Siber saldırıların yeni hedefi! Office programları kullananlar nasıl etkileniyor? | 6 SORU 6 YANIT

Hem çalışanlar hem de öğrenciler için farklı işlevsel özelliklere sahip olan Office programlarını birçok alanda kullanılıyor. Word, Excel ve PowerPoint en çok tercih edilen programlar olsa da bunları Microsoft Teams, OneDrive, Outlook ve OneNote takip ediyor. Kendi içlerinde farklı özelliklere sahip bu programlar, işlerimizde kolaylık sağlasalar da (dikkat edilmediği takdirde) siber korsanların saldırılarıyla büyük bir tehlikeye dönüşebiliyor.

Yapılan yeni bir araştırmaya göre Microsoft Office programları özelinde uzaktan kod çalıştırmayı tetikleyebilen bir açık keşfedildi ve söz konusu güvenlik açığının toplamda 550 binden fazla kullanıcıya saldırmak için istismar edildiği belirtildi. Ayrıca son dönemde Türkiye’de Microsoft Office programları üzerinde saldırıya uğrayan kullanıcı sayısının da yüzde 17 arttığı duyuruldu.

CİHAZINIZ ‘ZOMBİ CİHAZA’ DÖNÜŞEBİLİR, RUHUNUZ DUYMAZ

Konuyla ilgili görüşlerine başvurduğum Siber Güvenlik Uzmanı Osman Demircan, “En son tespit edilen uzaktan kod çalıştırmayı tetikleyebilen bir açık. Saldırgan uzaktan çalıştırılan bir kodla kötü niyetli yazılımın yüklenmesini sağlayabiliyor. Bu şekilde bilgisayarın kontrolü saldırganın eline geçiyor” dedi ve şöyle devam etti:

“Bu tarz bir erişimle bilgisayarın bir zombi cihaza dönüştürülmesi çok basit. Zombi bilgisayara dönüştürülen cihaz, aslında kullanıcı tarafından gayet sağlıklı bir şekilde kullanılırken, çok sayıda cihazın dâhil olduğu hacker saldırılarının bir parçası olabiliyor.”

KRİTİK BİLGİLER DE ÇALINABİLİR

ESET Türkiye İstanbul Teknik Müdürü Gürcan Şen ise “Saldırı amaçları farklılık gösterebiliyor. Kimi saldırganlar bu tür güvenlik açıklarını casusluk faaliyeti için kullanırken kimileri de fidye yazılımları kullanarak verileri şifrelemek ve karşılığında para elde etmek için kullanıyorlar. Örneğin; ‘Muddy Water’ adı verilen, ilk olarak 2017 yılında tespit edilen saldırı, casusluk amacı taşıyordu ve kritik devlet kurumları hedefleniyordu. Bu saldırıda istismara uğratılan güvenlik açığı yine Office uygulamasına aitti” ifadelerini kullandı.

Bu noktada ‘Bir saldırıya uğradığımızı nasıl anlarız?’, ‘Office üzerinden gerçekleşecek ne gibi tehlikelerle karşı karşıya kalabiliriz?’ gibi cevaplanmayı bekleyen pek çok soru bulunuyor. 

‘ZARARLI KODLAR BİR TANIDIĞINIZDAN GELİYORMUŞ GİBİ SİZE ULAŞIYOR’

1-) Siber korsanların Office üzerinden kullanıcı bilgilerini ele geçirmede en sık kullandıkları yöntem nedir?

Osman Demircan: En sık kullanılan yöntem, keşfedilen açıktan yararlanarak bilgisayarlara uzaktan zararlı yazılımın yüklenmesi için gerekli yolun açılması şeklinde gerçekleşiyor. İçerisinde tetikleyici zararlı kodun bulunduğu ofis dokümanının kullanıcı tarafından çalıştırılmasının sağlanması hedefleniyor.

Bu dokümanlar bir tanıdığınızdan geliyormuş gibi gösteriliyor. Örneğin, şirket yöneticiniz ya da yakın bir arkadaşınız… Sorgusuz sualsiz sırf ismini tanıdığınız için gelen dosyayı açarsanız tuzağın içerisine çekilmiş oluyorsunuz.

