taşırabiliyorlar.
"Kişilerin kimlik bilgilerini çalmak ya da kredi kartı dolandırıcılığı yapmak için siber suçluların bir şifreye, kredi kartına ya da sosyal güvenlik numarasına ihtiyacı var" diyor Rasmussen. "Eğer e-posta adresleri varsa, kişilerin daha özel verilerine phising posta ya da zararlılar yoluyla ulaşabiliyorlar" diye de ekliyor.
Eğer siber suçlular kredi kartınızın sadece son 4 rakamına bile ulaşsalar, bunu bir ticaret sitesinde şifrenizi değiştirmek için kullanabilirler. Bazı şirketler, kullanıcının kredi kartının son 4 rakamını PIN kodu olarak alır ve şifrenizi değiştirmek istediğinizde size onu sorabilirler. Yani siber suçlular şifrenizi değiştirerek, kendi alışverişlerinizi sizin hesabınız üzerinden gerçekleştirebilirler. "Fakat" diyor Rasmussen, "genellikle bu verileri, bu işten daha çok para kazanacak olan başka kişilere satarlar..."
Verilerin kullanılması ne kadar zaman alıyor?
Suça ve ele geçirilen verilere göre değişiyor bu durum... Eğer işin içinde kredi kartı numaraları varsa dolandırıcılar en kısa sürede bu verileri kullanmaya başlıyorlar. Phising yöntemini kullanan siber suçlular da çabuk davranıyorlar. Gerçeğiyle bire bir görünen sitelerde, kullanıcıların tehlikede oldukları ve şifrelerini sıfırlamaları gerektiği yazıyor. Buna inanan kurbanlar da kişisel bilgilerini siteye veriyorlar. Sonra tüm bu veriler siber suçlunun adresine geliyor ve kötü amaçlar için kullanılıyor.
İşte bu yüzden saldırıya uğrayan şirketlerin kullanıcılarına çok kısa sürede bu durumu haber etmeleri gerekiyor. Avrupa Birliği'nde böyle bir durumla karşılaşan şirketlerin 24 saat içerisinde kullanıcıları uyarması gerektiği yönünde bir yasa var.
Hangi tehlikeler? Gerçekleşme ihtimali ne kadar?
Eğer e-posta adresiniz bir saldırıda ele geçirildiyse, posta kutunuza daha çok spam ve phising postası ve zararlı gönderileceğinden emin olabilirsiniz. Zararlılar sayesinde saldırganlar bilgisayarınızın kontrolünü ele geçirebilir, haberiniz olmadan web kameranızı ya da mikrofonunuzu aktif ederek sizi izleyebilirler. Keylogger programları yükleyerek, yazdığınız her şeyi öğrenebilirler.
Eğer isim ve e-postanızdan daha çok veri ele geçirirlerse (telefon numarası, adres gibi), kredi kartı dolandırıcılığında kullanmak üzere daha ikna edici şemalar da hazırlayabilirler.
Sjouwerman, şirketinde bir deney yapmış. E-posta adresleri internette bulunabilen 100 çalışana, şirketin CEO'sundan geliyormuş gibi bir e-posta gönderilmiş ve şirketin sitesi gibi yapılmış bir sitede, kişisel bilgileri ve istedikleri zam miktarı sorularını yöneltilmiş. Çalışanların yüzde 40'ı tuzağa düşmüş.
Gerçekleşen saldırıda kredi kartı ya da banka hesap numaralarınız ele geçirilmediği sürece finansal kaygı yaşamanıza gerek yok. Fakat sonrasında gelebilecek olan dolandırıcı postalara karşı her zaman tetikte olmanız gerekiyor. Eğer kredi kartı numaralarınız çalınırsa, gelecek faturanızda habersiz harcamalar görebilirsiniz.
Bu yüzden şirketler, veri çalındığı yönünde bir açıklama yaptıklarında doğrudan bankanızla iletişime geçerek bu tatsızlıklar gerçekleşmeden önleyebilirsiniz. Geçen yıl Sony PlayStation Network saldırıya uğradı ve bazı kullanıcılar ağa bağlanırken kullandıkları kredi kartlarında istemsiz harcamalar olduğunu rapor etti. Fakat CNET'e göre bu bir tesadüf de olabilir; olayı Sony'deki saldırıya bağlayacak kesin kanıtlar halen yok.
...Ve son söz
Görülüyor ki, tüm saldırılar kimlik hırsızlığı, kredi kartı sahteciliği ya da daha çok spam postaya neden olmuyor. CIO.com, isimleri ve e-postaları ele geçirilen ve internette yayınlanan 10 kişiyle iletişime geçti. CIO.com'un sorularına cevap veren 4 kişiden 3'ü herhangi bir olumsuz durumla karşılaşmadıklarını söylemiş, dördüncü kişi ise yorum yapmayı reddetmiş.
Saldırganlar sadece isminizi ve e-postanızı ele geçirse bile, birisinin sizin isteğiniz dışında kişisel bilgilerinizi yayınlaması çok rahatsız edici olsa gerek. Aynı, geçtiğimiz gün Anonymous'un BTK'yı hack'leyip bir çok şifre ve bilgiyi yayınlamasında olduğu gibi...