U.S.T.A. Ulusal Siber Tehdit Ağı - 2016 Analiz Raporu

U.S.T.A. 2016 FAALİYET RAPORU

INVICTUS Bilişim Güvenlik Hizmetleri Danışmanlık ve Üretim Ticaret A.Ş.
aTeknopark İstanbul. 4/101 Pendik İstanbul
ginfo@invictuseurope.com J+90 216 290 23 27
www.invictuseurope.com
RAPOR HAKKINDA
2
Özet
İşbu rapor, 2012 senesinden bu yana faaliyette olan U.S.T.A. (Ulusal Siber Tehdit Ağı) Platformu’nun
2016 yılında bildirilen, rapor edilen, aksiyon alınan ve/veya incelenen siber tehditler hakkında genel
bir perspektif ortaya koymak için hazırlanmış olup, geçtiğimiz yılın kötü-niyetli teşebbüslerine ilişkin
çeşitli çıkarımlar sunmaktadır.
Platform dahilinde işleme alınan 14 farklı bildirim tipinin her biri ayrı ayrı analiz edilmiş olup, 2016
senesinin en ilgi çekici başlıklarına da ayrıca yer verilmiştir.
Raporda analizi yapılan başlıca bildirim türleri:
• Oltalama Sitesi
• Çalıntı Kredi Kartı
• Siber Saldırı
• Raporlar
• Kurumsal E-Posta Sızıntısı
• Veri Sızıntısı
• Zararlı Yazılım
• Zararlı URL
• Oltalama E-Postası
• Marka Koruma
• Sahte Yazılım
• Güvenlik Zaafiyeti
• Dolandırıcılık Yöntemi
Yukarıda belirtilen bildirim türlerine ek olarak, herhangi bir ön-tanımlı siber tehdit grubuna dahil
edilmeyen siber tehditler, platform dahilinde “Diğer” başlığında sınıflandırılmış olup, bu başlık altında
işleme alınan tehdit türlerine ilişkin çeşitli verilere de rapor kapsamında yer verilecektir.
U.S.T.A. Üyesi Kurumların Sektörel Dağılımı
Finans
65%
Sigortacılık
9%
E-ticaret
18%
Enerji
4%
Havayolu
4%

2016 GENEL DURUM
3
2016 YILI SİBER GÜVENLİK TEHDİTLERİNİN RAKAMSAL İSTATİSTİKLERİ:
Oltalama Saldırıları:
2016 yılı İçerisinde U.S.T.A. Platformu’ndan Türkiye kurumlarını hedef alan 2,254 adet oltalama sitesi
tespit edilerek kapatılmıştır. Bu çalışma ile farklı kurumları ilgilendiren toplam 40,143 adet farklı
vakanın önceden tespit edilerek sonlandırımlası sağlanmıştır.
Çalıntı Kredi Kartı Tehditleri:
U.S.T.A. Platformu tarafından, siber suçlular tarafından ele geçirilen ve tespit edilerek U.S.T.A. üyesi
finans kurumlarına bildirilen Türk vatandaşlarına ait çalıntı kredi kartı sayısı 50,339 adettir. Global
olarak tespit edilen çalıntı kredi kartı sayısı ise 2016 itibariyle 2 milyonu geçmiştir.
Çalıntı Nüfus Cüzdanı Tehditleri:
2016 yılı içerisinde U.S.T.A. ekibi tarafından tespit edilerek U.S.T.A. üyesi kurumlar ile paylaşılan çalıntı
nüfus cüzdanı sayısı 1,019’dur.
Kurumsal E-Posta Sızıntısı Tehditleri:
2016 yılı dahilinde saldırganların eline geçmiş toplam 28,718 adet kurumsal e-posta adresi/parolası
tespit edilerek ilgili kurumlara bildirilmiştir.
Zararlı Yazılım Bildirimleri:
Doğrudan Türkiye’de belirli bir sektörü hedef aldığı tespit edilerek bildirilen / analiz edilen ve aksiyon
alınan hedef odaklı zararlı yazılım sayısı 2016 yılı için 71’dir.
Zararlı URL Tehditleri:
Hedef odaklı olmayan ve genellikle Cryptolocker, Torrentlocker ve benzeri örnekleri gözlemlenen
fidye yazılımlarının (“Ransomware”) dağıtıldığı zararlı URL adreslerine ilişkin toplam 3,765 bildirim
gönderilmiştir.

