u.s.t.a. 2016 faalİyet raporu · İşbu rapor, 2012 senesinden bu yana faaliyette olan u.s.t.a....

U.S.T.A. 2016 FAALİYET RAPORU

INVICTUS Bilişim Güvenlik Hizmetleri Danışmanlık ve Üretim Ticaret A.Ş.a Teknopark İstanbul. 4/101 Pendik İstanbul

g [email protected] J+90 216 290 23 27 www.invictuseurope.com

RAPOR HAKKINDA

2

Özet

İşbu rapor, 2012 senesinden bu yana faaliyette olan U.S.T.A. (Ulusal Siber Tehdit Ağı) Platformu’nun

2016 yılında bildirilen, rapor edilen, aksiyon alınan ve/veya incelenen siber tehditler hakkında genel

bir perspektif ortaya koymak için hazırlanmış olup, geçtiğimiz yılın kötü-niyetli teşebbüslerine ilişkin

çeşitli çıkarımlar sunmaktadır.

Platform dahilinde işleme alınan 14 farklı bildirim tipinin her biri ayrı ayrı analiz edilmiş olup, 2016

senesinin en ilgi çekici başlıklarına da ayrıca yer verilmiştir.

Raporda analizi yapılan başlıca bildirim türleri:

• Oltalama Sitesi

• Çalıntı Kredi Kartı

• Siber Saldırı

• Raporlar

• Kurumsal E-Posta Sızıntısı

• Veri Sızıntısı

• Zararlı Yazılım

• Zararlı URL

• Oltalama E-Postası

• Marka Koruma

• Sahte Yazılım

• Güvenlik Zaafiyeti

• Dolandırıcılık Yöntemi

Yukarıda belirtilen bildirim türlerine ek olarak, herhangi bir ön-tanımlı siber tehdit grubuna dahil

edilmeyen siber tehditler, platform dahilinde “Diğer” başlığında sınıflandırılmış olup, bu başlık altında

işleme alınan tehdit türlerine ilişkin çeşitli verilere de rapor kapsamında yer verilecektir.

U.S.T.A. Üyesi Kurumların Sektörel Dağılımı

Finans65%

Sigortacılık9%

E-ticaret18%

Enerji4%

Havayolu4%



2016 GENEL DURUM

3

2016 YILI SİBER GÜVENLİK TEHDİTLERİNİN RAKAMSAL İSTATİSTİKLERİ:

Oltalama Saldırıları:

2016 yılı İçerisinde U.S.T.A. Platformu’ndan Türkiye kurumlarını hedef alan 2,254 adet oltalama sitesi

tespit edilerek kapatılmıştır. Bu çalışma ile farklı kurumları ilgilendiren toplam 40,143 adet farklı

vakanın önceden tespit edilerek sonlandırımlası sağlanmıştır.

Çalıntı Kredi Kartı Tehditleri:

U.S.T.A. Platformu tarafından, siber suçlular tarafından ele geçirilen ve tespit edilerek U.S.T.A. üyesi

finans kurumlarına bildirilen Türk vatandaşlarına ait çalıntı kredi kartı sayısı 50,339 adettir. Global

olarak tespit edilen çalıntı kredi kartı sayısı ise 2016 itibariyle 2 milyonu geçmiştir.

Çalıntı Nüfus Cüzdanı Tehditleri:

2016 yılı içerisinde U.S.T.A. ekibi tarafından tespit edilerek U.S.T.A. üyesi kurumlar ile paylaşılan çalıntı

nüfus cüzdanı sayısı 1,019’dur.

Kurumsal E-Posta Sızıntısı Tehditleri:

2016 yılı dahilinde saldırganların eline geçmiş toplam 28,718 adet kurumsal e-posta adresi/parolası

tespit edilerek ilgili kurumlara bildirilmiştir.

Zararlı Yazılım Bildirimleri:

Doğrudan Türkiye’de belirli bir sektörü hedef aldığı tespit edilerek bildirilen / analiz edilen ve aksiyon

alınan hedef odaklı zararlı yazılım sayısı 2016 yılı için 71’dir.

Zararlı URL Tehditleri:

Hedef odaklı olmayan ve genellikle Cryptolocker, Torrentlocker ve benzeri örnekleri gözlemlenen

fidye yazılımlarının (“Ransomware”) dağıtıldığı zararlı URL adreslerine ilişkin toplam 3,765 bildirim

gönderilmiştir.



