Bu raporda 2020 yılının ilk yarısı için Türkiye'de bulunan bankalar adına açılan sahte alan adları
(domain), bu alan adlarının SSL sertifikası durumları ve kayıt bilgilerine yönelik analizler yer almakta
olup, aylara göre artışları ve saldırganların motivasyonları incelenmiştir.
2. b g a s e c u r i t y . c o m
Dijitalleşmenin hayatımızda olmadığı yıllarda
finans kurumlarını hedef alan fiziksel saldırılar
dijitalleşme ile yerini siber saldırıya bırakmaya
başladı. Paranın merkezi olmaları sebebiyle her
daim siber saldırıların merkezi haline gelen finans
kurumlarının siber güvenlik yatırımlarına yönelik
oluşturdukları bütçeler, her geçen yıl katlanarak
artmaktadır.
Kurumların hem kendi sistemlerini hem de
internet dolandırıcılığına karşı müşterilerini ve
çalışanlarını korumak amacıyla gerçekleştirdikleri
insan - teknoloji - süreç yatırımları sayesinde basit
- orta düzey siber saldırıların başarıyla ulaşma
ihtimali azalmaktadır. Ancak ambargo altındaki
devletlerin sıcak paraya olan ihtiyacından siber
casusluk faaliyetlerine kadar onlarca devlet
destekli tehdit aktörlerinin de finans kurumlarını
hedef alması sebebiyle yüksek - ileri seviye siber
saldırılar başarıyla ulaşabilmektedir.
GİRİŞ
3. b g a s e c u r i t y . c o m
Basit dolandırıcılık girişimlerinden ileri seviye siber saldırıların başarıya ulaşmasında oltalama
(phishing) saldırıları büyük rol oynamaktadır. Çünkü siber saldırganlar güvenlik teknolojilerini
atlatmaya gerek duymadan, yaptıkları oltalama saldırıları ile banka müşterilerini cezbetmeye, kişisel ve
finansal bilgileri çalmaya devam ediyorlar.
Bu raporda 2020 yılının ilk yarısı için Türkiye'de bulunan bankalar adına açılan sahte alan adları
(domain), bu alan adlarının SSL sertifikası durumları ve kayıt bilgilerine yönelik analizler yer almakta
olup, aylara göre artışları ve saldırganların motivasyonları incelenmiştir.
Yapılan çalışmalar SOCRadar sponsorluğunda yürütülmüş olup, kullanılan veriler SOCRadar'a aittir. Bu
çalışmalarda sahte alan adları üzerinden analizler yürütülmüştür. Bu analizler, SOCRadar'ın tespit
etmiş olduğu tüm oltalama tespitleri içerisinden 2020 yılı ilk 6 ayında ilk kez açılmış sahte domain
adlarını kapsamaktadır.
4. b g a s e c u r i t y . c o m
Event 3
We welcomed three
new team members
to our marketing
family.
2019
TSB Bank müşterileri
oltalama saldırılarının
kurbanı oldu ve 1.300
müşteri hesabı çalındı.
Siber suçlular, finansal kurumlar
tarafından yürütülen
kampanyaları sürekli olarak izler
ve taklit ederler. Güvenilirliği
arttırmak için çeşitli ulaştırma
metodları ve yolllar kullanırlar.
Siber güvenlik açısından farkında
tüketicileri bile kolayca
kandırabilen ikna edici senaryolar
üretebilir.
OLTALAMA
SALDIRILARI
HEDEF ODAKLIDIR
Saldırganlar, Bitcoin
reklamlarını
kullanarak Peru'da
bulunan bankaları
hedef aldılar.
DBS ve POSB müşterileri
SMS üzerinden yapılan
oltalama saldırıları
ile dolandırılmaya çalışıldı.
Kimlik avı e-
postaları büyük
Türk bankalarından
çeşitli mesajları
taklit etti.
Virginia Bank'a
kimlik avı saldırısı
- 2 milyon $ çalındı
Crelan Bank, CEO
dan geldiği sanılan
bir dolandırıcıkta
75,8 Milyon Dolar
Kaybetti
Bankalar, pandemi
sonrasında dijital
bankacılığa geçen
binlerce tüketiciyi
sömürmek için özel
olarak tasarlanmış
kimlik avı
saldırılarında artış
bildirdiler.