2016 GENEL DURUM
4
2016 YILI SİBER GÜVENLİK TEHDİTLERİNİN RAKAMSAL ANALİZİ:
Marka Odaklı Tehditler:
Saldırganlar tarafından bir dolandırıcılık/saldırı sitesine dönüştürüleceği öngörülen ve genellikle
ülkemizdeki bankacılık/telekomünikasyon kurumlarının adını kullanan 1,984 adet alan adı marka
koruma kapsamında tespit edilmiştir. Bu 1,984 alan adı anlık izlemeye alınmış, toplam 385 adedinin
daha sonraki bir tarihte zararlı yazılım veya oltalama saldırısı olarak tasarlandığı tespit edilerek yayına
geçmesini takiben ortalama 35 dakika içerisinde kapatılmıştır.
Dolandırıcılık Yöntemi
Çalıntı kredi kartlarının nakte çevrilmesi için kullanılan 3,032 adet farklı yöntem 2016 yılı içerisinde üye
kurumlar ile paylaşılmıştır.

OLTALAMA SALDIRILARI
5
Sahte Site (Oltalama Sitesi) Trendleri
2016 yılı içerisinde Oltalama saldırıları başlığında gerçekleşmiş olan en önemli gelişme, saldırganların
Kredi Kartı numarasının yanı sıra, bankacılık müşterilerinin Internet Bankacılığı giriş bilgilerini de ele
geçirmek üzere yürüttüğü saldırılardır.
Saldırganlar2016yılıiçerisindeHTTrackvebenzeriwebsitesikopyalamaprogramlarınınyaygınlaşması
ile İnternet bankacılığı giriş ekranlarını çok daha hızlı ve efektif şekilde kopyalayabilir hale gelmişlerdir.
2016 içerisinde, Türkiye finans sektörünü hedef alan 2,254 oltalama sitesinin 118 adedi doğrudan
Internet Bankacılığı giriş ekranı kopyalama vakasıdır. Bu rakamın 2017 senesinde büyük bir oranda
artması beklenmektedir. Zira bu saldırı vektöründe saldırganlar, kullanıcı ekranına gizli bilgilerini
girdiği an harekete geçerek kullanıcıya giden SMS bilgilerini de anlık olarak toplamakta, bu şekilde
dolandırıcılık işlemini gerçek zamanlı olarak yürütmektedirler. Diğer bir ifade ile kullanıcı gelen SMS’i
oltalama sitesine girmekte, saldırgan ise, oltalama sitesi ile aldığı SMS’i, kullanıcı adına giriş yapmaya
çalıştığı İnternet Şubesi’nde kullanmaktadır. Saldırganların dolandırıcılık işlemini gerçek zamanlı
olarak yürütmediği senaryolarda ise, özellikle Android için yayınlanan zararlı yazılımların çeşitliliği;
saldırganların hareket imkanını arttırmaktadır. Bu çerçevede 2017 yılı içerisinde, saldırganların
hazırladıkları oltalama sitelerinin henüz tasarım aşamasında tespitini öngören farklı mekanizmalar
Ar-Ge çalışmalarını takiben devreye alınmaktadır.
“Kelime bağımsız” yaklaşım
Kelime takibi ile açılan benzer alan adları düzenli olarak U.S.T.A. platformundan bildirilmektedir. Aynı
zamanda grafik bazında eşleşme algoritmaları geliştiren U.S.T.A. ekibi, farklı oltalama sitelerinde
geçen resimler ile üye işyerlerinin logo’ları arasında benzerliği otomatik olarak tespit ederek
“kelimeden bağımsız“ bir yaklaşım ile de sahte siteleri tespit edebilmektedir.
Yatay bardak
resmi üzerinde
logo eşleştirmesi