2016 GENEL DURUM

4

2016 YILI SİBER GÜVENLİK TEHDİTLERİNİN RAKAMSAL ANALİZİ:

Marka Odaklı Tehditler:

Saldırganlar tarafından bir dolandırıcılık/saldırı sitesine dönüştürüleceği öngörülen ve genellikle

ülkemizdeki bankacılık/telekomünikasyon kurumlarının adını kullanan 1,984 adet alan adı marka

koruma kapsamında tespit edilmiştir. Bu 1,984 alan adı anlık izlemeye alınmış, toplam 385 adedinin

daha sonraki bir tarihte zararlı yazılım veya oltalama saldırısı olarak tasarlandığı tespit edilerek yayına

geçmesini takiben ortalama 35 dakika içerisinde kapatılmıştır.

Dolandırıcılık Yöntemi

Çalıntı kredi kartlarının nakte çevrilmesi için kullanılan 3,032 adet farklı yöntem 2016 yılı içerisinde üye

kurumlar ile paylaşılmıştır.



OLTALAMA SALDIRILARI

5

Sahte Site (Oltalama Sitesi) Trendleri

2016 yılı içerisinde Oltalama saldırıları başlığında gerçekleşmiş olan en önemli gelişme, saldırganların

Kredi Kartı numarasının yanı sıra, bankacılık müşterilerinin Internet Bankacılığı giriş bilgilerini de ele

geçirmek üzere yürüttüğü saldırılardır.

Saldırganlar 2016 yılı içerisinde HTTrack ve benzeri web sitesi kopyalama programlarının yaygınlaşması

ile İnternet bankacılığı giriş ekranlarını çok daha hızlı ve efektif şekilde kopyalayabilir hale gelmişlerdir.

2016 içerisinde, Türkiye finans sektörünü hedef alan 2,254 oltalama sitesinin 118 adedi doğrudan

Internet Bankacılığı giriş ekranı kopyalama vakasıdır. Bu rakamın 2017 senesinde büyük bir oranda

artması beklenmektedir. Zira bu saldırı vektöründe saldırganlar, kullanıcı ekranına gizli bilgilerini

girdiği an harekete geçerek kullanıcıya giden SMS bilgilerini de anlık olarak toplamakta, bu şekilde

dolandırıcılık işlemini gerçek zamanlı olarak yürütmektedirler. Diğer bir ifade ile kullanıcı gelen SMS’i

oltalama sitesine girmekte, saldırgan ise, oltalama sitesi ile aldığı SMS’i, kullanıcı adına giriş yapmaya

çalıştığı İnternet Şubesi’nde kullanmaktadır. Saldırganların dolandırıcılık işlemini gerçek zamanlı

olarak yürütmediği senaryolarda ise, özellikle Android için yayınlanan zararlı yazılımların çeşitliliği;

saldırganların hareket imkanını arttırmaktadır. Bu çerçevede 2017 yılı içerisinde, saldırganların

hazırladıkları oltalama sitelerinin henüz tasarım aşamasında tespitini öngören farklı mekanizmalar

Ar-Ge çalışmalarını takiben devreye alınmaktadır.

“Kelime bağımsız” yaklaşım

Kelime takibi ile açılan benzer alan adları düzenli olarak U.S.T.A. platformundan bildirilmektedir. Aynı

zamanda grafik bazında eşleşme algoritmaları geliştiren U.S.T.A. ekibi, farklı oltalama sitelerinde

geçen resimler ile üye işyerlerinin logo’ları arasında benzerliği otomatik olarak tespit ederek

“kelimeden bağımsız“ bir yaklaşım ile de sahte siteleri tespit edebilmektedir.

Yatay bardak resmi üzerinde logo eşleştirmesi



6

22001166

22 bbiinn 225544SSeennee iiççeerriissiinnddee TTüürrkk FFiinnaannss kkuurruummllaarrıınnıı hheeddeeff aallaann ttooppllaamm oollttaallaammaa ssiitteessii ssaayyııssıı

TTüürrkkiiyyee hheeddeeffllii oollttaallaammaa ssaallddıırrııllaarrıı iiççiinn kkuullllaannııllaann aallaann aaddllaarrıınnıınn ssaattıınn aallıınnddığıığı ffiirrmmaallaarr

GGooDDaaddddyy

RReegg22CC

İİssiimmTTeesscciill

PPuubblliiccDDoommaaiinnRReeggiissttrryy

EEnnoomm

TTuuccoowwss

AAsscciioo

LLaauunncchhppaadd

NNaammee..ccoomm

2016 senesinde U.S.T.A. platformu tarafõndan šnceden tespit edilerek engellenen vaka sayõsõ 40,143

2 saat 45 dakika

Oltalama sitesinin U.S.T.A. tarafından kapatılma süresi (2016 ortalaması)

