FBI geçtiğimiz Haziran ayında, mobil cihazlarımızda kullandığımız bizler için çok önemli bilgiler içeren, güvenliği tam olarak sağlanmayan bankacılık ve finansal mobil uygulamalarını hedef alan, hassas bilgileri sızdırabilen, girilen parolaları yakalayıp haberleştiği sunuculara gönderebilen ve hesap ele geçirebilen bir zararlı türü hakkında uyardı.
Bu yeni ortaya çıkan mobil zararlı, Nisan ayında ortaya çıkan EventBot isimli truva atına benzemekte. EventBot, Android işletim sistemine sahip mobil cihazlarda Adobe veya Microsoft Word uygulaması gibi görünüyordu ancak asıl amacı cihazdaki finansal uygulamalardan bilgi çalmaktı.
Bu kötü amaçlı yazılım, güvenliği tam olarak sağlanmayan finansal mobil uygulamalar üzerindeki zafiyetleri tespit edip, kötü amaçla kullanmak için sömürüyor. Bazı uygulamalar üzerinde SMS görüşmelerini gözlemleyebiliyor ve bu sayede kullanıcıların kimlik bilgilerini ve parolalarını ele geçirebililiyor. Ayrıca iki adımlı kimlik doğrulama kodlarınıda çalabiliyor ve bu sayede kullanıcı için önemli olabilecek hesaplara giriş yapabiliyor.
Bankacılık uygulamalarında yaygın olan birçok güvenlik açığı vardır, ancak en yaygın olanları aşağıdaki gibi sıralanmıştır.
Şifrelenmemiş dinamik veriler
Uygulamanın ön yüzü (frontend) ve arka yüzü (backend) ile haberleşmesi sırasında arada kullanılan değişkenler, kullanıcı bilgileri veya konfigürasyon gibi hassas olabilecek verilerin şifrelenmeden iletilmesi
Güvenlik sertifikalarının anahtarları uygulama üzerinde tutulması
Kullanıcı ve banka veya finansal şirket arasındaki iletişim uçtan uca şifrelenir. Ancak bu şifrelemenin çözülmesi, trafiğin açık olarak görülmesine sebep verebilir. Saldırganlar bu sayede iletişim sırasında geçen hassas bilgileri görebilirler.
Güvenli olmayan API kullanımı
Güvensiz API’ların kullanılması kullanıcılar için hassas olan bilgileri açığa çıkarabilir ve bilgisayar korsanlarının uygulamalardan ve sunucuları kendi çıkarları için kullanmalarına sebep olabilir.
Bu tür saldırılara karşı nasıl önlemler alınabilir?
Kullanıcı Farkındalık Ölçümleri
Kullanıcılarınızın, dış dünyadan gelebilecek bu ve benzeri siber saldırılara karşı riskleri deneyimlemesini sağlayın. İçerisinde 700’den fazla simülasyon teması barındıran Keepnet Labs Phishing Simulator ile benzer saldırıları simüle ederek, farkındalığı düşük kullanıcılarınızın tespitini gerçekleştirebilirsiniz.
Farkındalık Eğitimleri
Farkındalığı düşük kullanıcılar hem kendi güvenliklerini hemde bulundukları şirketin güvenliğini tehlikeye atabilirler. Düzenli bilgi güvenliği eğitimleri ile çalışanlarınızın özel ve kurum hayatlarındaki siber güvenliklerini en üst düzeye çıkarabilirsiniz. Eğlenceli ve öğretici eğitim içerikleri ile yüzlerce kurumun tercih ettiği Awareness Educator modülü, çalışanlarınızı eğitme konusunda kurumlara oldukça fayda sağlamaktadır.