Siber suçlular, şantaj e-postalarında kurbanları hakkında utanç verici bir fotoğraf gibi uygunsuz bilgiler yayınlamakla ve kripto para birimiyle ödeme talep etmekle tehdit ediyor. Saldırganlar genellikle tehditlerinin meşru olduğunu "kanıtlamak" için kurbanların oturum açma kimlik bilgilerini satın alır veya bunları veri ihlalleri yoluyla elde eder.
Barracuda, saldırganların gasp e-postalarında kullandığı finansal altyapıyı daha iyi anlamak amacıyla, gasp saldırılarının tespit edildiği bir yıllık süre boyunca Barracuda Networks'ün yapay zeka tabanlı dedektörleri tarafından yakalanan 300.000'den fazla e-postayı analiz etmek üzere Columbia Üniversitesi'ndeki araştırmacılarla ortaklık kurdu.
Aşağıda bu saldırılarda kullanılan para birimlerine, saldırganların Bitcoin adreslerini nasıl kullandıklarına, gönderilen e-postaların hacmine ve talep edilen para miktarlarına daha yakından bakacağız.
Gasp saldırganları tarafından kullanılan kripto para birimleri
İncelenen veri setinde Bitcoin, saldırganların kullandığı tek kripto para birimidir. Suçluların fidye için tercih ettikleri ödeme yöntemi olarak Bitcoin'i kullanmalarının birkaç nedeni var. Bitcoin büyük ölçüde anonimdir, işlemler cüzdan adresleri aracılığıyla gerçekleştirilir ve herkes istediği kadar cüzdan adresi oluşturabilir.
Ek olarak, Bitcoin'i çevreleyen altyapı iyi gelişmiş olup, kurbanların Bitcoin satın almasını kolaylaştırıyor ve saldırganların eylemlerini "karıştırıcılar" adı verilen araçları kullanarak daha da anonimleştirmelerine olanak tanıyor. Bunlar, Bitcoin'i çok sayıda cüzdandan rastgele birleştirerek ve bölerek işlem geçmişini gizlemek için tasarlanmış hizmetlerdir. Ek olarak, blockchainin halka açık yapısı nedeniyle şantajcılar, kurbanın ödeme yapıp yapmadığını kolayca doğrulayabilir ve geleneksel işlemlerde karşılaşılan bazı sorunları ortadan kaldırabilir.
Bitcoin adreslerinin analizi
Bitcoin anonim olmasına rağmen, saldırganların şantaj e-postalarındaki Bitcoin adreslerini analiz ederek saldırganlar ve davranışları hakkında çok ilginç bilgiler edinebilirsiniz. Örneğin, kullanıcılardan alınan birden fazla e-postada aynı Bitcoin adresinin kullanılması, bu adresin aynı saldırgana veya saldırgan grubuna ait olduğunu gösterir.
Araştırmacılar, incelenen veri setini analiz ederken saldırıların az sayıda Bitcoin adresine yoğunlaştığını tespit etti. Toplamda yaklaşık 3.000 benzersiz Bitcoin adresi vardı; bunlardan ilk 10'u e-postaların yaklaşık yüzde 30'unda, ilk 100'ü ise e-postaların yaklaşık yüzde 80'inde göründü. Bu, şantaj e-postalarının büyük çoğunluğundan az sayıda saldırganın sorumlu olduğunu gösteriyor. Dolayısıyla bu saldırganları durdurabilir veya yöntemlerini etkili bir şekilde engelleyebilirseniz, bu e-posta tehdidinin büyük bir kısmı etkisiz hale getirilebilir.
Bitcoin adresinin ve e-posta gönderenin çapraz analizi
Belirli saldırganlara e-posta atamaya yönelik bir diğer önemli bilgi de e-posta alanlarıdır. Örneğin her e-postanın “Gönderen” alanı saldırgan için bir proxy olarak görülebilir. Aynı göndericiden birden fazla e-posta gelirse bunlar aynı saldırgana aittir. Araştırma, e-postaları "gönderen" alanına göre gruplandırdı ve her gönderenin gönderdiği e-posta sayısını ve her gönderenin kullandığı benzersiz Bitcoin adreslerinin sayısını saydı.
Bu, gönderenlerin büyük çoğunluğunun saldırılarında aynı Bitcoin adresini kullandığını gösterdi. Bu, hem çok sayıda e-posta gönderen saldırganlar hem de yalnızca küçük miktarlarla çalışan şantajcılar için geçerlidir. Ek olarak, tüm veri kümesindeki 120.000 benzersiz gönderenden 3.000'den azı ondan fazla e-posta göndermiştir. Yalnızca sekiz gönderen 500'den fazla e-posta gönderdi.
Bu, saldırganların kimliklerini gizleme konusunda biraz gevşek davrandıklarını ve vakaların büyük çoğunluğunda dolandırıcılık için aynı Bitcoin adresini kullandıklarını gösteriyor. Bu, bu az sayıdaki Bitcoin adresinin (ve saldırganların) kolluk kuvvetleri tarafından takip edilebilmesi olasılığını yaratıyor.
Şantajcılar ne kadar para istiyor?