● GoDaddy● HostGator● Hostinger● One.com● OVH

OOllttaallaammaa ssiitteessii bbaarrıınnddıırrmmaakk

iiççiinn eenn yyaayyggıınn oollaarraakk

kkuullllaannııllaann iillkk 55 hhoossttiinngg ffiirrmmaassıı

Amerika

İngiltere

Almanya

Hollanda

Rusya

TTüürrkkiiyyee''yyee yyöönneelliikk ssaallddıırrııllaarrddaa kkuullllaannııllaann oollttaallaammaa ssiitteelleerriinnii bbaarrıınnddıırraann iillkk 55 üüllkkee

SSaallddıırrııllaarrııOltalama



OLTALAMA SALDIRILARI

7

Oltalama saldırılarında en çok tercih edilen kelimeler

2016 senesinde tespit edilen 2,254 oltalama sitesinde en sık geçen kelimeler bu sene de pek fazla

değişmemiştir. Genellikle Türkçe kelimelerin kullanıldığı alan adlarındaki kelime sıklığı şu şekildedir;

Yeni nesil saldırılar ve önlemler

Oltalama tehditleri ile ilgili 2016 yılında bir diğer dikkat çekici faktör ise saldırganların Google’da üst

sıralarda bulunmak ve tam olarak hedefledikleri kitlelerin önüne çıkmak için kullandıkları paralı reklam

verme yaklaşımı olmuştur. Saldırganlar, ele geçirdikleri çalıntı kredi kartları ile Google AdSense gibi

ücretli çevrimiçi reklam verme kanallarını kullanarak, hazırladıkları sahte sitelerini diledikleri bankaların

müşterilerine daha yüksek başarı ortalaması ile ulaştırabilmişlerdir. Bu tür vakaların özellikle 2016’nın

ikinci çeyreğinden itibaren popülerlik kazanması ile U.S.T.A. Ekibi, doğrudan bu şekilde hazırlanan

web sitelerinin tespit edilmesine imkan sağlayan sensörleri geliştirerek, yılın ikinci yarısından itibaren

gözlemlenen 11 farklı vakayı SLA süreleri dahilinde sonlandırmıştır.

U.S.T.A. üyesi kurumlardan bazılarına, oltalama sitesi henüz tasarım aşamasındayken bildirim

alınabilecek çeşitli yöntemler entegre edilmiştir. Bu sayede henüz bilinmeyen bir URL daha tasarım

aşamasındayken oltalama sayfası ve saldırgan hakkında haber alınarak U.S.T.A. platformuna uyarı

gönderilebilmektedir.

Bu entegrasyon için geliştirilen yazılımlar test sürecini başarıyla tamamlamış olup 2017 senesinin ilk

çeyreğinde tüm üye kurumları koruyacak bir yapıya getirilecektir.

1. sorgu2. banka3. odeme4. borc5. fatura

6. islem7. panel8. kredi9. sistem10. sube

sorgu26%

banka12%

odeme12%

borc11%

fatura11%

islem10%

panel6%

kredi4%

sistem4%

sube4%



ÇALINTI KREDİ KARTI TEHDİTLERİ

8

E-Ticaret tarafında artan tehlike

2016 yılı, 2015’deki öngörülerimizi haksız çıkarmayacak şekilde, Çalıntı Kredi Kartları açısından son

derece aktif bir yıl olmuştur. Ancak ilgili dönem içerisinde siber saldırganlar ve dolandırıcılar arasında

bir önceki yıla nazaran önemli eğitim farkları gözlemlenmiştir. İlgili yıl içerisinde USTA üzerinden toplam

2 bin üzerinde oltalama vakası bildirilerek sonlandırılmış olsa da, saldırganların Oltalama yöntemi ile

çalıntı kredi kartı elde etme eğiliminde azalma olduğu gözlemlenmiştir. Siber dolandırıcılık pazarı

ile e-ticaretin doğru orantılı olarak büyüdüğü göz önünde bulundurulduğunda, e-ticaret sitelerinin

siber saldırganlar için giderek daha fazla “açık hedef” haline geldikleri gözlemlenmiştir. Öyle ki,

ilgili yıl içerisinde tespit edilen kartların yaklaşık %40’ının doğrudan, ele geçirilen e-ticaret sitesi

veritabanlarından elde edilmesi şaşırtıcı değildir. (Bu rakama yıl içerisinde gerçekleştiği addedilen,

tüm bankacılık ve e-ticaret sektörünün bildiği, ancak ilgili tarafların doğrulamaktan imtina ettiği “ilgili

e-ticaret sitesi vakası” dahil değildir.)

