E-mail yoluyla bilgisayarlara veya mobil cihazlara gelen sahte telefon faturalarından sonra şimdi de posta teşkilatından gelmiş gibi görünen sahte adres değişikliği formları binlerce kişinin e-posta adreslerine ulaştı. Siber suçlular, kullanıcılarda merak uyandırarak fidye yazılımı Cryptolocker'ı bilgisayarlara bulaştırmaya çalışıyor.
Bilgisayar korsanlarının hedefi bu kez posta ve kargo hizmetleri oldu. Bilgilendirme ya da form görünümü altında bulaştırılan zararlı yazılımlarla kullanıcıların verileri hedef alınıyor. Pek çok kişiye e-mail yoluyla gönderilen mesajlarda bir 'Adres Değişikliği Formu'nun indirilmesi talep ediliyor. Ancak bu form tıklandığında ve indirildiğinde dosya içinde yer alan 'Cryptolocker' adlı zararlı yazılım kullanıcıların bilgisayarlarına bulaşıyor.
Fidye yazılımı
ESET tarafından 'Win32/Filecoder' olarak tanımlanan Cryptolocker adlı truva atı, .exe uzantılı sahte e-faturalar, bilgilendirme veya güncelleme duyurularıyla kullanıcının merakından faydalanıyor. Eklenti açıldığı an, zararlı yazılım bilgisayara yükleniyor. Yüklendiğinde yazılım, bilgisayardaki dokümanları şifreliyor ve kullanılamaz hale getiriyor. Tekrar kullanılabilir hale dönüştürmek için fidye isteniyor. Bu fidye için de belli bir süre tanınıyor aksi taktirde tüm dosyaların silineceği belirtiliyor.
Daha önceki saldırıda en çok Türkiye etkilenmişti
Son olarak 2014 Kasım ve Aralık aylarında global olarak çok yoğun sahte e-fatura dalgası yaşanmış, Türkiye bu konuda dünyada en çok etkilenen ülke olmuştu. ESET Türkiye Teknik Ekibi'nin tespitlerine göre o dönemde daha çok GSM ve telefon kuruluşlarından, bankalardan veya internet servis sağlayıcılardan gönderilmiş gibi görünen sahte ve yüksek rakamlı faturalar, pdf dosyası gibi görünen zip içinde .exe uzantılı e-postalar biçiminde kullanıcıların mail kutusuna geliyordu. Ritmi yavaşlamış olsa da sahte GSM faturaları gelmeye devam ediyor. Ancak son saldırı dalgasında ilk kez posta ve kargo kuruluşlarının bilgileri kullanılarak sahte belgeler düzenlenmiş.
Kurumlar da hedef
Bu saldırılar bireysel gibi görünmekle birlikte - bilgisayar kullanıcılarının iş için kullandığı e-postalarına da geldiği için - şirketler ve kurumları da hedef alıyor. Daha önce de Türkiye'de özellikle pek çok küçük ve orta ölçekli firmanın bu tür saldırıya maruz kaldığı tespit edilmişti.
ESET Türkiye Teknik Müdürü Erkan Tuğral'un verdiği bilgiye göre siber suçlular, phishing denilen oltalama yöntemlerinde, Cryptolocker ailesi zararlı yazılımları kullanıcılarda merak uyandıracak ve gelen maili doğruluğunu sorgulamadan açılmalarını sağlayacak şekilde tasarlıyorlar. Bu şekilde, ilk gelen mail örnekleri çok hızlı şekilde yüzlerce bilgisayarda sistemlere ciddi zararlar verebiliyor.
Tuğral, "Kargo beklemiyorsunuz ama kargo bilgisi veya adres değişikliği isteği geliyor. Merakınıza yenilip, bu tür tuhaf mesajlara itibar etmeyin! Hele adres değişikliği isteniyorsa, hiç bir ciddi kuruluşun bunu e-posta üzerinden yapmayacağını aklınızda bulundurun. Maili açıp içindeki linke tıklamış olsanız da neyi indiridiğinize ve neyi çalıştırdığınıza çok dikkat etmelisiniz" dedi.
Antivirüs yazılımını devreden çıkarmayın!
"Çoğu antivirüs yazılımı Cryptolocker'i tespit ederek kullanıcıları uyarıyor ve zararlı yazılımın çalışmasına ve belgelerinizi şifrelemesine izin vermiyor" diyen Erkan Tuğral, "Ancak yine de bazı kullanıcılar, dosyayı açmayan antivirüs uygulamasını devre dışı bırakmaya ve dosyaya ısrarla ulaşmaya çalışıyor. Lütfen bunu yapmayın. Mutlaka bu e-postanın içeriği merak ediliyorsa, bir mailde verilen linke tıklamak yerine ilgili kurumun web sayfasına ya da çağrı merkezine başvurmak yapılabilecek en doğru şey."