6
22001166
22 bbiinn 225544SSeennee iiççeerriissiinnddee TTüürrkk FFiinnaannss
kkuurruummllaarrıınnıı hheeddeeff aallaann ttooppllaamm
oollttaallaammaa ssiitteessii ssaayyııssıı
TTüürrkkiiyyee hheeddeeffllii oollttaallaammaa ssaallddıırrııllaarrıı iiççiinn kkuullllaannııllaann
aallaann aaddllaarrıınnıınn ssaattıınn aallıınnddığıığı ffiirrmmaallaarr
GGooDDaaddddyy
RReegg22CC
İİssiimmTTeesscciill
PPuubblliiccDDoommaaiinnRReeggiissttrryy
EEnnoomm
TTuuccoowwss
AAsscciioo
LLaauunncchhppaadd
NNaammee..ccoomm
2016 senesinde U.S.T.A.
platformu tarafõndan šnceden
tespit edilerek engellenen
vaka sayõsõ
40,143
2 saat 45
dakika
Oltalama sitesinin U.S.T.A.
tarafından kapatılma süresi
(2016 ortalaması)
● GoDaddy
● HostGator
● Hostinger
● One.com
● OVH
OOllttaallaammaa ssiitteessii
bbaarrıınnddıırrmmaakk
iiççiinn eenn yyaayyggıınn
oollaarraakk
kkuullllaannııllaann iillkk 55
hhoossttiinngg ffiirrmmaassıı
Amerika
İngiltere
Almanya
Hollanda
Rusya
TTüürrkkiiyyee''yyee yyöönneelliikk ssaallddıırrııllaarrddaa kkuullllaannııllaann
oollttaallaammaa ssiitteelleerriinnii bbaarrıınnddıırraann iillkk 55 üüllkkee
SSaallddıırrııllaarrıı
Oltalama

OLTALAMA SALDIRILARI
7
Oltalama saldırılarında en çok tercih edilen kelimeler
2016 senesinde tespit edilen 2,254 oltalama sitesinde en sık geçen kelimeler bu sene de pek fazla
değişmemiştir. Genellikle Türkçe kelimelerin kullanıldığı alan adlarındaki kelime sıklığı şu şekildedir;
Yeni nesil saldırılar ve önlemler
Oltalama tehditleri ile ilgili 2016 yılında bir diğer dikkat çekici faktör ise saldırganların Google’da üst
sıralarda bulunmak ve tam olarak hedefledikleri kitlelerin önüne çıkmak için kullandıkları paralı reklam
verme yaklaşımı olmuştur. Saldırganlar, ele geçirdikleri çalıntı kredi kartları ile Google AdSense gibi
ücretli çevrimiçi reklamverme kanallarını kullanarak, hazırladıkları sahte sitelerini diledikleri bankaların
müşterilerine daha yüksek başarı ortalaması ile ulaştırabilmişlerdir. Bu tür vakaların özellikle 2016’nın
ikinci çeyreğinden itibaren popülerlik kazanması ile U.S.T.A. Ekibi, doğrudan bu şekilde hazırlanan
web sitelerinin tespit edilmesine imkan sağlayan sensörleri geliştirerek, yılın ikinci yarısından itibaren
gözlemlenen 11 farklı vakayı SLA süreleri dahilinde sonlandırmıştır.
U.S.T.A. üyesi kurumlardan bazılarına, oltalama sitesi henüz tasarım aşamasındayken bildirim
alınabilecek çeşitli yöntemler entegre edilmiştir. Bu sayede henüz bilinmeyen bir URL daha tasarım
aşamasındayken oltalama sayfası ve saldırgan hakkında haber alınarak U.S.T.A. platformuna uyarı
gönderilebilmektedir.
Bu entegrasyon için geliştirilen yazılımlar test sürecini başarıyla tamamlamış olup 2017 senesinin ilk
çeyreğinde tüm üye kurumları koruyacak bir yapıya getirilecektir.
1. sorgu
2. banka
3. odeme
4. borc
5. fatura
6. islem
7. panel
8. kredi
9. sistem
10. sube
sorgu
26%
banka
12%
odeme
12%
borc
11%
fatura
11%
islem
10%
panel
6%
kredi
4%
sistem
4%
sube
4%

