En az 5 milyon kişinin çevrimiçi kimlikleri çalınarak, bot pazarlarında ortalama 112 TL’den satışa çıkarıldı. Etkilenen kişilerin 128.000’ini Türk kullanıcılar oluşturuyor. Türkiye, dünyada bu tehditten en çok etkilenen 9. ülke.
Web kamerası görüntüleri, ekran görüntüleri, güncel oturum açma bilgileri, tanımlama bilgileri ve dijital parmak izleri satan bilgisayar korsanlarının oluşturduğu bu giderek büyüyen tehdit, şimdiden dünya çapında beş milyon kişiyi etkiledi.
Bu bilgiler, üç büyük bot pazarını inceleyen siber güvenlik şirketi NordVPN tarafından yapılan araştırmayla elde edildi. Buradaki “bot” terimi otomatik işleyen program anlamında kullanılmıyor. Bot, buradaki kullanımında, verimadenciliği yapan zararlı yazılım anlamına geliyor. Bot pazarları ise, bilgisayar korsanlarının bu yazılımlarla elde ettikleri verileri sattıkları çevrimiçi pazar yerlerinden oluşuyor. Bilgiler, paketler halinde satışa sunuluyor ve bu paketlerde giriş bilgileri, çerezler, dijital parmak izleri, ekran görüntüleri ve diğer bilgiler yer alıyor. Diğer bir deyişle, bilgileri çalınan kişinin komple dijital kimliği satılmış oluyor.
NordVPN CTO’su Marijus Briedis, “Bot pazarlarını diğer darkweb pazarlarından farklı kılan şey, bir kişi hakkında büyük miktarda bilgiyi tek bir yerden satışa sunmaları. Alıcıya, ilgili bot kurbanın cihazında kaldığı sürece, satın aldıkları bilgilerin sürekli güncelleneceği de garanti ediliyor” diyor. “Suçlular artık tek bir şifreyle ilgilenmiyor. Yalnızca altı dolar ödeyerek oturum bilgileri, tanımlama bilgileri ve dijital parmak izleri satın alabiliyorlar.”
Araştırmacılar üç büyük bot pazarını analiz ettiler: Genesis Pazarı, Rusya Pazarı ve 2Easy. Analiz sırasında tüm pazarlar internetin herkese açık olan katmanında aktif ve erişilebilir durumdaydı. Bot pazarlarına ilişkin veriler, siber güvenlik olayı soruşturmalarında uzmanlaşmış bağımsız üçüncü taraf araştırmacılarla ortaklaşa derlendi.
Bilgileri çalmak için kullanılan en popüler zararlı yazılımlar ise şunlardı: RedLine, Vidar, Racoon, Taurus ve AZORult.
Bilgisayar korsanları bot pazarlarında hangi verileri satışa çıkarıyor?
⦁ Cihazların ekran görüntüleri. Kötü amaçlı saldırı sırasında, bir virüs hedef olarak seçilen kişinin ekranının anlık görüntüsünü alabilir ve hatta kullanıcının web kamerası ile fotoğraf bile çekebilir.
⦁ Oturum açma ve diğer kimlik bilgileri. Bir virüs kullanıcının cihazına saldırdığında, hedef olarak seçilen kişinin tarayıcısına kaydedilmiş giriş bilgilerini elde edebilir. Araştırma, analiz edilen pazarlarda 26,6 milyon çalıntı giriş bilgisi buldu. Bunların 720.000 tanesi Google, 654.000 tanesi Microsoft, 647.000 tanesiyse Facebook giriş bilgileriydi.
⦁ Çerezler. Bunlar da genellikle kullanıcının tarayıcısından çalınıyor ve suçluların çift faktörlü kimlik doğrulama önlemini baypas etmesine yardımcı oluyor. Araştırmada, analiz edilen pazarlarda 667 milyon çalıntı çerez verisi bulundu.
⦁ Dijital parmak izleri. Bir kullanıcının dijital parmak izi; ekran çözünürlüğünü, cihaz bilgilerini, varsayılan dili, tarayıcı tercihlerini ve o kullanıcıyı benzersiz kılan diğer bilgileri içerir. Birçok çevrimiçi platform, kullanıcılarının kimliklerini doğrulamak amacıyla onların dijital parmak izlerini kullanır. Araştırma sırasında incelenen pazarlarda 81 bin çalıntı dijital parmak izi verisi bulundu.
⦁ Otomatik form doldurma verileri. Birçok kullanıcı otomatik form doldurma özelliğini adlarını, e-postalarını, adreslerini ve kart bilgilerini çevrimiçi platformlara iletmek için kullanır. Tüm bu bilgiler kötü amaçlı bir yazılım tarafından çalınabilir. Araştırma sırasında, analiz edilen pazarlarda 538 bin otomatik form doldurma verisi bulundu.
Bu videoyu izleyerek, bot pazarlarının nasıl işlediği hakkında daha fazla bilgi edinebilirsiniz:
İlgili haberler