Siber güvenlik uzmanlarının dikkat çektiği yeni bir tehdide göre, siber suçlular dünya çapında tanınan markaların — aralarında Bose, Panasonic ve hatta ABD Hastalık Kontrol ve Korunma Merkezleri (CDC) gibi kamu kurumlarının da bulunduğu — alt alan adlarını (subdomain) ele geçirerek zararlı yazılımlar dağıtıyor ve kullanıcıları çeşitli dijital dolandırıcılıklarla hedef alıyor.
Suçluların Yeni Taktiği: Unutulmuş Bulut Hizmetlerinden Faydalanmak
Infoblox adlı güvenlik firması tarafından ortaya çıkarılan bu kampanyanın arkasında, Hazy Hawk adlı bir tehdit aktörü grubu bulunuyor. Grup, yüksek profilli doğrudan saldırılar yerine, sessiz ve etkili yöntemlerle kullanıcı güvenini suistimal etmeye odaklanıyor.
Bu saldırılar, klasik anlamda bir hackleme sonucu değil, çoğunlukla şirketlerin unuttuğu veya gözden kaçırdığı altyapı açıklarından kaynaklanıyor. Özellikle kaldırılmış bulut servislerinin DNS kayıtlarının sistemden silinmemesi bu tehlikeye davetiye çıkarıyor.
Örneğin, şirketin artık kullanmadığı bir alt alan adı olan update.bose.com hâlâ bir bulut hizmetine (örneğin AWS veya Azure) yönlendirilmiş olabilir. Saldırganlar, bu hizmeti kendi adlarına yeniden kayıt ettirerek alt alan adını ele geçiriyor ve böylece kullanıcılar, Bose gibi görünen ama tamamen sahte bir siteye yönlendirilmiş oluyor.
Kullanıcıları Hedef Alan Akıllı Yönlendirme Sistemleri
Ele geçirilen alt alan adları genellikle sahte antivirüs uyarıları, sahte teknik destek mesajları veya yazılım güncellemesi kılığına girmiş zararlı yazılımlar ile dolu sitelere yönlendirme amacıyla kullanılıyor.
Bu saldırıların etkisini artıran bir diğer unsur ise, trafik yönlendirme sistemleri (TDS). Hazy Hawk grubu, örneğin viralclipnow.xyz gibi alan adları üzerinden kullanıcının cihaz tipi, konumu ve tarayıcı geçmişine göre özel olarak tasarlanmış dolandırıcılık içerikleri sunuyor.
Bazı durumlarda saldırılar, geliştiricilere ait masum görünümlü siteler (örneğin share.js.org) üzerinden başlatılıyor, ardından kullanıcılar karmaşık bir dolandırıcılık ağına çekiliyor. Eğer kullanıcı bu sitelerden gelen bildirimleri kabul ederse, zararlı içerikler tarayıcısına sürekli iletilmeye devam ediyor.
Etkilenenler Arasında CDC ve Deloitte Gibi Dev Kurumlar Var
Bu tür saldırılar yalnızca teorik bir tehdit değil; CDC, Panasonic ve Deloitte gibi büyük kurumlar da bu yöntemin kurbanı oldu.
Bireyler ve Kurumlar Nasıl Korunmalı?
Bireysel kullanıcılar için öneriler:
Tanımadığınız web sitelerinden gelen bildirim izinlerini reddedin.
Gerçek olamayacak kadar iyi görünen bağlantılara karşı temkinli olun.
Antivirüs uyarıları veya yazılım güncellemeleri gibi içerikleri sadece resmî kaynaklardan indirin.
Kurumlar için öneriler:
DNS kayıtlarının temizliğine özen gösterin. Kaldırılan bulut hizmetlerine ait yönlendirmeler mutlaka sistemden silinmeli.
DNS altyapısında otomatik izleme ve uyarı sistemleri kurarak, olası tehlikeleri erken tespit edin.
Bu tür yapılandırma hataları, küçük bir teknik sorun olarak değil, kritik bir güvenlik açığı olarak ele alınmalı.
Günümüzün karmaşık dijital tehdit ortamında, gözden kaçan küçük bir DNS kaydı bile büyük sonuçlar doğurabiliyor. Hem bireylerin hem de kurumların dikkatli olması, siber suçlulara karşı en etkili savunma olmaya devam ediyor.