ÇALINTI KREDİ KARTI
TEHDİTLERİ
8
E-Ticaret tarafında artan tehlike
2016 yılı, 2015’deki öngörülerimizi haksız çıkarmayacak şekilde, Çalıntı Kredi Kartları açısından son
derece aktif bir yıl olmuştur. Ancak ilgili dönem içerisinde siber saldırganlar ve dolandırıcılar arasında
biröncekiyılanazaranönemlieğitimfarklarıgözlemlenmiştir.İlgiliyıliçerisindeUSTAüzerindentoplam
2 bin üzerinde oltalama vakası bildirilerek sonlandırılmış olsa da, saldırganların Oltalama yöntemi ile
çalıntı kredi kartı elde etme eğiliminde azalma olduğu gözlemlenmiştir. Siber dolandırıcılık pazarı
ile e-ticaretin doğru orantılı olarak büyüdüğü göz önünde bulundurulduğunda, e-ticaret sitelerinin
siber saldırganlar için giderek daha fazla “açık hedef” haline geldikleri gözlemlenmiştir. Öyle ki,
ilgili yıl içerisinde tespit edilen kartların yaklaşık %40’ının doğrudan, ele geçirilen e-ticaret sitesi
veritabanlarından elde edilmesi şaşırtıcı değildir. (Bu rakama yıl içerisinde gerçekleştiği addedilen,
tüm bankacılık ve e-ticaret sektörünün bildiği, ancak ilgili tarafların doğrulamaktan imtina ettiği “ilgili
e-ticaret sitesi vakası” dahil değildir.)
Bu durum, e-ticaret sitelerinin güvenlik bakımından hızla standartlaşmaya gitmesi zorunluluğunu
doğurmaktadır.Aksi halde 2017ve 2018’deyüzleşilecek dolandırıcılıkvakalarınınyüksek-profillivakalar
olması kaçınılmaz olacaktır. Neyse ki ülkemizdeki finans sektörü, USTA-Zabıta ve benzeri sistemler/
önlemler ile giriş seviyesindeki e-ticaret sitelerine temel bir güvenlik kapsamını şart koşmaktadır.
0
2000
4000
6000
8000
10000
12000
Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık
2016 Yılı Aylık Çalıntı Kredi Kartı Bildirim Sayısı - Türkiye
Aylık Çalıntı Kredi Kartı Bildirimi - Türkiye

ÇALINTI KREDİ KARTI
TEHDİTLERİ
9
İstatistikler ile çalıntı kredi kartları
2016 yılı içerisinde U.S.T.A. platformu üzerinden Türkiye’deki bankalara bildirilen çalıntı kredi kartı
sayısında ilk 5 ay’da düzenli bir düşüş görülmekte iken Mayıs 2016 itibariyle birçok kredi kartının
siber yeraltında satışa sunulduğu veya el değiştirdiği tespit edilmiştir. Bu verilerin global çalıntı kart
tespiti istatistiklerinden farklı olması sebebi ile Türkiye özelinde Nisan-Mayıs 2016 tarihli büyük bir
veritabanı sızıntısı olabileceği çıkarımı yapılabilir.
IRC ve ICQ kanalları yeniden gündemde
2016 yılına ilişkin çalıntı kredi kartı vaka ve tespitlerine ilişkin bir diğer dikkat çekici faktör ise, ele
geçirilen kredi kartlarının saldırganlar arasında paylaşılma biçimlerideki değişiklerdir. 2015 yılında
saldırganlar arasındaki kredi kartı paylaşımlarının genellikle derin ağlardaki forumlar, erişilebilir
açık Internet kaynaklarındaki forumlar ve sosyal medyada gerçekleştiği gözlemlenmiş durumda
iken, 2016 yılı içerisinde saldırganlar metodoloji değiştirerek mesajlaşma ve iletişim yazılımlarında
oluşturdukları gruplar üzerinden paylaşımda bulunmaya başlamıştır. 2016 yılı içerisinde özellikle
Türkiye’deki çalıntı kredi kartı şüphelilerinin ICQ ve IRC’de oluşturdukları kapalı kanal ve gruplar
üzerinden paylaşım yaptıkları gözlemlenmiştir. (U.S.T.A. Takip Sensörleri, tespit edilen saldırganlar
için gereğince yapılandırılmıştır.)
0
20000
40000
60000
80000
100000
120000
140000
160000
180000
200000
Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık
2016 Yılı Aylık Çalıntı Kredi Kartı Bildirim Sayısı - Global
Aylık Çalıntı Kredi Kartı Bildirimi - Global