Bu durum, e-ticaret sitelerinin güvenlik bakımından hızla standartlaşmaya gitmesi zorunluluğunu

doğurmaktadır. Aksi halde 2017 ve 2018’de yüzleşilecek dolandırıcılık vakalarının yüksek-profilli vakalar

olması kaçınılmaz olacaktır. Neyse ki ülkemizdeki finans sektörü, USTA-Zabıta ve benzeri sistemler/

önlemler ile giriş seviyesindeki e-ticaret sitelerine temel bir güvenlik kapsamını şart koşmaktadır.

0

2000

4000

6000

8000

10000

12000

Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık

2016 Yılı Aylık Çalıntı Kredi Kartı Bildirim Sayısı - Türkiye

Aylık Çalıntı Kredi Kartı Bildirimi - Türkiye



ÇALINTI KREDİ KARTI TEHDİTLERİ

9

İstatistikler ile çalıntı kredi kartları

2016 yılı içerisinde U.S.T.A. platformu üzerinden Türkiye’deki bankalara bildirilen çalıntı kredi kartı sayısında ilk 5 ay’da düzenli bir düşüş görülmekte iken Mayıs 2016 itibariyle birçok kredi kartının siber yeraltında satışa sunulduğu veya el değiştirdiği tespit edilmiştir. Bu verilerin global çalıntı kart tespiti istatistiklerinden farklı olması sebebi ile Türkiye özelinde Nisan-Mayıs 2016 tarihli büyük bir veritabanı sızıntısı olabileceği çıkarımı yapılabilir.

IRC ve ICQ kanalları yeniden gündemde

2016 yılına ilişkin çalıntı kredi kartı vaka ve tespitlerine ilişkin bir diğer dikkat çekici faktör ise, ele

geçirilen kredi kartlarının saldırganlar arasında paylaşılma biçimlerideki değişiklerdir. 2015 yılında

saldırganlar arasındaki kredi kartı paylaşımlarının genellikle derin ağlardaki forumlar, erişilebilir

açık Internet kaynaklarındaki forumlar ve sosyal medyada gerçekleştiği gözlemlenmiş durumda

iken, 2016 yılı içerisinde saldırganlar metodoloji değiştirerek mesajlaşma ve iletişim yazılımlarında

oluşturdukları gruplar üzerinden paylaşımda bulunmaya başlamıştır. 2016 yılı içerisinde özellikle

Türkiye’deki çalıntı kredi kartı şüphelilerinin ICQ ve IRC’de oluşturdukları kapalı kanal ve gruplar

üzerinden paylaşım yaptıkları gözlemlenmiştir. (U.S.T.A. Takip Sensörleri, tespit edilen saldırganlar

için gereğince yapılandırılmıştır.)

0

20000

40000

60000

80000

100000

120000

140000

160000

180000

200000

Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık

2016 Yılı Aylık Çalıntı Kredi Kartı Bildirim Sayısı - Global

Aylık Çalıntı Kredi Kartı Bildirimi - Global



10

UU..SS..TT..AA.. ÇÇaallıınnttıı KKrreeddii KKaarrttıı İİssttiihhbbaarraattıı

2016 yõlõ Global ve TŸrkiye šzelinde çalõntõ kredi kartõ bildirim istatistikleri

2 Milyon 95 Bin 843 Kredi Kartõ

50 bin 339 Kredi Kartõ

94GPACT U.S.T.A.

Double click to change text

UU..SS..TT..AA.. PPllaattffoorrmmuunnddaann hheerr ssaaaatt bbiillddiirriilleenn oorrttaallaammaa ççaallıınnttıı kkrreeddii kkaarrttıı ssaayyııssıı

Global Bildirimler

Ulusal Bildirimler



VERİ SIZINTISI TEHDİTLERİ

11

Kronolojik uluslararası veri sızıntısı sıralaması

Ulusal ölçekte bakıldığında da, özellikle 2016’nın son çeyreğinde iki farklı sektörde önemli sızıntılar

gerçekleştiği tespit edilmiştir. Havacılık ve e-ticaret sektörü bu dönem içerisinde önemli yaralar

almıştır. 5 büyük e-ticaret sitesinin veritabanı ele geçirilmiş, 2 orta ölçekli havayolu şirketinin ise

payment gateway’inden kaynaklı zafiyetler nedeniyle veri sızdırdığı tespit edilmiştir. Ayrıca 2016’nın

son haftasında, ülkemizde resmi olarak faaliyet gösteren büyük bir bahis sitesinin önemli müşteri

bilgilerinin sızmış olduğu tespit edilmiştir. Bu vakaların her biri, sızan verilere ilişkin ayrıntılar ile birlikte

U.S.T.A. üyeleri ile paylaşılmıştır. Diğer yandan işbu raporun kamuya açık şekilde paylaşılacak olması

sebebiyle ülkemizdeki veri sızıntılarına konu olan kurum isimlerinin açık şekilde belirtilmesi uygun

bulunmamıştır.

