Hala Ne Yaptığını Görmedim!

Sonraki hikaye
Bruce P. Burrell

Önceki yazımızda, bir sextortion dolandırıcılığının belirli bir örneğini inceledik ve ciddiye alınması gereken bir tehdit olmadığına dair birkaç kanıt gösterdik. Ama bu tür bir analiz nispeten zor bir iştir ve belki de kullanıcıların tehdit edilirken almak isteyecekleri bir risk olmayabilir. İster olsun ister olmasın hem daha kolay hem de daha hızlı sonuç veren daha genel araçlar kullanabiliriz. Bunlardan birkaçına bakalım:

Olaydan sonra

İlk olarak, “Google Arkadaşınızdır”, en azından buradaki amacımız için. İsterseniz Bing, StartPage veya DuckDuckGo vb. tercih edebilirsiniz.

Favori arama motorunuz ne olursa olsun, tırnak içinde dolandırıcılıkve şüpheli e-postadan ilginç (sıra dışı, belki de benzersiz) bir cümle ekleyerek arayın. Örneğin, “Videonu çektim” ifadesini seçelim ve ne elde ettiğimizi görelim:

Google arkadaşınızdır

 

Bu bir dolandırıcılık olduğuna dair oldukça iyi bir ipucu. “Yaklaşık 6.000 sonuç” aslında sadece 130 (veya 236, “ihmal edilen sonuçlar dâhil”) olduğunu unutmayın. Hepsini okumayı düşünmedik, ancak arama sonuçlarının sonsayfası bile alakalı görünüyor. Bu kadar çok sayıda kanıt çok rahatlatıcı olmalı.

  • Arama için seçtiğimiz “videonu çektim” ifadesinin ilk denememiz olduğunu da belirtelim. Bu arada bu tür e-postaların sıklıkla İngilizce olarak geldiğini de hatırlatalım.  Tabii ki, şanssız olabilir ve sonuç vermeyecek “kötü” bir ifade dizesi seçebilirdik, ancak unutmayın: sadece bir kez arama yapmak zorunda değilsiniz. İlk başta başarılı olamazsanız, tekrar arama yapın.
  • İlk aramanız başarısız olursa, e-postadan başka bir “ilginç ifade dizesi” kullanmayı deneyin, sonuç alana veya iyi “ilginç ifade dizesi” adaylarınız tükenene kadar tekrarlayın.
  • İfadeler biterse, daha genel arama terimleri kullanmayı deneyin — örneğin: tırnak içinde, “aldatmaca” “e-posta” “şantaj” kelimeleri için arama çok daha geniş sonuçlar oluşturur. Çok geniş, belki de (Google'ın ilk taramasına göre “yaklaşık 5.020.000”), ancak bunu ilkaramanız olarak denemezseniz, önceki aramalarınızın verimli olmaması durumunda yararlı bilgiler bulabilirsiniz. Ayrıca, duruma bağlı olarak “aldatmaca” dışında bir kelime kullanmayı tercih edebilirsiniz. Ancak kelimeleri yalnızca e-postanın kendisinden kullanmamanızı öneririz, doğru mu yanlış mı olduğunu anlamanıza yardımcı olmak için bir çeşit niteleyici kullanın.
  • Nadir durumlarda, başka bir arama motorunun yararlı bağlantılar döndürdüğü bir Google araması başarısız olabilir. Arama motorunuz size hiç sonuç getirmiyorsa, başka birini deneyin.

İlk aramanız başarısız bir sonraki aramanız başarılı olursa, başarısızlıklara mı yoksa başarıya mı güvenmelisiniz? Unutmayın ki, mahkemede, eğer bir tanığın yanlış tanıklık ettiği görülürse, tanığın tüm ifadeleri şüpheli olarak kabul edilir ve bağımsız doğrulamaya ihtiyaç duyar. Bu nedenle başarılara güvenin, özellikle WeLiveSecurity, bilgisayar güvenliği satıcınız veya örn. krebsonsecurity.com gibi saygın sitelerden geliyorsa. [Herkesin bir web sitesi kurabileceğini unutmayın; Şantaj için bugüne kadar herhangi bir site kurulduğunu görmesek de siber suçlular kesinlikle potansiyel kurbanları bu dolandırıcılıkların gerçek olduğuna ikna etmeye çalışan bir site veya siteler kurabilirler. Bu nedenle, güvenip güvenmemeye karar vermek için kaynağa baktığınızdan emin olun.]