10
UU..SS..TT..AA.. ÇÇaallıınnttıı KKrreeddii KKaarrttıı İİssttiihhbbaarraattıı
2016 yõlõ Global ve TŸrkiye šzelinde çalõntõ kredi kartõ bildirim istatistikleri
2 Milyon
95 Bin
843 Kredi
Kartõ
50 bin
339
Kredi
Kartõ
94GPACT U.S.T.A.
UU..SS..TT..AA.. PPllaattffoorrmmuunnddaann hheerr
ssaaaatt bbiillddiirriilleenn oorrttaallaammaa
ççaallıınnttıı kkrreeddii kkaarrttıı ssaayyııssıı
Global
Bildirimler
Ulusal
Bildirimler

VERİ SIZINTISI TEHDİTLERİ
11
Kronolojik uluslararası veri sızıntısı sıralaması
Ulusal ölçekte bakıldığında da, özellikle 2016’nın son çeyreğinde iki farklı sektörde önemli sızıntılar
gerçekleştiği tespit edilmiştir. Havacılık ve e-ticaret sektörü bu dönem içerisinde önemli yaralar
almıştır. 5 büyük e-ticaret sitesinin veritabanı ele geçirilmiş, 2 orta ölçekli havayolu şirketinin ise
payment gateway’inden kaynaklı zafiyetler nedeniyle veri sızdırdığı tespit edilmiştir. Ayrıca 2016’nın
son haftasında, ülkemizde resmi olarak faaliyet gösteren büyük bir bahis sitesinin önemli müşteri
bilgilerinin sızmış olduğu tespit edilmiştir. Bu vakaların her biri, sızan verilere ilişkin ayrıntılar ile birlikte
U.S.T.A. üyeleri ile paylaşılmıştır. Diğer yandan işbu raporun kamuya açık şekilde paylaşılacak olması
sebebiyle ülkemizdeki veri sızıntılarına konu olan kurum isimlerinin açık şekilde belirtilmesi uygun
bulunmamıştır.
2016 - Uluslararası veritabanı sızıntılarının kronolojik sıralaması
• 30 Mart: Mate1.com
• 17 Mayıs: LinkedIN
• 27 Mayıs: Myspace
• 2 Haziran: Badoo
• 5 Haziran: VK
• 8 Haziran: Twitter (Toplu Twitter Kullanıcısı Hack vakası olup Twitter’a sızıntı söz konusu değildir.)
• 13 Haziran: iMesh
• 14 Haziran: Vertical Scope
• 4 Temmuz: WebHostingTalk
• 13 Temmuz: Shadi
• 9 Ağustos: DOTA2
• 16 Ağustos: SocialBlade
• 24 Ağustos: Mail.ru’da barınan tüm siteler
• 1 Eylül: LastFM
• 1 Eylül: Bitcointalk ve BTC-E
• 6 Eylül: Rambler.ru
• 11 Ekim: Evony
• 20 Ekim: Weebly
• 13 Kasım: AdultFriendFinder

