Ne yaptığını gördüm! (gördüm mü?)

Sonraki hikaye
Bruce P. Burrell

Siber şantaj/sextortion yine yükselişte

30 yılı aşkın bir süredir, insanların virüslerden ve diğer kötü amaçlı yazılımlardan kurtulmalarına yardımcı oluyoruz. Bu sırada bilgisayar güvenliğine özgü olmayan diğer konularla ilgili de sorular alıyoruz. Bazıları kolayca cevaplanır; bazıları karmaşıktır veya dikkatli bir açıklama ve ek araştırma gerektirir. Bu makalede bunlardan biri ile karşı karşıyayız. ESET müşterisi olsanız da olmasanız da bize sormaktan çekinmeyin ve cevap vermek için elimizden geleni yaparız! 

Temmuz 2018'de bilgisayarlarının saldırıya uğradığını iddia eden e-postalar alan kişilerden sorular almaya başladık. Saldırgan elinde kullanıcılara ait “yetişkin içeriği” izlerken çekilmiş videoları olduğunu iddia ediyordu. Bunlar sözde “sex dolandırıcılığı” örnekleriydi; Son birkaç gün içinde, benzer, ancak belirgin şekilde farklı şantaj girişimleri görmeye başladık; aslında, kendi kişisel posta kutuma da birkaç tane aldım (İyi denemeydi.) Barry G., Tim R. ve diğerlerine bunlara dikkatimizi çektikleri için teşekkür ederiz.

Bu aldatmaca hakkında daha önce yazdığımızda, belirli bir oltalama saldırısını tanıtmayı ve güvende olmanızı sağlamayı amaçlamıştık. Bu bugün ve ileride yazacağımız makalelerde tüm aşamalarını tanımanızı sağlamak istiyoruz. Böylece benzer saldırılara karşı da güvende olacaksınız. [Hayır, teknik olarak bunlar oltalama saldırıları değil, ancak kurbanlarından para çalma amacındalar, dolayısı ile: "yeterince yakın" Belki gelecekteki gönderilerde gerçek aşamaları tanımak için bir dizi yapacağız.]

Dolandırıcılar, kurbanlarını avlamaya çalışırken her zaman yeni tuzaklar oluşturduğundan, düzenli güncellemeye ihtiyaç duyan bir süreç olacaktır; aslında konuyu her şeyi kapsayacak şekilde Savaş ve Barış'a dönüştürmemek için bölümlere ayırıyoruz. Bu bir blog yazısından çok devam eden bir proje olabilir, hadi başlayalım.

İlk olarak, genel olarak şantaja bakalım: Siber dünya için de yüz yüze olduğu gibi hemen hemen aynıdır. Şantaj birkaç unsur gerektirir: (a) hedeflenen kurbanın gizli tutmak isteyeceği bir şey, (b) şantajcının o “bir şeye” sahip olduğuna dair bir kanıt, (c) tehdit ve (d) mağdurun tehdit eden eylemi “önlemesi” için şantajcı tarafından sağlanan bir yol - genellikle para ama başka şeyler de olabilir.

Bunu göz önünde bulundurarak, son sextortion e-postalarından birine bir örnek:

Şekil 1: Yeni sextortion aldatmacası, Mart 2019
Şekil 1: Yeni sextortion aldatmacası, Mart 2019

 

Sır

Burada, sır, kurbanın ortaya çıkarsa, en iyi ihtimalle aile, iş arkadaşları vb. için utanç verici olacak yetişkin materyallerini görüntülemekle suçlanmasıdır.  Yukarıdaki örnekte:

Şekil 2: Sır
Şekil 2: Sır

 

Sır gerçek mi? Peki, hiç, bir porno sitesini ziyaret etmediyseniz (en azından bilerek) veya saldırganın belirttiği gibi “birkaç ay önce” yakın zamanda böyle bir siteyi ziyaret etmediyseniz e-postanın bir aldatmaca olduğunu biliyorsunuz. Dolayısıyla bunu görmezden gelebilirsiniz.

Ancak, en azından ara sıra yetişkin içerikleri görüntüleyen biriyseniz ne olur? Öncelikle istatistiklere göre, “Kulübe hoş geldiniz.”  2013'te Wall Street Journal'ın Twitter feed'inde bildirildiği gibi, “18 ila 34 yaşındakilerin %70'i de dahil olmak üzere porno sitelerine düzenli ziyaretçi olan 40 milyon insandan birisiniz” O zaman tehdit hala oldukça boş. İşte nedeni: Bu kadar çok insanın yetişkin materyallerini görmesi ve birçok çevrede tabu olarak kabul edilmesi, bu sırrı potansiyel kurbanın gizli tutmak istemesine neden olur ve dolayısıyla şantajcı için cazip bir hedeftir: saldırgan gerçeğe dayanmayan bir iddiada bulunabilir. Ancak bu inandırıcı geliyor ve birçok potansiyel kurbanın saldırganın iddialarına inanmak için nedenleri olacak. Yani saldırgan sadece “sallayabilir” ve bazı potansiyel kurbanların oltaya gelmesi için dua eder. Ama buradaki olayda saldırganın aslında sırrı bilip bilmediğini test etmek için daha derine inmeliyiz.