Belki de yepyeni bir şantaj şemasıyla (veya şantaj şeması için en azından yepyeni bir metinle) karşılaştığınız için (muhtemelen tekrarlanan) aramanızın hiçbir güven verici bulgu ortaya çıkarmadığını varsayalım. Korkmayın! Deneyecek başka şeyler de var.

Unutmayın: şantajcı size yanıt vermeniz için 'süre verdi' (bir gün, 72 saat, ne olursa olsun), her ihtimale karşı tehdidin gerçek olup olmadığını belirlemek için ilk fırsatta işe girişin. Ve e-postayı silmeyin: kanıtları koruyun! 

  • Kolluk kuvvetleriyle iletişime geçin: Bunu görmüş olabilirler ve size sahte olduğunu söyleyebilirler. Veya eğer daha önce karşılaşmamışlarsa, bilmeleri kendileri için faydalı olur. Hayır, muhtemelen davanızı araştırmayacaklar, fakat siber dünyadaki suçun büyüklüğünün farkına varmaları, bu tür suçlarla savaşmak için daha fazla kaynak ayırmaya başlamalarına neden olur. Not: kendi araştırmalarınız dolandırıcılığı çözmede başarılı olsa bile yine de polis ile iletişime geçmeyi düşünebilirsiniz: Tekrarlayalım, “sorunun kapsamını” anlamalarına yardımcı olur.
  • Güvenlik yazılımı üreticinize başvurun: teknik desteğinin bu konuda zaten bilgi sahibi olması büyük olasılık ve eğer henüz engellemedilerse sonraki dalgayı engellemeleri kolaylaşır. Ve eğer bu varyanttan habersizlerse, müşterilerini koruyabilmeleri için kesinlikle bilmek isteyeceklerdir. Bu nedenle polis harekete geçmese de güvenlik yazılımı üreticiniz neredeyse kesin yardımcı olacaktır. ESET müşterileri, hatta müşteri olmayanlar bile yardım ve destek hattına ulaşarak şüpheli örnekler gönderebilir; diğer satıcılar da benzer dosya gönderme özelliklerine sahiptir. Bir antivirüs üreticisine örnek gönderirseniz, muhtemelen bir yanıt alamayacaksınız: her gün yüz binlerce benzersiz şüpheli örnek alıyorlar. Ama bir gün sonra yazılımları ile tarayabilir ve algılanıp algılanmadığını görebilirsiniz. Bir aldatmaca olarak tespit edilirse, örneğinizi almış ve işlemişlerdir. Güvenlik çözümünüz neden engellemedi? Güvenlik yazılımı daha önce hiç görmediği şeyleri (örn. sezgisel teknikler ve makine öğrenimi kullanarak) tespit edebilir ve çoğu zaman engelleyebilir fakat bazen yepyeni bir şey bu savunmayı aşabilir. Belki de potansiyel kurbanların ilk dalgasındaydın. Bu tür şeyleri bildirerek başkalarına yardım edebilirsin. Kalabalık kaynaklar çalışır ve korunmanıza yardımcı olur.
  • E-posta sağlayıcınıza başvurun: Gmail, Outlook, şirketinizin BT departmanı veya başka biri olsun, müşterilerinin Gelen Kutularında dolandırıcılığa (birçok spamdan biri) izin vermek iyi değildir. Bu yüzden onlara spam filtrelerini geliştirmeleri konusunda yardımcı olun. 
  • Duvara konuşmaktan hoşlanıyorsanız, bu tür suçlara karşı uluslararası polislik yapmasını talep etmek ve ISS'leri e-posta trafiğini “uzaktan” taramaya ve yoldagördükleri kötü niyetli her şeyi engellemeye zorlamak için yasa koyucularınızla iletişime geçin. Bu şifreli trafik için yardımcı olmaz, ancak bir başlangıç. Yasa koyucularınızla iletişime geçmek için bu aldatmaca e-postalarından birini almayı beklemenize gerek olmadığını unutmayın. Hemen başlayın! 
  • Teknik bilgisi olan biriyseniz, e-postayı VirusTotal gibi bir çevrimiçi analiz hizmetine gönderebilirsiniz. Örnek bu şekilde birçok farklı güvenlik ürünü tarafından taranacaktır. Eğer çok sayıda ürün bunun bir aldatmaca (veya başka bir şekilde kötü amaçlı) olduğunu söylüyorsa, öyle olduğundan emin olabilirsiniz. Sadece birkaçı veya hiçbiri işaretlemezse, bu da masum olduğu anlamına gelmez: çok yeni olabilir veya VirusTotal tarafından kullanılan tarama motorlarının uç noktalardaki güvenlik ürünleri tarafından kullanılanlar kadar teşekküllü olmamasından kaynaklanabilir. VirusTotal komut satırı (“DOS”) tarayıcısı kullanır ve bu da genellikle bir güvenlik paketinin tam gücünü yansıtamaz. 
  • Merak edebileceğiniz son bir şey daha var: “Bilgisayarım saldırıya uğramadıysa, saldırgan e-posta adresimi nasıl biliyordu?” Her şeyden önce, istenmeyen posta alıyorsunuz, değil mi? Umarız çoğu önemsiz posta klasörünüze düşüyordur, ancak bu klasörde bir şey olması, e-posta adresinizin “dışarıda bir yerde” olduğu anlamına gelir.  Ama daha da önemlisi: siber saldırgan e-posta adresinizi muhtemelen birçok güvenlik ihlalinden birine maruz kalan web sitelerinin kataloglanan verileri arasında buldu. Geçen Temmuz'da yayınlanan yazımızın konusu da buydu, saldırgan "kanıt" olarak kurban ile bir şekilde ilişkili bir parola sunmuştu. Saldırgan muhtemelen kataloglanan bu verilerden bir kısmını aldı ve spam mesajlar gönderdi. (Bu kataloglardan sadece e-posta ve bağlantılarına bakarak veri çekmek hassas bir konu, kurbana ait e-posta adresi ve bir parola var ve fakat bu ikisinin birbiriyle eşlenik olduğunu söylemek doğru olmaz.  İleriki yazımızda bu durumu daha detaylı inceleyeceğiz.)