ÇALINTI NÜFUS CÜZDANI
TEHDİTLERİ
12
Kurum içi tehdit faktörleri
2016yılı içerisinde önemliveri sızıntısıvakaları geride bırakılmıştır. 2015yılında dikkate değerbulunarak
takibe alınan Çalıntı Nüfus Cüzdanı verileri, 2016’da da hız kesmeden devam etmiştir. Bu durum,
Türkiye’deki âdi dolandırıcılık suçlarının giderek daha dijital hale geldiğini gösterir niteliktedir. Ayrıca,
satışa ve paylaşıma çıkarılan çalıntı nüfus cüzdanı sayısındaki artış; günlük iş hayatında elinden nüfus
cüzdanı fotokopileri geçen farklı şahısların; bu verilerin satılabilir birer meta olduğunu fark etmiş
olduklarını düşündürmektedir.
Dolayısı ile artık çalıntı nüfus cüzdanlarının yalnızca hacklenerek değil, bilinçli şekilde kurum-içi
tehdit faktörleri tarafından satışa çıkarıldığını söylemek mümkündür. Bildirilen çalıntı kimlik fotokopisi
miktarındaki artış bu görüşü destekler niteliktedir. 2017 yılında yeni TC Kimlik Kartları hakkında
araştırma yapılarak öngörülen riskler ayrıca üye kurumlara iletilecektir.
Veritabanı Sızıntıları
Veritabanı sızıntıları açısından değerlendirildiğinde, 2016 senesi son derece aktif bir yıl olmuştur.
2016 yılı içerisinde, önceki yıllarda sızmış olan veritabanlarının daha erişilebilir hale geldiği ve bu
veritabanlarında “hash’li” biçimde bulunan parolaların kırılmış şekilde tekrar paylaşıma sokulduğu
tespit edilmiştir. Dolayısı ile önceki tarihlerde gerçekleşmiş olan LinkedIN, Tumblr, Badoo, iMesh,
Fizy, Adobe, Yahoo, Twitter, AdultFriendFinder ve AshleyMadison sızıntılarının önemini halen
yetirmemiş vakalar olduğu unutulmamalıdır. Bununla birlikte Türkiye’de birçok e-ticaret sitesinin veri
tabanı siber yeraltına sızmış olsa dahi vaka örnekleri, kurumların itibarlarının zedelenmemesi adına
rapor kapsamına alınmamıştır. Bu veri tabanlarında geçen üye kurumlara ait veriler U.S.T.A. platformu
üzerinden bildirilmiştir.

KURUMSAL E-POSTA SIZINTISI
13
Kritik personeller üzerinden yürütülen APT saldırıları
Kurumsal E-Posta Sızıntısı U.S.T.A.’ya 2016 yılında eklenen bildirim tiplerinden biridir. Daha önceki
yıllarda Veri Sızıntısı bildirim tipi altında bu tarz bilgiler paylaşılmasına rağmen, artan sızıntılar
nedeni ile artık kendi başlığı altında faaliyet göstermektedir. Bu bildirim tipinde, U.S.T.A. üyesi
kurumların çalışanlarına ait siber yeraltına sızan e-posta adresleri paylaşılmaktadır. U.S.T.A.
Modülleri arasındaki en önemli modüllerden biri olmasına karşın kurumların halen Kurumsal
E-Posta Sızıntısı bildirimlerine gerekli önemi göstermediği tespit edilmiştir. Diğer yandan kurumsal
e-posta sızıntılarının, ülkemizdeki bankacılık kurumlarının yüzleşebileceği APT tehditleri göz önünde
bulundurulduğunda, önlem alınması gereken en önemli faktörlerden biri olduğu unutulmamalıdır.
2016 yılında yaşanan yüksek profilli vakalar göz önünde bulundurulduğunda, kurumsal
e-posta sızıntılarına ilişkin takip mekanizmalarımıza yalnızca kurumsal e-posta adreslerinin
değil, kurumlarda kritik görevleri yürütmekte olan şahısların şahsi e-posta adreslerinin de
dahil edilmesi öngörülmektedir. (örneğin USTABANK’ta çalışan Koryak UZAN için, yalnızca @
ustabank.com uzantılı e-posta adresleri takip edilmeyecek, koryak.uzan@gmail.com adresine
ilişkin de sızıntı kontrolleri gerçekleştirilecektir.) Böylelikle kurumlardaki kritik personellerin şahsi
hesap ve aygıtlarından yöneltilen APT saldırı vektörlerinin önüne geçilmesi hedeflenmektedir.