2016 - Uluslararası veritabanı sızıntılarının kronolojik sıralaması

• 30 Mart: Mate1.com

• 17 Mayıs: LinkedIN

• 27 Mayıs: Myspace

• 2 Haziran: Badoo

• 5 Haziran: VK

• 8 Haziran: Twitter (Toplu Twitter Kullanıcısı Hack vakası olup Twitter’a sızıntı söz konusu değildir.)

• 13 Haziran: iMesh

• 14 Haziran: Vertical Scope

• 4 Temmuz: WebHostingTalk

• 13 Temmuz: Shadi

• 9 Ağustos: DOTA2

• 16 Ağustos: SocialBlade

• 24 Ağustos: Mail.ru’da barınan tüm siteler

• 1 Eylül: LastFM

• 1 Eylül: Bitcointalk ve BTC-E

• 6 Eylül: Rambler.ru

• 11 Ekim: Evony

• 20 Ekim: Weebly

• 13 Kasım: AdultFriendFinder

UU..SS..TT..AA.. ÇÇaallıınnttıı KKrreeddii KKaarrttıı İİssttiihhbbaarraattıı

2016 yõlõ Global ve TŸrkiye šzelinde çalõntõ kredi kartõ bildirim istatistikleri

2 Milyon 95 Bin 843 Kredi Kartõ

50 bin 339 Kredi Kartõ

94GPACT U.S.T.A.

Double click to change text

UU..SS..TT..AA.. PPllaattffoorrmmuunnddaann hheerr ssaaaatt bbiillddiirriilleenn oorrttaallaammaa ççaallıınnttıı kkrreeddii kkaarrttıı ssaayyııssıı

Global Bildirimler

Ulusal Bildirimler



ÇALINTI NÜFUS CÜZDANI TEHDİTLERİ

12

Kurum içi tehdit faktörleri

2016 yılı içerisinde önemli veri sızıntısı vakaları geride bırakılmıştır. 2015 yılında dikkate değer bulunarak

takibe alınan Çalıntı Nüfus Cüzdanı verileri, 2016’da da hız kesmeden devam etmiştir. Bu durum,

Türkiye’deki âdi dolandırıcılık suçlarının giderek daha dijital hale geldiğini gösterir niteliktedir. Ayrıca,

satışa ve paylaşıma çıkarılan çalıntı nüfus cüzdanı sayısındaki artış; günlük iş hayatında elinden nüfus

cüzdanı fotokopileri geçen farklı şahısların; bu verilerin satılabilir birer meta olduğunu fark etmiş

olduklarını düşündürmektedir.

Dolayısı ile artık çalıntı nüfus cüzdanlarının yalnızca hacklenerek değil, bilinçli şekilde kurum-içi

tehdit faktörleri tarafından satışa çıkarıldığını söylemek mümkündür. Bildirilen çalıntı kimlik fotokopisi

miktarındaki artış bu görüşü destekler niteliktedir. 2017 yılında yeni TC Kimlik Kartları hakkında

araştırma yapılarak öngörülen riskler ayrıca üye kurumlara iletilecektir.

Veritabanı Sızıntıları

Veritabanı sızıntıları açısından değerlendirildiğinde, 2016 senesi son derece aktif bir yıl olmuştur.

2016 yılı içerisinde, önceki yıllarda sızmış olan veritabanlarının daha erişilebilir hale geldiği ve bu

veritabanlarında “hash’li” biçimde bulunan parolaların kırılmış şekilde tekrar paylaşıma sokulduğu

tespit edilmiştir. Dolayısı ile önceki tarihlerde gerçekleşmiş olan LinkedIN, Tumblr, Badoo, iMesh,

Fizy, Adobe, Yahoo, Twitter, AdultFriendFinder ve AshleyMadison sızıntılarının önemini halen

yetirmemiş vakalar olduğu unutulmamalıdır. Bununla birlikte Türkiye’de birçok e-ticaret sitesinin veri

tabanı siber yeraltına sızmış olsa dahi vaka örnekleri, kurumların itibarlarının zedelenmemesi adına

rapor kapsamına alınmamıştır. Bu veri tabanlarında geçen üye kurumlara ait veriler U.S.T.A. platformu

üzerinden bildirilmiştir.