SALDIRIYA UĞRADIĞIMIZI ANLAYABİLİR MİYİZ?

2-) Kurumlar ve kullanıcıların Office üzerinden bir saldırıya uğradığını ya da bilgilerinin ele geçirilmeye çalışıldığını anlaması mümkün mü? Bunun farkına varmak için belli ipuçları var mı?

Osman Demircan: Henüz keşfedilmemiş bir açık sadece saldırganlar tarafından biliniyorsa erişim sağlanan kullanıcı maalesef anlayamayacaktır. Sezgisel çalışan antivirüs programları zararlı yazılıma sahip tetikleyici ofis dosyası çalıştığında izinsiz açılan bağlantıları kapatır ama bu her zaman kullanıcıları korumuyor. Fakat saldırgan, dosyaların şifrelenmesi gibi doğrudan kullanıcıyı hedefleyen bir eylem gerçekleştirirse zarar görüldüğü anda anlaşılabilir. Bireysel kullanıcılar için sadece bunları söyleyebilirim.

Gürcan Şen: Bu saldırılar genellikle Office dokümanlarıyla e-posta yoluyla yayılabiliyor. Bu noktada özellikle kurumlar, önce spam filtreleri kullanmalı ve kullanıcılara e-postalar henüz ulaşmadan engellemenin yoluna gitmeliler. Aynı zamanda sunucu ve bilgisayarlarda güvenlik ürünü kullanılmalı. Bunun dışında yaygın saldırılarla ilgili bulgular güvenlik üreticileri tarafından yayınlanıyor. Bu bulgular üzerinden, sistemde alınması gereken önlemlerin belirlenmesi gerekiyor. Ayrıca bu bulgular doğrultusunda, ilgili güvenlik ürünleri kullanılarak sistemde saldırılara maruz kalmış bilgisayarların tespiti de mümkün.

ÇOĞUNLUKLA BAŞARILI OLUYORLAR

3-) Kullanıcılar ve kurumlar, Office üzerinden gerçekleşecek ne gibi tehlikelerle karşı karşıya kalabilir? Bunlar kişi ve kurumlara nasıl zararlar verebilir?

Gürcan Şen: Konusu Office uygulamaları olan saldırıları iki farklı şekilde ele alabiliriz. Birincisi Office uygulamalarının güvenlik açıklarını kullanan saldırılar. Burada güvenlik zafiyetini istismar etmesi için yine zararlı Word ve Excel dokümanları kullanılabilir. İkincisi ise, herhangi bir Office uygulaması zafiyetine ihtiyaç duymadan zarar verebilecek şekilde tasarlanmış, e-posta yoluyla iletilen zararlı Word ve Excel dokümanları.

Osman Demircan: Kurumlarda en sık karşılaşılan dosyaların şifrelenmesi ve fidye istenmesi şeklinde gerçekleşiyor. Bunların yanında sızılan sistem içerisinde zafiyet yaratılarak farklı siber saldırılarda ağların kullanılması da riskler arasında. Bunların yanında iç ağa sızmayı başaran saldırgan mail sunucusunu kendi içerisinde tutan firmaların mail sistemi üzerinden dolandırıcılık faaliyeti sürdürebiliyor.

İçeri sızmayı başaran saldırgan muhasebe müdürüne sanki genel müdürden gelen bir mailmiş gibi mail göndererek “Şu IBAN numarasına en hızlı şekilde 250 bin lira gönder" ya da "Son ödemeleri xxxx IBAN numarasına yapacağız" şeklinde mailer göndererek dolandırıcılık yapmaya çalışıyor ve çoğunlukla da başarılı oluyor.

'BULUT' TEKNOLOJİSİ DE YÜZDE 100 GÜVENLİ DEĞİL

4-) Office’de ‘Bulut’tan çalışmak diye de bir şey var. Bu yöntem daha mı güvenli?

Gürcan Şen: Office uygulamalarının buluttan kullanımı, sistemleri yönetenlerin yayınlanan güvenlik güncellemelerini bilgisayarlarda tek tek uygulamak zorunda kalmamasını sağlar. Fakat bu yüzde 100 güvenlik anlamına gelmez. Bulut ortamında da saldırganların keşfettiği ama henüz kimse tarafından bilinmeyen bir takım zafiyetler ortaya çıkabilir ve istismar edilebilir.

