Spear Phishing Nedir ?
Social Engineering günümüz dünyasında en etkili saldırı yöntemlerinden biri. Bu teknik kullanılarak elde edilen bilgiler bizleri şaşkına çevirebilir.
Büyük şirketlerin güvenlikleri için aldıkları önlemler çok üst düzeylere çıkabiliyor. Bu önlemler arttıkça içeri sızılma ihtimalleri de bilindik yöntemlerle oldukça düşük ihtimallere iniyor, çünkü sistemler bilinen yöntemlerin saldırılarına karşı hazırlıklılar. Bunlarla uğraşmak istemeyen Hacker’lar farklı yöntemler geliştiriyorlar.
Bunların bir tanesi de Phishing yani oltalama. Bundan daha önce bir yazımda bahsetmiştim o yüzden fazla detaya girmeyeceğim ama genel olarak bahsetmek gerekirse genelde bir kişinin şifresini veya kredi kartı bilgilerini öğrenmek amacıyla kullanılır. Bir banka veya resmi bir kurumdan geliyormuş gibi hazırlanan e-posta yardımıyla bilgisayar kullanıcıları sahte sitelere yönlendirilir. Bu site aracılığı ile de banka veya kredi kartı bilgileriniz Hacker’ların eline geçer. Bu saldırı genellikle büyük topluluklara mailing yolu ile yapılır. Hedefleri geniş bir kitledir.
Bu saldırı tekniğinin bir adım sonrası Spear Phishing’dir. Temel olarak aynı saldırı tipinde olsa da esasında tamamen farklı bir yapısı vardır. Phishing Türkiye hedefli elde edilen mail adreslerine yapılabilirken, Spear Phishing sadece bir kişiye yapılabilir. Hedef odaklıdır ve öncesinde iyi çalışma gerektirir.
Saldırıyı yapacak kişiler ilk önce hedefte olan firma veya kişinin dijital ayak izlerini takip ederler. Bu sosyal medya paylaşımlarından tutunda o kişiye ait çöplerin araştırılmasına kadar gidebilir. Burada belirleyici faktör Hacker’ın veya Hacker grubunun bu olaya ne kadar kafaya taktığı ile ilgilidir.
Eğer hedefte bir firmadan para sızdırmak gibi bir hedef varsa eğer bu firmanın ödemeye yaptığı bütün tedarikçiler araştırmaya tabi tutulur. Bunun haricinde firmanın finansal olarak organizasyon şeması incelenir. Finans birimleri belirlenip yetkilileri ortaya çıkarılmaya çalışılır. Bu tip işler sadece bilgisayar üzerinden yapılmaz. Şirkete gelen bir telefonda size Maliye Bakanlığından aradığını ve finans direktörü ile konuşmak istediğini söyleyen herkes gerçekten orada çalışıyor olmaz. Finans departmanının ismini öğrenen saldırgan bundan sonra o isim ve e-mail üzerine çalışacaktır artık.
Yaşanmış bir örnekle olayı açıklamaya çalışayım;
X firmasından para sızdırmak isteyen Hacker’lar uzun süredir uğraşmalarına rağmen içeri girmenin bir yolunu bulamadıklarını görürüler. Bundan sonraki adımda firmayı sözlü olarak arayan kişiler finans departman şefinin adını öğrenmeyi başarıyorlar. Sosyal medya araştırmaları yaparak finans şefinin kişisel mail adresine ulaşıyorlar. Kişisel mail adresini Hack’lediklerinden gelen mailler arasında Y firmasından bunlara düzenli olarak para akışı olduğunu görüyorlar. Bu noktadan sonra tedarikçi firmayı araştırmaya başlıyorlar ve buranın finans departmanının ortak mail adresini Hack’ledikden sonra X firmasına bu ay yapılacak ödemenin vergi indiriminden yararlanmak adına farklı bir hesaba yapılmasını talep ediyorlar. X firmasının finans şefi de mail üzerindeki yönergeleri takip ederek parayı yeni hesaba aktarıyor ve para Hacker’ların eline geçiyor.
Burada asıl Spear’ın yani mızrağın ucundaki X firmasının finans şefidir. Yapılan aldatma çabası özellikle sadece belli bir kişiyi veya az sayıdaki kişileri hedef alıyorsa işte bu saldırı Spear Phishing olarak adlandırılıyor.
Bir farklı senaryoda ise saldırgan araştırmaları sonucunda Genel Müdürün adını ve mail adresini öğrendikten sonra o mail adresini farklı yöntemlerle kullanarak Finans Direktörüne mail atıp T firmasının ödemesinin yapılmasını ve onun gönderdiği linkten yapılmasını istiyor. Burada da amaç hazırladıkları sahte siteye Finans Direktörünün banka bilgilerini girmesi.
Senaryolar farklılaştırılabilir ama genel olarak anatomisi budur Spear Phishing saldırılarının. Aşağıda da görebileceğiniz gibi bir döngüye sahiptir. Adımlar değişse bile sistem aynıdır hep.
Bu saldırı yönteminden korunmak oldukça zordur. Çünkü gelen mail adresi gerçekten o kişinin mail adresi olabilir veya farklı yollarla taklit edilmiştir ama siz kaynağını incelemeden farklı olduğunu göremezsiniz. Bu yüzden de eğer tanıdığınız kişilerden bile olsa gelen mailler rutinin dışında ise veya size bir garip gelen bir durum varsa mail gönderen kişiye “bu maili sen mi gönderdin” diye sormanızda fayda var.
Filed under: Makaleler - @ 24 November 2016 14:36
Tags: fake, hacker, mail phishing, Phishing, sahte mail, Spear, Spear phishing