Önleyici tedbirler

Bir şeyin bir aldatmaca olduğunu fark etmek için yukarıdaki tüm anlatılanları yapmanıza gerek yoktur, tabi ne kadar çok yaparsanız ikna olma olasılığınız o kadar artar. Ancak gördüğünüz gibi, bu biraz zaman alabilir, bu yüzden proaktif olmak için neler yapabileceğinize bakalım ve sonradan uğraşmaktansa sorunu baştan önleyelim. Ve burada, mümkün olduğunca çoğunu uygulamanızı öneriyoruz. 

1- E-posta sağlayıcınızın sunucusunda bulunan spam (istenmeyen e-posta) filtrelemeyi kurun/etkinleştirin.

  • (Bazı e-posta sağlayıcıları, istenmeyen posta filtrelemeyi kapatmanıza izin verir ki bunu YAPMAYIN) Açık olduğundan emin olun!
  • Gelen Kutunuzu barındıran sunucu, e-posta sağlayıcınız tarafından kullanılan sunucudan farklı olabilir. Örneğin, Gmail Gelen Kutunuzdaki bazı iletileri işyerindeki Outlook e-posta adresinize yönlendirdiğinizi varsayalım: Hem Gmail hem de Outlook Exchange sunucusunda istenmeyen posta filtrelemesini açın.
  • Cihazlarınızda, yukarıdaki istenmeyen posta filtrelerini aşan her şeyi yakalamak için son bir şansa sahipsiniz. Genellikle, bilgisayarınızdaki güvenlik yazılımı bunu sağlar, ancak piyasada uç noktalar için sadece istenmeyen posta filtreleri de bulunuyor.

2- Kaliteli, çok katmanlı ve güncel bir güvenlik yazılımı kullandığınızdan emin olun. Hangi ürünlerin daha kaliteli olduğunu bilmiyorsanız,  birkaç yetkili, bağımsız güvenlik yazılımı test kuruluşu vardır; örneğin Virüs Bülteni VB100 Ödülü'ne bir göz atın. Güvenlik paketleri en yeni tehditleri algılamak için kendilerini otomatik olarak günceller, ancak bazen ürünün kendisi güncel olmayabilir. Yeni güncellemeleri yazılımın beş yıl önce çıkan sürümünde kullanmadığınızdan emin olmak için üreticinin web sitesine göz atın. Bu arada kaliteli ve korsan olmayan, çalışmasına müdahale edilmemiş bir güvenlik ürünü kendini günceller.  