2020 2018
2018
2018
2017
2016
5. 1 Atak Özeti
2
2020'de Açılan Sahte Alan
Adı Sayısı - İlk 10 Banka
3
Aylara Göre Sahte Alan
Adı Analizi
4 Sahte Alan Adlarının
SSL Durumu
5 Kayıt Sağlayıcılar
İÇİNDEKİLER
6 Saldırgan IP
Lokasyon Analizi
6. 2020
İLK 6 AY
10
2042
SAHTE ALAN ADI SERTİFİKALI
SAHTE
ALAN ADI
b g a s e c u r i t y . c o m
ATAK ÖZETİ
TÜRKİYE İLK
BANKA
487
7. b g a s e c u r i t y . c o m
ATAK ÖZETİ
Bu raporda;
Türkiye'de müşteri sayısı en fazla olan, 10 büyük banka
seçilmiştir.
10 banka ile ilgili 2020 yılı ilk yarısında üretilen ve
SOCRadar tarafından tespit edilen sahte alan adı sayıları
hesaplanmıştır.
Bu analiz sadece sahte alan adı üzerinden yapılmış olup,
içeriği oltalama olan domainler, yer almamaktadır.
Toplam sahte alan adı sayısı içerisinde SSL sertifikasına
sahip olan domainler belirlenmiştir.
Saldırganların SSL sertifikası almak için hangi servisleri
kullandığı analiz edilmiştir.
Saldırganların sahte domainleri almak için hangi hosting
firmalarını tercih ettiği analiz edilmiştir.
8. 593593593
513513513
237237237
233233233
133133133
118118118
838383
616161
525252
191919
Banka 1
Banka 2
Banka 3
Banka 4
Banka 5
Banka 6
Banka 7
Banka 8
Banka 9
Banka 10
0 50 100 150 200 250 300 350 400 450 500 550 600
Türkiye' de bulunan 10 banka ile ilgili 2020 yılının ilk 6 ayı
incelenmiştir. Toplamda 2042 tane sahte alan adı açıldığı
ve en fazla sahte alan adı üretilen banka için bu sayının
593 olduğu tespit edilmiştir. Saldırganların bazı bankaları
daha fazla hedef almalarının sebebinin, genellikle
bankalar tarafından yürütülen kampanya çalışmaları
nedeniyle olduğu gözlemlenmiştir. Saldırganların
kampanya isimlerini kullanılarak oltalama saldırıları
düzenlemesi nedeniyle bazı bankalar için bu
sayı diğerlerine oranla çok yüksektir.
İLK 10 BANKA ADINA AÇILAN
SAHTE ALAN ADI SAYILARI
9. b g a s e c u r i t y . c o m
335
445
402
326
273
261
0
50
100
150
200
250
300
350
400
450
AYLARA GÖRE SAHTE
DOMAIN SAYILARI
Geçtiğimiz yıllarda, sahte alan
adları yaz aylarında daha fazla
artış gösterirken, bu yıl farklı
olarak Şubat ve Mart aylarında
olduğunu görmekteyiz. Bu artış,
Pandemi sürecinde siber
saldırganların mevcut
belirsizlik durumunu kullanması
ve daha fazla kurbana ulaşmaya
çalışmışları nedeniyle olmaktadır.
Özellikle Pandemi sürecinin
başlamasıyla birlikte işyerlerinde
dönemsel kapatmalar ve
insanların ekonomik kaygıları,
bankalara başvuru süreçlerini
arttırmıştır. Yine benzer bir
sebeple bankaların bu süreç için
mevcut kampanyalar başlatması
saldırganlar için taktik
belirlemede önemli rol
oynamaktadır.
Ocak Şubat Mart Nisan Mayıs Haziran
10. 0
250
500
750
1000
1250
1500
1750
2000
Ocak Şubat Mart Nisan Mayıs Haziran
AYLARA GÖRE ARTIŞ
ANALİZİ (2019-H1/2020-H1)
b g a s e c u r i t y . c o m
2019 yılının ilk yarısı
incelendiğinde sahte alan
adlarında olan artış Mart
ayından sonra daha fazla
iken, 2020 yılının ilk
yarısında ise Mart ayına
kadar daha fazla olduğu
gözlemlenmiştir.