KURUMSAL E-POSTA SIZINTISI

13

Kritik personeller üzerinden yürütülen APT saldırıları

Kurumsal E-Posta Sızıntısı U.S.T.A.’ya 2016 yılında eklenen bildirim tiplerinden biridir. Daha önceki

yıllarda Veri Sızıntısı bildirim tipi altında bu tarz bilgiler paylaşılmasına rağmen, artan sızıntılar

nedeni ile artık kendi başlığı altında faaliyet göstermektedir. Bu bildirim tipinde, U.S.T.A. üyesi

kurumların çalışanlarına ait siber yeraltına sızan e-posta adresleri paylaşılmaktadır. U.S.T.A.

Modülleri arasındaki en önemli modüllerden biri olmasına karşın kurumların halen Kurumsal

E-Posta Sızıntısı bildirimlerine gerekli önemi göstermediği tespit edilmiştir. Diğer yandan kurumsal

e-posta sızıntılarının, ülkemizdeki bankacılık kurumlarının yüzleşebileceği APT tehditleri göz önünde

bulundurulduğunda, önlem alınması gereken en önemli faktörlerden biri olduğu unutulmamalıdır.

2016 yılında yaşanan yüksek profilli vakalar göz önünde bulundurulduğunda, kurumsal

e-posta sızıntılarına ilişkin takip mekanizmalarımıza yalnızca kurumsal e-posta adreslerinin

değil, kurumlarda kritik görevleri yürütmekte olan şahısların şahsi e-posta adreslerinin de

dahil edilmesi öngörülmektedir. (örneğin USTABANK’ta çalışan Koryak UZAN için, yalnızca @

ustabank.com uzantılı e-posta adresleri takip edilmeyecek, [email protected] adresine

ilişkin de sızıntı kontrolleri gerçekleştirilecektir.) Böylelikle kurumlardaki kritik personellerin şahsi

hesap ve aygıtlarından yöneltilen APT saldırı vektörlerinin önüne geçilmesi hedeflenmektedir.



GÜVENLİK ZAFİYETİ BİLDİRİMLERİ

14

11 adet sıfırıncı gün zafiyeti

U.S.T.A. yalnızca bilgi güvenliği ile ilgili dünyada yayınlanan önemli zafiyetleri değil, ayrıca INVICTUS

güvenlik test ekibi tarafından gerçekleştirilen zafiyet araştırmalarını ve keşfedilen Sıfırıncı Gün (0 Day)

zafiyetlerini de anlık olarak bildirmektedir.

Geçtiğimiz yıl içerisinde Ulusal Siber Tehdit Ağı’nda paylaşılan 105 adet zafiyetten 11 tanesi; dünyada

ilk kez INVICTUS ekibi tarafından keşfedilerek, öncelikli olarak U.S.T.A.’ platformunda duyurulmuştur.

Bu zafiyetler ve alınması gereken önlemler U.S.T.A. üyeleriyle paylaşılmış, zafiyetlerin mevcut

olduğu sistemleri geliştiren firma ve ekipler ile iletişime geçilerek gerekli yamaların yayınlanması

sağlanmıştır. Ek olarak bu zafiyetlerin gelecekte kurumların gerçekleştireceği sızma testlerinde de

kontrol edilmesine olanak sağlayabilmek adına INVICTUS Güvenlik Araştırmaları Ekibi, metasploit

için söz konusu zafiyetlerin 4 tanesini istismar edilmesine imkan sağlayan modüller geliştirmiştir.

(Bu modüller Rapid7’nin web sitesinden temin edilebilmektedir.)

https://www.rapid7.com/db/modules/exploit/linux/http/kaltura_unserialize_rce

https://www.rapid7.com/db/modules/exploit/unix/webapp/tikiwiki_upload_exec

https://www.rapid7.com/db/modules/exploit/unix/webapp/drupal_restws_exec

https://www.rapid7.com/db/modules/exploit/unix/webapp/drupal_coder_exec



SAHTE MOBİL UYGULAMALAR

15

Mobil Şube ve Gelişimi

2016 içerisinde, bir önceki yıla benzer şekilde en dikkat çekici husus, “mobilşube” adıyla bilinen

zararlı Android uygulaması olmuştur. Söz konusu mobil uygulama, bir önceki yılda olduğu gibi

bankacılık müşterilerine gönderilen SMS’ler ile yayılmıştır. Söz konusu mobil uygulamaların

uygulama marketlerinde yayınlandığı bir vaka ile karşılaşılmamıştır. Diğer yandan, mobilşube zararlı

yazılımını geliştiren saldırganın, ilgili zararlı yazılımın komuta kontrol sunucusunu TOR ağı ardına

konumlandırması, söz konusu varyantın geldiği endişe verici noktayı gözler önüne sermektedir.