  • Tabii ki, bu seçeneklerin etkinleştirildiğini varsayarsak, güvenlik yazılımı sizi istenmeyen postalardan koruyacaktır, bilinen sextortion dolandırıcılığı da dâhil olmak üzere. Ve çoğu zaman bilinmeyenlere karşı da.
  • Dahası, sizi diğer pek çok şeye karşı koruyacaktır, fidye yazılımı gibi çok daha tehlikeli tehditlere karşı.
  • Son olarak, güvenlik paketiniz buna izin veriyorsa, korumanızı devre dışı bırakmak için bir parola gerekli olacak şekilde ayarları kilitleyin. Güçlü, benzersiz bir parola. Aşağıda bu konuda daha fazla bilgi var. 
  • Bütün bunları yaparsanız, iyi korunduğunuzdan emin olabilirsiniz... ki bu da şantaj dolandırıcılığından biriyle karşılaştığınızda kolayca inanmamanızı sağlar. Siber suçlular potansiyel kurbanlarının hızlı ve mantıksız hareket etmelerini sağlamak için korkuya güvenirler; kendinizi mümkün olduğunca koruyarak, taktiklerinin etkinliğini azaltmış olursunuz.
  • Ayrıca, siber suçlunun bilgisayarınıza kötü amaçlı yazılım yüklediği iddiasına hemen inanmaz en azından şüphelenirsiniz.  

3- Benzer şekilde, işletim sisteminizin (Windows, macOS veya Linux) güncel ve yamalarının yüklü olduğundan emin olun. Bu muhtemelen istenmeyen postaları engellemez, ancak sistemleriniz ne kadar güvenli olursa o kadar iyi olur.


4- Doğal olarak, uygulamalarınızı yamamak ve güncel sürümlerini kullanmak da yardımcı olur.


5- Muhtemelen daha önce milyon kez duymuşsunuzdur ve umarız gerçekten dinlediniz ve uyguladınız, tüm şifrelerinizin hem benzersiz hem de tahmin edilmesi zor olduğundan emin olmadıysanız, LÜTFEN acilen yapın. Bunun birçok avantajı vardır:

  • Bir hesap veya bilgisayar ele geçirilirse, diğer hesaplarınız veya cihazlarınız risk altında olmaz. Açığa çıkan parolayı değiştirin, bu parolayı kullanan sistemi temizleyin. Diğer cihazlarınızda ve hesaplarınızda parolaları sıfırlamanıza gerek olmaz (tabi tüm parolalarınızı ele geçirilen makinede bir excel tablosunda tutmadığınızı varsayıyoruz!)
  • Finansal (örn. JP Morgan Chase), kredi (örn. Equifax), ticari (örn. Target and Home Depot), sağlık kurumları (örn. Anthem, Premara, Excellus) veya başka kullandığınız herhangi bir hizmette ihlal varsa ve şifre veri tabanı çalınırsa ve bu veriler çevrimiçi olarak yayınlanırsa, şifrenizi kontrol ederek tam olarak hangihesapta sorun olduğunu anlayabilirsiniz.  Geçen Temmuz ayındaki yayınımızda, “kanıt” siber suçlunun şifrenizi “biliyor” olmasıydı, unutmayın. Parolalarınız benzersizse, parolanın hangi hesaba ait olduğu açıktır ve bu, sizi “bilgilendirmek” için kullanılan e-posta hesabıyla aynı değilse? Saldırganın tezgâhı boşta kalır. 
  • Mümkün olduğunca çok hesabınızda İki Faktörlü Kimlik Doğrulama (veya Çok Faktörlü Kimlik Doğrulama) kullanın... tercihen diğer 2FA yöntemlerinden daha az güvenli olan SMS kullanmayın. Ardından, saldırgan parolanızı alsa bile hesabınıza erişemez, çünkü oturum açmak 2FA kimlik doğrulaması gerektirir. E-posta hesabınız 2FA kimlik doğrulaması gerektirdiğinden, saldırganın sizin hesabınızdan tekrar size e-posta gönderemeyeceğini bileceksiniz.
  • Güncel kalın: Bilgisayar güvenliğiyle ilgileniyorsanız, güvendiğiniz bir veya daha fazla güvenlik web sitesini seçin ve elinizden geldiğince okuyun. Her şeyi okumak için zaman ayıramıyorsanız (kim okuyabilir ki?), belirli bir şey bulmanız gerektiğinde siteleri arayın. Ayrıca, sitenin haber akışına abone olun; WeLiveSecurity'de, sadece [Bülten] için arama yapın, kutuya e-posta adresinizi yazın ve [Gönder]'e tıklayın ve düzenli duyuruları almaya başlayın. Genel ilgi haberleri, daha fazla teknik özetler, ya da son derece teknik malzemelere erişin. Sonra size en çok ilginç gelen makaleleri okuyun.

Sırada ne var?

Bugün için yeterli; Bir sonraki yazımızda, bu seriyi sonlandıracak olan bu sextortion dolandırıcılığının belirli örneklerini inceleyeceğiz. En azından bir sonraki ilginç gelişme kadar!