İlk 6 ay için, 2020 yılında
açılan toplam sahte alan adı
sayısı bir önceki yıldan 500
adet daha fazladır.
2020-H1
2019-H1
11. b g a s e c u r i t y . c o m
SSL sertifikasına
sahip olan sahte
domain adları
Let's Encrypt
(Ücretsiz SSL
sertifikası)
hizmeti ile
sertifikalandırılan
sahte domain
adları%24 %55
Siber saldırganlar her yıl tekniklerini geliştiriyor ve yapacakları oltalama
saldırılarında inandırıcılığı arttırmak için SSL sertifikası kullanıyorlar. Sahte alan
adları incelendiğinde %24 ünün SSL sertifikasına sahip olduğu gözlemlenmiştir.
Saldırganlar bazı durumlarda alan adını alır ve gelecek zamanda kullanmak için
bekletirler. %76 oranında SSL sertifikasına sahip olmayan alan adı, kulllanılacağı
zaman sertifikalanabilir. Bu SSL sertifikalarının alındığı otoriteler incelendiğinde
yarısından fazlasının ücretsiz hizmet sağlayan yerler tarafından alındığı
görülmüştür.
SAHTE ALAN ADLARININ SSL DURUMU
12. b g a s e c u r i t y . c o m
EN ÇOK KULLANILAN
KAYIT SAĞLAYICILAR
36%
12%
5%
4%
4%
3%
36%
GoDaddy.com, LLC
NameCheap Inc.
Alibaba Cloud Computing
PDR Ltd.
NameSilo, LLC
Tucows Domains Inc.
Others
Sahte alan adları çoğunlukla GoDaddy gibi iyi bilinen ve yaygın
olarak kullanılan sağlayıcılar tarafından kaydedilmektedir.
13. b g a s e c u r i t y . c o m
SALDIRGAN IP GEO LOKASYONU
Çözümlenen IP adreslerinin büyük çoğunluğunu Amerika olarak
belirlenmiştir. Diğer olarak gösterilen alanda en yaygın ülkeler, Almanya,
Rusya ve Kanada'dır.
Oltalama saldırısı amacıyla açılan sahte alan adlarına ait tespit edilen IP
adreslerinin hangi ülkeleri çözümlediği analiz edilmiştir.
14. b g a s e c u r i t y . c o m
Oltalama saldırıları ile genellikle
kurban bilgisayarlarına giriş yapan
saldırganlar, uzun süre boyunca
kalarak yeni ataklara neden olur
Son yıllarda yayınlanan veri ihlallerin
sayısı, kötü amaçlı yazılım gibi diğer
nedenlerden kaynaklanan ihlallerden
daha fazladır.
Şirketler oltalama saldırısı nedeniyle
kandırılan müşterilerden doğrudan
sorumlu tutulmasa da, bir şirket gerekli
önlemleri almadığında itibar kaybı
yaşar.
Reputasyon Kaybı
Veri İhlali
Daha Fazla Saldırı OLTALAMA
SALDIRILARININ
ETKİLERİ
15. Yapay zeka destekli SOCRadar Dijital Risk Koruma
platformu, markanızı ve tüm iş ağınızı hedefleyen
kötü amaçlı alanları tespit etmek için birçok alan adı
kayıt kuruluşunda milyonlarca alanı analiz eder.
Kurum alan adına benzeyen sahte alan adları aktif
olduğunda ve algılanan şüpheli alan adında
herhangi bir değişiklik olduğunda alarm
üretilerek bilgilendirme yapılır.
Tehdit aktörlerinin, müşterilerinize sahte alan adları
kullanarak, çok çeşitli saldırılar gerçekleştirmesini
sağlayacak hileli alanları ve web sitelerini tespit
edin: https://socradar.io/community-edition/
Markanız için Ücretsiz Oltalama Tespiti
Kullanmak İster misiniz?
16. b g a s e c u r i t y . c o m
Adres
İçerenköy Mah. Topçu İbrahim
Sk. AND Plaza No:8-10D
Ataşehir/İstanbul
T +90 537 480 77 22
E bilgi@bga.com.tr