Bununla birlikte mobilşube’nin bu denli yayılabiliyor olması, “ülkemizde yüzlerce bankacılık müşteri

cihazında, 3. partilerden *.apk indirilmesine olanak sağlayan güvenlik ayarının yetersiz şekilde

işaretlenmiş olduğunu ifade eder niteliktedir. Bu husus 2017 yılı içerisinde sahte mobil uygulama

vektörünün devam edeceğinin başka bir habercisidir.

Özellikle App Store ve Google Play haricindeki uygulama marketlerinin artmakta olduğu günümüzde,

bu bağımsız uygulama marketleri aracılığı ile farklı yayılımlar olabileceği öngörülmektedir. Benzer

şekilde bankacılık kurumlarının App Store ve Google Play’deki resmi ikincil uygulamaları (tahmin,

cüzdan, takip, borsa vb.) taklit edilerek oluşturulabilecek vektörlere karşı da tetikte olunması

öngörülmektedir.

Bu varsayımlar ışığında INVICTUS ve U.S.T.A. ekibi, 2016 yılı içerisinde 6 aylık bir Ar-Ge çalışması

yürütmüş, sahte mobil uygulamaların herhangi bir anahtar kelime gereksinimi olmaksızın,

tamamen imaj eşleme teknolojileri ile tespitine imkan sağlayacak bir teknoloji gelitşirmiştir.

Bu faaliyetler hakkındaki bilgilendirici rapor, Aralık 2016’da U.S.T.A. üyeleri ile paylaşılmıştır.



16

TTeehhddiitt PPaayyllaaşışımmııSiber tehditlerin kurumlar arasında paylaşılmasının büyük bir ihtiyaç olacağı konuşulmaya başlandı.

BBeellççiikkaa SSiibbeerr İİssttiihhbbaarraatt KKoonnffeerraannssıı

2013 senesinde U.S.T.A. platformu ilk defa Belçika'da düzenlenen dünyanın en prestijli Siber İstihbarat konferansında tüm ülkelerine tanıtıldı. U.S.T.A. platformu konferans gündeminin siber tehdit paylaşımı olması nedeni ile büyük ilgi topladı.

SSiibbeerr SSaavvaaşş KKoonnggrreessiiU.S.T.A. platformu 19 Kasım 2013 tarihinde Ankara'da düzenlenen ve çevre ülkelerden birçok üst düzey katılımcının bulunduğu Siber Savaş Kongresi'nde dünya üzerindeki siber suçluları gerçek zamanlı olarak harita üzerinde gösterdi.

SSüürreekkllii GGeelliişşiimm2015 başında 3 üye kurumdan alınan onlarca talebi yanıtsız bırakmayan U.S.T.A. platformu, kritik kurumların tam olarak ihtiyacına yanıt verecek seviyeye ulaştı.

İİllkk UU..SS..TT..AA.. üüyyeessiiAğustos 2014 tarihinde Türkiye'nin en büyük bankalarından biri U.S.T.A. platformunu tercih ederek platformun ilk kullanıcısı oldu.

EEnn İİyyii İİnnoovvaassyyoonn ÖÖddüüllüü18 Mayıs 2015 tarihinde U.S.T.A. platformu İngiltere'de düzenlenen ve dünya çapında finans kurumları ve alt yüklenicilerinin katıldığı RBI International'ın düzenlediği yarışmada "Yılın en iyi bankacılık inovasyonu" ödülünü aldı.

SSiibbeerr İİssttiihhbbaarraatt SSuunnuummllaarrıı2015 Ağustos ayında Romanya'da düzenlenen CyberIntelligence konferansında U.S.T.A. platformu tanıtılarak çevre ülkeler ile siber tehdit paylaşımı kanalları oluşturuldu.

88//1100Türkiye Bankalar Birliği'nin yayınlamış olduğu Aktif büyüklüğüne göre bankalar listesinde ilk 10 bankanın 8'i U.S.T.A. üyesi oldu. Bu gelişme ile birlikte U.S.T.A. finans kurumu üye sayısı 14'e ulaştı. U.S.T.A. teknolojisini geliştiren firmamız Avrupa finans kurumlarına da hizmet vermek üzere İsviçre ofisini açtı. U.S.T.A. platformu Türkiye'de finans kurumlarının başlıca destek aldığı merkezi sistem halini aldı.