Osman Demircan: Bu nedenle işletim sistemi kopya bir yazılımsa anti virüs ve güvenlik duvarları çalışmıyorsa ya da güvensiz bir Wi-Fi ağında kullanılıyorsa Bulut da çok güvenli olmaz.

Bulut sistemi, ihtiyacımız olan her türlü doküman ve dosyanın her yerden ulaşılabilir olmasını sağlayan bilgisayar anlamına geliyor. Bu sayede firmalar daha esnek bir yapıya sahip oluyorlar. Sadece firmalar için değil, kişisel veri ve belgelerin her yerden ulaşılabilir olmasını mümkün kılan bulut bilişim hizmetleri, hardisk ve harici taşıyıcılar gibi malzeme gereksinimlerinin ortadan kalkmasını da sağlıyor.

KOPYA YAZILIM KULLANANLAR BÜYÜK TEHLİKE ALTINDA!

5-) Orijinal Office programları dışında bir de kopya yazılımlar mevcut ki çok fazla da tercih ediliyor. Bu durum nasıl tehlikeler barındırıyor?

Osman Demircan: İnternet üzerinde bulunan ücretsiz ve şifresiz çalıştığı iddia edilen, herkesin indirmesine açık durumda olan Office yazılımlarının tamamında çok farklı zafiyetler bulunuyor. Sözde bedava Office uygulaması bilgisayara kurulduğu ve kurulan bilgisayar internete bağlandığı an itibariyle saldırganların içeri girmesi sadece an meselesi.

Birde diğer uygulamalar da kaçak yollarla kurulduysa ve işletim sistemi de illegalse bilgisayar üzerinde bulunan tüm veriler tamamen kötü niyetli kişilerin eline geçmiş oluyor. Bilgisayarınızda canları ne yapmak isterse onu yapabilecekleri bir şekilde dolaşabiliyorlar. Başta bankacılık işlemleri ve sosyal medya hesapları olmak üzere özel ve gizli olması gereken her şey artık onlarında kontrolüne geçmiş oluyor. Mikrofona erişim ile ortam dinlemesi ya da kameraya erişimle görüntü alınması da cabası…

6-) Tüm bu saldırılara karşı hem bireysel hem de kurumsal olarak alınacak önlemler nelerdir?

Osman Demircan: Kurumsal anlamda firma boyutuna ve ihtiyaçlarına göre alınabilecek önlemler değişkenlik gösterebilmekte. Başlangıç olarak tüm yazılımların lisanslı olması, kurumsal ve uzaktan yönetilebilen bir anti virüs programı, ağ hareketlerini ve anormallikleri tespit eden sistemler ve bir güvenlik duvarı mutlaka bulunmalı. Ayrıca kullanıcı farkındalık eğitimleri çok önemli. Her ne kadar teknik önlemler alınsa da henüz keşfedilmemiş açıklar ciddi anlamda tehlike saçmakta ve kurum çalışanlarının siber güvenlik farkındalık eğitimlerinin sürekli güncellenerek almaları çok önemli.

Bireysel kullanıcılarda da tüm yazılımların ve özellikle Office uygulamasının legal olması gerekiyor. Bilgisayarlarında mutlaka legal yollarla elde edilmiş bir anti virüs programı ve güvenlik duvarı yazılımları bulunmalı. Bu yazılımların ayarları yapılırken minimum saat başı güncellemeleri kontrol edilecek şekilde yapılması önemli. Bu şekilde keşfedilen açıklardan kaynaklı bilgisayarda bir enfeksiyon başladığında bu yazılımlar durdurabilecek ve bir felaket yaşanmadan önüne geçebilecektir. Evlerimizde kullandığımız modemler tüm cihazların internete bağlanmasını sağlıyor. Özetle suyun başı diyebiliriz. Bu kadar kritik bir iş yapan cihazında güncel olması artık güncelleme almayan bir cihaz ise yenisi ile değiştirilmesi önemli.

Fotoğraflar: iStock