Saldırganların davranışlarını daha iyi anlayabilmek için araştırmacılar, saldırganların ne kadar para talep ettiğini ve bu miktarın incelenen veri setinde ne kadar tutarlı olduğunu da inceledi. Bitcoin adreslerinin alınabileceği 200.000 e-postanın yüzde 97'si ABD doları, yüzde 2,4'ü euro ve geri kalan yüzde 0,6'sı İngiliz sterlini, Kanada doları, bitcoin vb. istedi. ABD doları cinsinden olmayan herhangi bir miktar için, araştırmacılar bunu, karşılaştırma amacıyla e-postanın gönderildiği günkü eşdeğer ABD doları değerine dönüştürdüler. Sonuçlar aşağıdaki gibiydi:
- Neredeyse tüm saldırganlar 400 ile 5.000 dolar arasında bir miktar talep ediyor
- E-postaların yüzde 25'i 1.000 ABD dolarının altında bir tutar talep ediyor
- Şantaj amaçlı e-postaların yüzde 90'ından fazlası 2.000 ABD dolarının altında bir miktar talep ediyor
- Saldırganlar genellikle 500 ile 2.000 dolar arasında miktarlar talep ediyor
Bu, saldırganların talep ettiği para miktarının daha çok "etkili nokta" bölgesinde yoğunlaştığını gösteriyor. Bu, saldırgan için önemli olacak kadar yüksektir, ancak kurbanın ödeme yapmamasına veya saldırganın gerçekten riskli bilgilere sahip olup olmadığını araştırmasına neden olacak kadar da yüksek değildir (ki bu genellikle böyle değildir). Ayrıca bu miktar mağdurun bankası veya vergi dairesi için bir alarm tetiklemiyor.
Gasp saldırılarına karşı korunma yolları
Kolluk kuvvetleri az sayıda saldırganın bile izini sürerse suç operasyonları ciddi şekilde sekteye uğrayabilir. Ek olarak, şantajcılar birbirlerinden taktikler benimsedikçe, e-posta güvenlik sağlayıcıları basit tespit araçlarını kullanarak bu saldırıların büyük bir yüzdesini engelleyebilmelidir. Şirketlerin bu tür saldırılara karşı kendilerini savunmak için kullanabileceği en iyi dört uygulamayı burada bulabilirsiniz:
- Yapay zeka tabanlı koruma: Saldırganlar, şantaj saldırılarını e-posta ağ geçitlerini ve spam filtrelerini atlayacak şekilde uyarlar; bu nedenle, gasplara karşı koruma sağlayan iyi bir hedef odaklı kimlik avı çözümü şarttır.
- Hesap devralma koruması: Pek çok gasp saldırısı, güvenliği ihlal edilmiş hesaplardan geliyor. Bu nedenle dolandırıcıların şirketi bu saldırılar için üs olarak kullanmamalarını sağlamak önemlidir. Hesapların ele geçirildiğini tespit etmek için yapay zeka kullanan teknolojilerin yardımcı olabileceği yer burasıdır.
- Proaktif araştırmalar: Gasp dolandırıcılığının utanç verici doğası göz önüne alındığında, çalışanlar bu saldırıları bildirme konusunda her zamankinden daha az istekli olabilir. Bu nedenle şirketler, şifre değişiklikleri, güvenlik uyarıları ve diğer içeriklerle ilgili e-postaları belirlemek için teslim edilen mesajları düzenli olarak taramalıdır.
- Güvenlik Farkındalığı Eğitimi: Şirketler ayrıca kullanıcıları şantaj saldırıları konusunda eğitmeli ve konuyu güvenlik farkındalığı eğitim programlarının bir parçası haline getirmelidir. Çalışanların bu saldırıları fark etmesi, dolandırıcılık niteliğini anlaması ve raporlama konusunda rahat olması sağlanmalıdır. Kimlik avı simülasyonlarının kullanılması, eğitimin etkililiğinin test edilmesine ve gasp saldırılarına karşı en savunmasız kullanıcıların belirlenmesine de yardımcı olur.
Saldırganların her yıl kurbanlara milyonlarca kötü amaçlı mesaj göndermesiyle e-posta gaspı önemli bir tehdittir, ancak bunun az sayıda fail tarafından gerçekleştirildiği ve bu grupların da benzer taktikler kullandığı görülmektedir. Bu da bizi bu özel e-posta tehdidiyle mücadele konusunda iyimser kılıyor.
Dr. Klaus Gheri, Barracuda Networks Başkan Yardımcısı ve Ağ Güvenliği Genel Müdürü
Barracuda Ağları Hakkında Barracuda, dünyayı daha güvenli bir yer haline getirmek için çabalıyor ve her işletmenin satın alması, devreye alması ve kullanması kolay, bulut özellikli, kurumsal çapta güvenlik çözümlerine erişimi olması gerektiğine inanıyor. Barracuda, müşteri yolculuğu boyunca büyüyen ve uyum sağlayan yenilikçi çözümlerle e-postayı, ağları, verileri ve uygulamaları korur. Dünya çapında 150.000'den fazla şirket, işlerini büyütmeye odaklanabilmek için Barracuda'ya güveniyor. Daha fazla bilgi için www.barracuda.com adresini ziyaret edin.
Konuyla ilgili makaleler