MacEwan Üniversitesi Phishing **************lığı: İbret Verici Bir Öykü
Ayrıntılı hazırlanmış bir phishing **************lığı, Kanada üniversitesinin 11.8 milyon dolar kaybetmesine neden oldu.
Edmonton’daki üniversite, neredeyse 12 milyon dolarlık bir phishing **************lığının kurbanı oldu. MacEwan Üniversitesi, 11.8 milyon dolarlık e-postaların yasallığı doğrulanamayınca 23 Ağustos’ta olayın farkına vardı.
İşte olanlar: MacEwan Üniversitesi, Clark Builders adlı bir inşaat firmasından gelmesi gereken bir e-posta aldı. E-postada ödeme anlaşmalarında değişiklik talep ediliyordu. MacEwan Üniversitesi temsilcileri, e-postayı henüz onaylamadan anlaşmayı kabul etti ve Montreal ile Hong Kong’taki hesaplara toplamda 11. Milyon dolarlık 3 ödeme gerçekleştirdi.
Gerçek inşaat firması neden ödemenin yapılmadığı konusunu açınca, okul da yapılan hatayı fark etti. Soruşturmanın ileri aşamasında, Edmonton bölgesinde 14 kadar inşaat firmasının hedefe alındığı fark edildi.
MacEwan sözcüsü David Beharry, şu açıklamaları yaptı:
‘**************lar bu 14 organizasyonla ilgili sahte alan adları oluşturmuşlar. Kurumların ise birilerinin phishing yaptığından haberi yoktu.’
Kısaca özetlemek gerekirse, sanal korsanlar Kanada üniversitesini bir inşaat firması gibi davranarak, sahte bir web sitesi yaparak ve ikna edici bir e-posta göndererek 12 milyon dolar dolandırdı.
MacEwan Üniversitesi, şimdi kayıp parayı geri almak için Kanada ve Çin’deki otoritelerle beraber çalışıyor fakat tüm bu kaza, aynı zamanda ibret verici bir öykü niteliği taşıyor.
Gülmeyin, Phishing Mağduru Olmak Oldukça Kolay
İlk ve belki de en önemli çıkarım, bu tip **************lıklara kurban düşmenin ne kadar kolay olduğu. Her ne kadar utanç verici olsa da, MacEwan phishing mağduru olan ilk şirket, kurum ya da enstitü değil.
Bu seviyede, okulun bu tip bir olaya karşı önlemi dahi yoktu. 3 tane düşük seviye çalışan, ikna edici e-postalarla ve sahte bir web sitesiyle kandırıldı, her şey yasal gibi gözüktü.
Phishing inanılmaz derecede ileri seviye bir pratik ve biraz yaratıcılıkla, sosyal mühendislik gerektiriyor. Dürüst olmak gerekirse, hackerların da iş ortağı bir inşaat firması taklidi yaparak düşük seviye çalışanların aklına girmesi sanıldığı kadar zor değil. İkna edici bir aldatıcı web sitesine kanmak, anlaşılabilir bir hata. Üstelik ek olarak pek çok phishing sitesi de artık SSL sertifikaları kullanıyorlar ve bunların ücretsiz olanlarını tercih ediyorlar. Ardından site iyice ikna edici hâle geliyor.
Bu da bize alınacak ilk önlemi getiriyor:
Önlem 1: E-postaları ve ödeme kanallarını, eyleme geçmeden önce onaylamayı bir şirket politikası hâline getirin.
Elbette bu önlemler genişletebilir fakat en azından ilk olarak onaylama yapmalısınız. Görüldüğü üzere, bunu yapmamak oldukça pahalıya patlayabilir.
Herkesin Başına Gelebilir
Eminiz ki, Edmonton’da yer alan 14 inşaat şirketinin hiçbiri hackerların sahte web siteleri ve phishing yöntemiyle kendi adlarını kullanarak potansiyel müşterileri hedef alacağını düşünmemiştir. Fakat bu gösteriyor ki, sektör fark etmeksizin phishing herkesin başına gelebilir.
Ve hakkını vermek gerekirse, bu oldukça hünerli bir **************lık. İnşaat firmaları genellikle broşür tarzı web siteleri yapıyorlar, önem göstermiyorlar veya düzenli güncellemiyorlar. Bu da siteleri phishing için iyi bir hedef hâline getiriyor. Müşteri ağlarının genişliği de hedefi çekicileştiriyor. Üniversiteye yapılan bu hamle de oldukça iyi tasarlanmıştı.
Fakat Clark Builders adlı inşaat firması, anasayfasında SSL kullanmayarak müşterilerine iyilik yapmıyor. Firmanın sitesine girdiğimizde, şifrelenmemiş bir bağlantı bizi karşılıyor. Her ne kadar taşeronların web sitesi şifreli olsa da, Clark Builders’ın kendi anasayfasında SSL doğrulaması bulunmuyor. Bu noktada SSL kullanmak yapılacak en iyi önlemken, firma eğer sertifika kullansaydı müşterilerine onaylı bilgiler sunabilirdi.
Elbette SSL tüm bunları önlerdi demek doğru değil. Onaylama her şeyin çözümü değil fakat burada bahsetmek istediğimiz konu bu da değil. Fakat yaşananlarda, sertifika olayları durdurmakta bir potansiyel olabilirdi. Hiç kullanılmaması ise MacEwan’ın kimlik avına maruz kalmasını kolaylaştırdı.
Tekrar edelim, bu ufak bir sorun ve Clark Builders da suçlanacak taraf değil, hatta kendileri de olayın kurbanı. Fakat tüm bunlar, bizi ikinci bir önlem almaya itiyor.
Önlem 2: Müşterilerinizi phishingten korumanın en iyi yolu, sizi gerçekten ayırt edebilmeleridir. Doğru yerde olduklarına emin olmalılar.
Birilerini phishing **************lığından kurtarmanın kesin çaresi yok. Yeterli çalışmayla, herkes kimlik avında savunmasız duruma girebilir. Fakat en azından müşterilerinize belli oranda güven sağlayabilirsiniz. Bunun için de SSL sertifikaları ve kullanıcıların eğitimi büyük önem taşıyor.
Toplayalım
MacEwan Üniversitesi’nin başına gelenler her yerde yaşanabilirdi. Tam da hedeflendiği gibi bir phishing **************lığı gerçekleştirildi ve bu konuda insanları suçlamanın bir anlamı yok.
Suçlamak yerine, tüm bu hikâye eğitim amaçlı kullanılmalı. Herkes hedefe alınabilirken, yaşananlardan öğrenebileceğimiz çok fazla şey var. Olay başta ‘gülünç’ gelse de, kendi savunma politikalarımızı ve çalışmalarımızı buna göre geliştirmeliyiz.
Ne Öğrendik?
Tüm bu yaşananlardan alabileceğimiz ibretler varken, işte öğrendiklerimiz:
- MacEwan Üniversitesi, okulun inşaat ortağı gibi davranan hackerlar tarafından phishing tuzağına düşürüldü ve 11.8 milyon dolar dolandırıldı.
- Hackerlar sahte web siteleri ve e-postalar aracılığıyla Edmonton şehrindeki 14 inşaat firmasını daha hedef aldı.
- MacEwan Üniversitesi, gelen isteği onaylamak için bir çalışmada bulunmadı. Bunun yerine üç çalışan, yaşanan iletişimin meşruluğuna inanarak doğrudan karar aldı.
Kaynak : https://www.cheapssl.com.tr/blog/macewan-universitesi-phishing-dolandiriciligi-ibret-verici-bir-oyku.html