Bilgisayar Korsanları, Sahte Zoom ve Teams Davetleriyle Şirket Bilgilerinin Peşinde

Bilgisayar korsanları, iş dünyasında kullanılan popüler iş birliği araçlarını giderek daha fazla kötüye kullanmaya başladı. Yeni ortaya çıkan bir kampanya, dünya genelinde 900’den fazla kurumu sahte Zoom ve Microsoft Teams toplantı davetleriyle hedef aldı. Amaç, parolaları çalmak değil; meşru görünümlü bir uzaktan izleme aracı olan ConnectWise ScreenConnect üzerinden tüm sistemlere gizlice erişim sağlamaktı.

Saldırının Yöntemi

Abnormal Security’nin araştırmasına göre, saldırı masum bir toplantı talebine benzeyen e-postalarla başlıyor. Çalışanlar bu davete tıkladığında, onlardan ConnectWise ScreenConnect yazılımını yüklemeleri isteniyor. Normal şartlarda BT ekipleri tarafından sorun çözmek için kullanılan bu araç, saldırganların elinde tam tersi bir amaçla, iş yerlerini gözetlemek ve sistemlerin kontrolünü ele geçirmek için kullanılıyor.

Tehlikeli Bir Yöntem Değişimi

Bu kampanya, siber saldırıların evriminde kritik bir kırılmaya işaret ediyor. Artık saldırganlar, güvenlik duvarlarını doğrudan aşmak yerine, meşru kurumsal araçları yeniden amaçlandırarak kendilerini gizliyor. Bu da geleneksel güvenlik çözümlerinin tehditleri fark etmesini zorlaştırıyor çünkü saldırılar, olağan BT faaliyetleri gibi görünüyor.

Araştırmacılar, saldırıların özellikle şu sektörleri hedef aldığını belirtiyor:

• Eğitim ve dini kurumlar (%14,4)

• Sağlık ve ilaç sektörü (%9,7)

• Finansal hizmetler (%9,4)

Bunun yanında, sigortacılık, hukuk, imalat ve perakende gibi sektörler de risk altında. En fazla vakaya ABD, İngiltere, Kanada ve Avustralya’da rastlandı.

Karanlık Web’de Büyüyen Pazar

Saldırının ciddiyetini artıran bir diğer unsur, karaborsada büyüyen “saldırı kiti” pazarı. Dark web’de, ScreenConnect içeren kitler birkaç bin dolara satılıyor. Çalınan giriş bilgileri 500 ila 2.000 dolar arasında el değiştirirken, eğitim ve destek içeren özel paketler 6.000 dolara kadar alıcı bulabiliyor. Bu durum, uzaktan erişim yazılımlarının kötüye kullanımını adeta “Hizmet Olarak RAT” (Remote Access Trojan-as-a-Service) modeline dönüştürüyor.

Ne Yapmalı?

Uzmanlara göre, şirketlerin bu tür saldırılara karşı savunmalarını yeniden gözden geçirmesi gerekiyor. Artık yalnızca geleneksel güvenlik araçlarına güvenmek yeterli değil. Öne çıkan öneriler şunlar:

• E-posta filtreleme sistemlerini güçlendirmek,

• Şüpheli davranışları tespit için gelişmiş sistem izleme çözümleri kullanmak,

• Çalışanlara farkındalık eğitimi vermek,

• “Sıfır Güven” (Zero Trust) yaklaşımını benimseyerek, varsayılan olarak hiçbir kullanıcıya veya oturuma güvenmemek.

Sonuç

Bu saldırı, en büyük tehditlerin her zaman dışarıdan değil, günlük kullandığımız araçların içinden de gelebileceğini hatırlatıyor. Yanlış ellere geçtiğinde, basit bir toplantı daveti bile tüm bir şirketi riske atabilecek güçlü bir silaha dönüşebiliyor.