GÜVENLİK ZAFİYETİ
BİLDİRİMLERİ
14
11 adet sıfırıncı gün zafiyeti
U.S.T.A. yalnızca bilgi güvenliği ile ilgili dünyada yayınlanan önemli zafiyetleri değil, ayrıca INVICTUS
güvenlik test ekibi tarafından gerçekleştirilen zafiyet araştırmalarını ve keşfedilen Sıfırıncı Gün (0 Day)
zafiyetlerini de anlık olarak bildirmektedir.
Geçtiğimiz yıl içerisinde Ulusal Siber Tehdit Ağı’nda paylaşılan 105 adet zafiyetten 11 tanesi; dünyada
ilk kez INVICTUS ekibi tarafından keşfedilerek, öncelikli olarak U.S.T.A.’ platformunda duyurulmuştur.
Bu zafiyetler ve alınması gereken önlemler U.S.T.A. üyeleriyle paylaşılmış, zafiyetlerin mevcut
olduğu sistemleri geliştiren firma ve ekipler ile iletişime geçilerek gerekli yamaların yayınlanması
sağlanmıştır. Ek olarak bu zafiyetlerin gelecekte kurumların gerçekleştireceği sızma testlerinde de
kontrol edilmesine olanak sağlayabilmek adına INVICTUS Güvenlik Araştırmaları Ekibi, metasploit
için söz konusu zafiyetlerin 4 tanesini istismar edilmesine imkan sağlayan modüller geliştirmiştir.
(Bu modüller Rapid7’nin web sitesinden temin edilebilmektedir.)
https://www.rapid7.com/db/modules/exploit/linux/http/kaltura_unserialize_rce
https://www.rapid7.com/db/modules/exploit/unix/webapp/tikiwiki_upload_exec
https://www.rapid7.com/db/modules/exploit/unix/webapp/drupal_restws_exec
https://www.rapid7.com/db/modules/exploit/unix/webapp/drupal_coder_exec

SAHTE MOBİL UYGULAMALAR
15
Mobil Şube ve Gelişimi
2016 içerisinde, bir önceki yıla benzer şekilde en dikkat çekici husus, “mobilşube” adıyla bilinen
zararlı Android uygulaması olmuştur. Söz konusu mobil uygulama, bir önceki yılda olduğu gibi
bankacılık müşterilerine gönderilen SMS’ler ile yayılmıştır. Söz konusu mobil uygulamaların
uygulama marketlerinde yayınlandığı bir vaka ile karşılaşılmamıştır. Diğer yandan, mobilşube zararlı
yazılımını geliştiren saldırganın, ilgili zararlı yazılımın komuta kontrol sunucusunu TOR ağı ardına
konumlandırması, söz konusu varyantın geldiği endişe verici noktayı gözler önüne sermektedir.
Bununla birlikte mobilşube’nin bu denli yayılabiliyor olması, “ülkemizde yüzlerce bankacılık müşteri
cihazında, 3. partilerden *.apk indirilmesine olanak sağlayan güvenlik ayarının yetersiz şekilde
işaretlenmiş olduğunu ifade eder niteliktedir. Bu husus 2017 yılı içerisinde sahte mobil uygulama
vektörünün devam edeceğinin başka bir habercisidir.
ÖzellikleApp Store ve Google Play haricindeki uygulama marketlerinin artmakta olduğu günümüzde,
bu bağımsız uygulama marketleri aracılığı ile farklı yayılımlar olabileceği öngörülmektedir. Benzer
şekilde bankacılık kurumlarının App Store ve Google Play’deki resmi ikincil uygulamaları (tahmin,
cüzdan, takip, borsa vb.) taklit edilerek oluşturulabilecek vektörlere karşı da tetikte olunması
öngörülmektedir.
Bu varsayımlar ışığında INVICTUS ve U.S.T.A. ekibi, 2016 yılı içerisinde 6 aylık bir Ar-Ge çalışması
yürütmüş, sahte mobil uygulamaların herhangi bir anahtar kelime gereksinimi olmaksızın,
tamamen imaj eşleme teknolojileri ile tespitine imkan sağlayacak bir teknoloji gelitşirmiştir.
Bu faaliyetler hakkındaki bilgilendirici rapor, Aralık 2016’da U.S.T.A. üyeleri ile paylaşılmıştır.