“Kanıt”

Örneğimizde, üç tane sözde kanıt bulunuyor:

  • e-postanın kurbanın kendi e-posta hesabından geldiği “gerçeği” vardır (ve saldırganın bu hesabı kontrol ettiği anlamına gelir),
  • saldırgan bilgisayarınıza girdiğini ve
  • aktivitelerinizi kayıt ettiğini iddia ediyor.  

Örneğimizdeki ilk sorunun “doğrusu”:

Şekil 3: E-posta: Kimden ve Kime:
Şekil 3: E-posta: Kimden ve Kime:

 

Bu durumda, klasik bir saçmalık var - saldırgan veya daha büyük olasılıkla, karanlık Web'den satın aldığı sextortion kiti - kurbanın hesabından e-posta göndermiş gibi görünmüyor. Gerçekten de, Kime: adresin adı veya etki alanı Kimden: alanıyla eşleşmiyor. Ancak gördüğümüz bazı diğer örneklerde Kime: ve Kimden: alanlarının eşleştiğini de tespit ettik.

Yani: Açıkça sahte değil ise gerçek olabilir mi?

Büyük olasılıkla değil — E-posta Kimden: alanı sahte olabilir; bunu gelecekteki bir yazıda daha ayrıntılı olarak inceleyeceğiz. Şimdilik yalnızca Kimden: alanına bakarak bir kişinin e-posta hesabının ele geçirildiğini iddia etmenin boş olduğunu söylemek yeterlidir. Potansiyel kurbanlar bunu bilmese de en yetersiz saldırgan bile bilmelidir. Hesap gerçekten ele geçirilmiş olsaydı saldırgan daha iyi ya da en azından daha fazla kanıt sunardı. Bu sözde “kanıtı” görmezden gelin, ancak e-posta hesabınızdaki şifreyi benzersiz, tahmin edilmesi zor bir parola olarak değiştirmek her şeye rağmen iyi bir fikirdir. Bu önemli noktaya daha sonra geri döneceğiz. Ve her zaman “son birkaç ay içinde” alışılmadık bir etkinlik olup olmadığını sormak için e-posta sağlayıcınızla iletişime geçin.  Bu arada parolanızı değiştirebiliyorsanız,hesabınızın ele geçirilmiş olması da muhtemel değildir. Eğer bir siber suçlu olsaydım ve hesabınıza sahip olsaydım, muhtemelen parolayı kendim değiştirirdim, böylece sizin erişiminizi engellerdim.  

Ardından, saldırganın bilgisayarınıza saldırdığı iddiası vardır:

Şekil 4: Kurbanın bilgisayarınızı hacklediği iddiası
Şekil 4: Kurbanın bilgisayarınızı hacklediği iddiası

 

Bunun, e-posta hesabınıza girmekten farklı olduğuna dikkat edin, çünkü benzersiz (ve dolayısıyla farklı), tahmin edilmesi zor şifreler var, değil mi??? Ne olursa olsun: Saldırgan bilgisayarınıza ve e-posta hesabınıza girdiğini iddia ediyor, bu da bizi iki sonuca yönlendiriyor:

  1. Gerçekse ve saldırgan önce e-posta hesabınızı ele geçirdiyse, e-posta adresinizden hangi bilgisayarın sizinle ilişkili olduğunu söylemenin doğrudan bir yolu yoktur. Bu nedenle, örneğin ev bilgisayarınızı, telefonunuzu, iş bilgisayarınızı veya internet kafedeki ortak bilgisayarı kullanarak Gmail gönderebilir ve alabilirsiniz. Peki saldırgan, e-posta hesabınızı ele geçirdikten sonra, hangi bilgisayarın gerçekten sizin olduğunu nasıl çözdü? Cevap: “Çözmedi.”
  1. Eğer gerçekse ve saldırgan önce bilgisayarınıza saldırdıysa, o zaman emin olun: e-posta adresinizin ne olduğunu bilmek daha kolay olurdu. Ancak saldırganın bilgisayarınıza (veya “cihazlara”) girmek için güvenlik yazılımınızı aşması gerekir. Bilgisayarlardaki güvenlik yazılımının temel amacı (antivirüs dediğimiz, herkesin yüklediği şey — ve tüm cihazlarınızda kaliteli, güncel bir güvenlik yazılımı var DEĞİL Mİ? Bu makaleyi okuyorsanız kesinlikle vardır...)... nerede kalmıştık? Evet: Bu tür yazılımların tek amacı insan saldırılarına karşı korumak değildir, bilgisayarınızı tehlikeye atmaya yönelik otomatik girişimlere karşı da korur, aynı zamanda bir saldırganın makinenize girmeye çalışabileceği araçlara karşı da en azından temel düzeyde koruma sağlar. Saldırgan size saldırmak için istismar edilebilecek sıfır günlük bir açığı kullanmadıkça, hack girişiminin başarısız olma ihtimali çok yüksektir. Saldırganınız bir G7 ülkesinin bütçesine sahip değilse ve siz de çok ilginç biri değilseniz, 0 gün açığı böyle boş bir sextortion girişimi için boşa harcanmaz. Tekrar edelim: siber suçlu bilgisayarınıza nasıl girdi? Elimizdeki işaretlere göre hiç girmedi!

