İnsanoğlu, varoluşundan bu zamana kadar, kendini hep farklı şekilde ifade etmenin yollarını aradı. Bu durum tiyatro ve sinema gibi sanatların ortaya çıkmasına sebep oldu ve biz bu sayede varoluşumuzdan bu yana, geride paha biçilemez bir miras bıraktık. Farklı kimliklere bürünme arzumuz sadece oyun sahneleriyle sınırlı kalsaydı belki de bu yazıyı yazmıyor olacaktık ancak mesele hiç de göründüğü kadar masum değil! En az insanlık tarihi kadar eski bir alışkanlığımız daha var: FRAUD; yani Kimlik Hırsızlığı.
Helen olayını (Truva savaşını) hepiniz az çok duymuşsunuzdur. Truva savaşı, kimileri (genelde kadınlar) için tarihteki en anlamlı savaş olarak bilinirken, kimileri için de Yunan mitolojisindeki, diğerlerinden farklı olmayan bir efsanedir. Savaşın nedenleri ve sonuçları bu yazının konusu değil elbette. Ancak biz bilgi teknolojileri meraklıları için bu savaşı farklı kılan önemli bir durum var; Truva savaşı tarihteki ilk ‘Kurumsal Fraud’ olayına ev sahipliği yapıyor. Odysseus‘un fikri ile Truva atını yaptırıp, askerlerini Yunan tanrılarına adanmış bu kutsal figürün içine gizleyen Sparta Kralı’nın, Troya’lıları mağlup ederken, gelecek nesillere nasıl bir vizyon kazandırdığını tahmin etmesi tabii ki imkansızdı. Ancak şu anda sosyal mühendislik vakaları, içeriği gerçek olmadığı halde bizi yemleyen web siteleri, kullandığımız tek kullanımlık şifre cihazlarını bile etkisiz kılan saldırılar, kısacası gerçeği gibi hareket eden kötü amaçlı yazılımlarından söz ediyorsak çorbada kendisinin de biraz tuzu buluyor.
Tarihteki bu küçük yolculuğumuzu hızlı bir şekilde 2000‘li yılların başına saralım. Henüz online bankacılık furyası yeni yeni filizlenmeye başlamışken online dünyada ‘çok şeker’ saldırılar görüyorduk. En çok canımızı sıkan ICQ veya MSN şifremizin bir keylogger vasıtası ile çalınması veya bizden izinsiz (habersiz) bir takım yazılımların bilgisayarımızdan screenshot’lar alarak sağa sola göndermesiydi. Bu yazılımlar basit kodlanmış yazılımlardı ve tespit edilmesi de, korunması da bir o kadar kolaydı. Finans kurumlarının online bankacılık kanallarına yaptığı yatırımların artması ve online hizmetler içerisine para transferinin eklenmesi ile birlikte biz de yavaş yavaş tehlikenin ayak seslerini duymaya başladık. Öncelikli saldırılar (şu anda da olduğu gibi) genellikle online bankacılık şifrelerimizi çalmaya yönelikti. O zamanlar çok popüler olan (ki hala görülmekte) bir çok Phising ve Pharming vakası yaşandı ve online bankacılık şifrelerimiz saldırganların eline geçti. Kurumlar bu saldırıları Extended Validation (Yeşil adres çubuğu) SSL sertifikaları ve tek kullanımlık şifre entegrasyonları ile yüksek oranda çözdüler. Özellikle online sistemlere giriş yaparken cep telefonumuza SMS olarak gelen tek kullanımlık şifreler (OTP) ile birlikte tekrar o güzel, mutlu günlerimize geri dönmüştük. Ancak tarih tekerrürden ibarettir. Mitolojik tanrılar küllerinden doğdu ve 2006‘nın ortalarında ZEUS adındaki ilk gelişmiş finansal Trojan piyasaya çıktı.
Zeus basit saldırı yazılımlarının aksine çok daha gelişmiş saldırı teknikleri kullanarak (Browser Overlaying vb.) online bankacılık şifrelerini ele geçiriyor, gerçekte var olmayan, bankacılık sisteminin sahibi kurum tarafından oluşturulamamış web sitesi içeriklerini görünür kılıyordu. Bu nedenle Zeus ‘Man in the browser (Tarayıcıdaki adam)’ olarak adlandırılan yeni bir konsepti de bize tanıtmış oldu. Temel olarak bu aileye ait trojanlar, bilgisayarımıza yerleştikten sonra bankacılık şifrelerimizi anında bulutta yer alan bir sunucuya gönderiyor, bu sunucuda çalışan bir yazılıp sayesinde hesabımızdaki para uçup giderken bizde ‘kullandığınız şifre geçersizdir’ hata mesajları ile boğuşuyorduk. Ancak temel problemimiz, ne Zeus‘un gelişmiş teknikler ile saldırı yapıyor olması ne de saldırı işlemlerini otomatize hale getiriyor olmasıydı. Temel sorun, bu trojanların antivirüsler tarafından tespit edilememesiydi.
Zeus’u kodlayan ve bu projeyi başlatan yazılımcılar çok kısa sürede sıkılmış olmalı ki yaklaşık iki yıl sonra 2.0.4 versiyonundan itibaren projeyi açık kaynak kodlu hale getirdiler ve bilişim güvenliği alanında meraklı, vizyon sahibi, bu alanda kendini geliştirmek isteyen genç saldırganlara harika bir fırsat sundular. Zeus’un açık kaynak kodlu hale gelmesi ile birlikte kısa süre sonra temel olarak Zeus kodundan yararlanarak yazılmış birçok yeni finansal trojan varyantları türedi. Bunlardan ilki ve Zeus’un en büyük rakibi olan SpyEye yaklaşık bir yıl sonra prod (üretim) ortamında endamını gösterdi. Öyle ki, SpyEye, bulaştığı bilgisayarda öncelikli olarak Zeus’un varlığını arıyor, eğer tespit ederse Zeus’u kaldırıp kendini kuruyordu. Günümüzde mobil versiyonlar (Zitmo -Zeus in The Mobile-, Spitmo -SpyEye in the mobile-) olmak üzere 25‘den fazla bankacılık trojanı bulunuyor ve her geçen gün bu varyantların sayısı artıyor. Bu trojanlar şu anda ses ve kamera kaydı da dahil olmak üzere birçok farklı şekilde kullanıcı bilgisayarlarından veri toplayabiliyorlar.
Kaynak: IHS Kurumsal