16
TTeehhddiitt PPaayyllaaşışımmıı
Siber tehditlerin kurumlar arasında
paylaşılmasının büyük bir ihtiyaç olacağı
konuşulmaya başlandı.
BBeellççiikkaa SSiibbeerr
İİssttiihhbbaarraatt KKoonnffeerraannssıı
2013 senesinde U.S.T.A. platformu ilk defa
Belçika'da düzenlenen dünyanın en
prestijli Siber İstihbarat konferansında
tüm ülkelerine tanıtıldı. U.S.T.A. platformu
konferans gündeminin siber tehdit
paylaşımı olması nedeni ile büyük ilgi
topladı.
SSiibbeerr SSaavvaaşş KKoonnggrreessii
U.S.T.A. platformu 19 Kasım 2013
tarihinde Ankara'da düzenlenen ve çevre
ülkelerden birçok üst düzey katılımcının
bulunduğu Siber Savaş Kongresi'nde
dünya üzerindeki siber suçluları gerçek
zamanlı olarak harita üzerinde gösterdi.
SSüürreekkllii GGeelliişşiimm
2015 başında 3 üye kurumdan alınan
onlarca talebi yanıtsız bırakmayan U.S.T.A.
platformu, kritik kurumların tam olarak
ihtiyacına yanıt verecek seviyeye ulaştı.
İİllkk UU..SS..TT..AA.. üüyyeessii
Ağustos 2014 tarihinde Türkiye'nin en
büyük bankalarından biri U.S.T.A.
platformunu tercih ederek platformun ilk
kullanıcısı oldu.
EEnn İİyyii İİnnoovvaassyyoonn ÖÖddüüllüü
18 Mayıs 2015 tarihinde U.S.T.A. platformu
İngiltere'de düzenlenen ve dünya çapında
finans kurumları ve alt yüklenicilerinin
katıldığı RBI International'ın düzenlediği
yarışmada "Yılın en iyi bankacılık
inovasyonu" ödülünü aldı.
SSiibbeerr İİssttiihhbbaarraatt SSuunnuummllaarrıı
2015 Ağustos ayında Romanya'da
düzenlenen CyberIntelligence
konferansında U.S.T.A. platformu
tanıtılarak çevre ülkeler ile siber tehdit
paylaşımı kanalları oluşturuldu.
88//1100
Türkiye Bankalar Birliği'nin yayınlamış
olduğu Aktif büyüklüğüne göre bankalar
listesinde ilk 10 bankanın 8'i U.S.T.A. üyesi
oldu. Bu gelişme ile birlikte U.S.T.A. finans
kurumu üye sayısı 14'e ulaştı. U.S.T.A.
teknolojisini geliştiren firmamız Avrupa
finans kurumlarına da hizmet vermek
üzere İsviçre ofisini açtı. U.S.T.A. platformu
Türkiye'de finans kurumlarının başlıca
destek aldığı merkezi sistem halini aldı.
AArr--GGee FFaaaalliiyyeettlleerrii
U.S.T.A. Ekibi farklı sektörden üye
kurumlarının ihtiyaçlarına yönelik
faydalanacağı birçok konuda Ar-Ge
faaliyetlerini tamamlayarak hayata geçirdi.
U.S.T.A. Zabıta, U.S.T.A. Devriye ve U.S.T.A.
Mobil başta olmak üzere farklı servis
modelleri ile birçok siber tehditi önceden
tespit edebilmeye yönelik teknolojiler
kullanıma sokuldu.
22001122
EEyyllüüll 22001133
KKaassıımm 22001133
22001144
OOccaakk 22001155
MMaayyııss 22001155
AAğğuussttooss 22001155
OOccaakk 22001166
AArraallııkk 22001166
01
02
03
04
05
06
07
08
09

U.S.T.A. Ulusal Siber Tehdit Ağı - 2016 Analiz Raporu

Recommended

Recommended

More Related Content

What's hot

What's hot (6)

Similar to U.S.T.A. Ulusal Siber Tehdit Ağı - 2016 Analiz Raporu

Similar to U.S.T.A. Ulusal Siber Tehdit Ağı - 2016 Analiz Raporu (12)

U.S.T.A. Ulusal Siber Tehdit Ağı - 2016 Analiz Raporu