Son olarak (bu örnek için), web kameranızın sizin ve eylemlerinizin videolarını yakalamak için kullanıldığı iddiası var. Bazıları gibi, kameralarınızı kapatan çift taraflı siyah bir elektrik bantınız varsa, o zaman iddia yine boştur. Ayrıca, ESET dahil olmak üzere çeşitli bilgisayar güvenlik paketleri web kamerası koruması içerir. Bu yüzden (eğer elektrik bandı fikri hoşunuza gitmediyse) bu korumayı içeren güvenlik yazılımı kullanmayı düşünün.

Bu ipuçları sizin için geçerli değilse? O zaman bir sonraki aşamaya geçiyoruz.

Tehdit

Örneğimizde, sex şantajcısı ödeme yapılmadığı takdirde “video kaydınızı akrabalar, iş arkadaşları vb. dahil olmak üzere tüm kişilerinize göndermekle” tehdit ediyor. Hala bu e-postanın doğru olabileceğini düşünüyorsanız (bu örnekte olmadığını kanıtladık), kendinize sorun: “Bu beni utandırır mı?”  Görünüşe göre, yetişkin içeriği giderek daha fazla sosyal olarak kabul edilebilir hale geliyor, bu nedenle eğer başkalarının yetişkin içeriğe eriştiğinizi bilmesinden endişe duymayan biriyseniz, saldırgan gerçekten bu bilgilere sahip olsa dahi reddedilir.

Öte yandan, böyle bir süreç utanç verici olacaksa, o zaman şu anahtar noktalara dikkat edin: şantaj talebini ödemek için kısa bir zaman mı veriliyor? E-posta belirsiz mi? Tehdit “klasik bilgisayar korkutma dilini mi kullanıyor? Eğer öyleyse, tehdidin gerçek olmadığı ihtimali var. Bu durumda: Aşağıdaki kelimelerile, ikna etmekten çok korkutmak amaçlanmıştır.

Şekil 5: Korkutma dili
Şekil 5: Korkutma dili

 

Ayrıca, doğru yapılandırılmış bilgisayar güvenlik yazılımının klavye kaydeden yazılımları yakalama konusunda çok iyi olduğunu belirtmek gerekir, bu nedenle bir saldırganın güvenlik yazılımınız fark etmeden sisteminizde bunu alabilmesi pek olası değildir. Siber suçluya karşı bir zafer daha.

Ödeme

Bu durumda, ödeme bitcoin ile talep edilir — sanal para birimleri genellikle siber suçlular tarafından kullanılır. Burada, istenen miktara bakmak biraz aydınlatıcı olabilir: Eğer birisi makinenize gerçekten girmiş olsaydı, saldırgan mali durumunuz hakkında bir fikir sahibi olurdu. Talep edilen Dolar tutarı ekonomik durumunuza uyuyor mu? Muhtemelen hayır. Ve saldırgan para almak istiyor - saldırganın gerçek kanıtları varsa,  sizi acele etmeye çalışabilir, ancak bir son tarih belirlemez. Ya da yanıt vermezseniz, belki de farklı koşullar önererek sizinle tekrar iletişime geçmeyi deneyecektir. Ancak saldırganlar, insanların tatile çıktıklarını ve çeşitli nedenlerden dolayı e-postadan uzaklaştıklarını biliyorlar, böylece istekleri “kısa zamanda” yerine getirilmeyebilir... ve dolayısıyla belki de daha inandırıcı kanıtlarla tekrar denemeleri muhtemeldir. Örneğin, fidye yazılımları söz konusu olduğunda, saldırganlar fidye notlarını bilgisayarın içine (Masaüstü, Belgeler klasörü vb.) koyar, bu yüzden görmemek çok zordur. Bu olaydaki saldırgan gerçekten kurbanın bilgisayarına saldırsaydı, benzer bir şekilde not bırakırdı, emin olabilirsiniz.

Ve unutmadan: Şantajcıların “bu işi bir defa” yapacaklarının garantisi yoktur.   Bir kez ödeme yapmanızı sağlayabilirlerse, sizden daha fazlasını almak için kapınızı çalmaya devam ederler. Yani bu olay gerçek olsa bile, ödemek aptalca bir iş olurdu. Yanıt veren kurbanların hemen oltaya gelenler listesine alınacağından emin olabilirsiniz. 

Sırada ne var?

Yukarıdakilerin hiçbiri sizi bunun (ya da aldığınız e-posta ne olursa olsun) bir aldatmaca olduğuna ikna etmediyse, kullanabileceğimiz başka teknikler de var. Bunlara bir sonraki yazımızda göz atacağız — bazıları burada sunduklarımızdan daha kolay.