Oxopage
Pandemiyle birlikte hayatımıza bir çok çevrim içi toplantı uygulamalarıgirdi. Bunlar özellikle iş dünyasında hızlı bir dijital dönüşümü mümkün kıldı. Bu dönüşümün en çok kullanılan araçlarından biri de Zoom oldu. Zoom, sadece toplantı yapmakla kalmadı. Ekran paylaşımı ve uzaktan erişim izni gibi gelişmiş özellikleriyle de kullanıcılarına büyük kolaylık sağladı. Ancak bu özellikler, yalnızca işlevsel değil; aynı zamanda riskli. Özellikle Zoom saldırısı olarak tanımlanan yeni bir dolandırıcılık yöntemi, platformun bu masum görünen yetkilerini kötüye kullanarak kişisel verileri hedef alıyor. Artık tehditler sadece yazılımsal açıklarla da sınırlı değil. İnsan davranışlarını manipüle etmeye dayalı sosyal mühendislik teknikleriyle çok daha derin bir hâl alıyor.
Zoom, güvenilir iş arkadaşları ya da teknik destek ekipleriyle paylaşımda bulunurken faydalı olabilir. Ancak son zamanlarda ortaya çıkan siber saldırılar, bu özelliğin bilinçsizce kullanılmasında ciddi güvenlik ihlallerine yol açabileceğini gösteriyor. Saldırganlar özellikle kripto para ve finans sektörünü hedef almaktadır. Profesyonel siber suçlular, bu yöntemi kullanarak kullanıcıların cihazlarını ele geçirmektedir. Böylece kimlik bilgilerini çalıyor ve yüksek meblağlı dijital varlık hırsızlıkları gerçekleştiriyor.
ELUSIVE COMET ve Zoom Üzerinden Kötü Amaçlı Yazılım
Kripto para ve merkeziyetsiz finans dünyasında güvenliği artırmayı amaçlayan The Security Alliance (SEAL) tarafından tespit edilen tehdit aktörü “ELUSIVE COMET”, Zoom’u kullanarak hedef bilgisayarlara kötü amaçlı yazılım yüklemeyi başardı. ELUSIVE COMET’in, Aureon Capital adlı sahte bir yatırım firması üzerinden potansiyel kurbanlara ulaştı. Böylece onları “podcast konuğu” davetiyle kandırdığı bildirildi.
Bu senaryoda kurban, daveti kabul edip Zoom görüşmesine katıldığında ekranını paylaşmaya yönlendiriliyor. Ardından, saldırgan Zoom üzerinden uzaktan kontrol talebi gönderiyor. Eğer kullanıcı bu uyarıya dikkat etmeden izin verirse, bilgisayara kötü amaçlı yazılım yüklenmesi mümkün hâle geliyor.
Zoom Saldırısı: Tehlikenin Görünmez Yüzü
NFT platformu Emblem Vault’un CEO’su Jake Gallen, bu saldırının kurbanlarından biri oldu. Yaklaşık 100.000 dolarlık kaybın yanı sıra bazı hesaplarının da kontrolünü yitirdi. Gallen, uzaktan erişim verdiğini hatırlamadığını; herhangi bir onay bildirimi görmediğini ifade etti. Bunun nedeni ise saldırganın adını “Zoom” olarak değiştirerek kullanıcıya gelen isteği sistem bildirimi gibi göstermesi olabilir.
Bu yöntemin, özellikle iş odaklı toplantılarda dikkat dağınıklığı yaşayan kullanıcılar üzerinde etkili olduğu belirtiliyor. Trail of Bits adlı güvenlik firmasının CEO’su da benzer bir girişime maruz kalmış ancak durumu erken fark ederek engellemeyi başarmıştı. Onlara göre saldırının en büyük göstergesi teknik değil, operasyonel anormalliklerdi.
Ne Yapmalı?
Zoom, kullanıcıların uzaktan kontrol izni vermesine izin veren bir varsayılan ayara sahiptir. Bu özelliğin kullanıcılar ya da kurumların BT güvenlik ekipleri tarafından devre dışı bırakılması önemlidir. Özellikle kripto para ve yüksek güvenlikli verilerle çalışan kurumlar için Zoom’un tamamen kaldırılması bile öneriliyor.
ELUSIVE COMET örneği, artık siber tehditlerin yalnızca teknik açıklarla değil, operasyonel zafiyetlerle ilerlediğini açıkça gösteriyor. Bu nedenle kurumlar, savunma stratejilerini sadece yazılım güvenliğine değil, insan merkezli saldırı vektörlerine karşı da yapılandırmak zorunda.