AArr--GGee FFaaaalliiyyeettlleerriiU.S.T.A. Ekibi farklı sektörden üye kurumlarının ihtiyaçlarına yönelik faydalanacağı birçok konuda Ar-Ge faaliyetlerini tamamlayarak hayata geçirdi. U.S.T.A. Zabıta, U.S.T.A. Devriye ve U.S.T.A. Mobil başta olmak üzere farklı servis modelleri ile birçok siber tehditi önceden tespit edebilmeye yönelik teknolojiler kullanıma sokuldu.

22001122

EEyyllüüll 22001133

KKaassıımm 22001133

22001144

OOccaakk 22001155

MMaayyııss 22001155

AAğğuussttooss 22001155

OOccaakk 22001166

AArraallııkk 22001166

01

02

03

04

05

06

07

08

09

[email protected]

TTeehhddiitt PPaayyllaaşışımmııSiber tehditlerin kurumlar arasında paylaşılmasının büyük bir ihtiyaç olacağı konuşulmaya başlandı.

BBeellççiikkaa SSiibbeerr İİssttiihhbbaarraatt KKoonnffeerraannssıı

2013 senesinde U.S.T.A. platformu ilk defa Belçika'da düzenlenen dünyanın en prestijli Siber İstihbarat konferansında tüm ülkelerine tanıtıldı. U.S.T.A. platformu konferans gündeminin siber tehdit paylaşımı olması nedeni ile büyük ilgi topladı.

SSiibbeerr SSaavvaaşş KKoonnggrreessiiU.S.T.A. platformu 19 Kasım 2013 tarihinde Ankara'da düzenlenen ve çevre ülkelerden birçok üst düzey katılımcının bulunduğu Siber Savaş Kongresi'nde dünya üzerindeki siber suçluları gerçek zamanlı olarak harita üzerinde gösterdi.

SSüürreekkllii GGeelliişşiimm2015 başında 3 üye kurumdan alınan onlarca talebi yanıtsız bırakmayan U.S.T.A. platformu, kritik kurumların tam olarak ihtiyacına yanıt verecek seviyeye ulaştı.

İİllkk UU..SS..TT..AA.. üüyyeessiiAğustos 2014 tarihinde Türkiye'nin en büyük bankalarından biri U.S.T.A. platformunu tercih ederek platformun ilk kullanıcısı oldu.

EEnn İİyyii İİnnoovvaassyyoonn ÖÖddüüllüü18 Mayıs 2015 tarihinde U.S.T.A. platformu İngiltere'de düzenlenen ve dünya çapında finans kurumları ve alt yüklenicilerinin katıldığı RBI International'ın düzenlediği yarışmada "Yılın en iyi bankacılık inovasyonu" ödülünü aldı.

SSiibbeerr İİssttiihhbbaarraatt SSuunnuummllaarrıı2015 Ağustos ayında Romanya'da düzenlenen CyberIntelligence konferansında U.S.T.A. platformu tanıtılarak çevre ülkeler ile siber tehdit paylaşımı kanalları oluşturuldu.

88//1100Türkiye Bankalar Birliği'nin yayınlamış olduğu Aktif büyüklüğüne göre bankalar listesinde ilk 10 bankanın 8'i U.S.T.A. üyesi oldu. Bu gelişme ile birlikte U.S.T.A. finans kurumu üye sayısı 14'e ulaştı. U.S.T.A. teknolojisini geliştiren firmamız Avrupa finans kurumlarına da hizmet vermek üzere İsviçre ofisini açtı. U.S.T.A. platformu Türkiye'de finans kurumlarının başlıca destek aldığı merkezi sistem halini aldı.

AArr--GGee FFaaaalliiyyeettlleerriiU.S.T.A. Ekibi farklı sektörden üye kurumlarının ihtiyaçlarına yönelik faydalanacağı birçok konuda Ar-Ge faaliyetlerini tamamlayarak hayata geçirdi. U.S.T.A. Zabıta, U.S.T.A. Devriye ve U.S.T.A. Mobil başta olmak üzere farklı servis modelleri ile birçok siber tehditi önceden tespit edebilmeye yönelik teknolojiler kullanıma sokuldu.

22001122

EEyyllüüll 22001133

KKaassıımm 22001133

22001144

OOccaakk 22001155

MMaayyııss 22001155

AAğğuussttooss 22001155

OOccaakk 22001166

AArraallııkk 22001166

01

02

03

04

05

06

07

08

09

u.s.t.a. 2016 faalİyet raporu · İşbu rapor, 2012 senesinden bu yana faaliyette olan u.s.t.a....

Documents