Geçtiğimiz günlerde Çin'den 5 üst düzey askeri personelin Amerikan hazinesi çalışanlarının e-posta ve şifre gibi bilgilerini çalarak, 6 şirket ve derneğin kurumsal sırlarına ulaştığı yönünde bir haber yayımlandı. Bu tip hırsızlıklar nedeniyle yıllık kaybının milyar dolarlarla ifade edildiği belirtilen Amerika için bu saldırının sürpriz olduğu söylenemez. Ancak yetkilileri asıl şaşırtan şey, Çinli saldırganların çok bilindik bir taktikle bu bilgilere erişmiş olmasıydı. Zira saldırganlar hazine çalışanlarına sahte e-postalar göndererek onlardan şifre ve kullanıcı adı bilgilerini istemişlerdi ve hedeflerine ulaştılar.
Olay, güvenlik tehditleri söz konusu olduğunda ne kadar güvenli bir yazılım ve donanım ağına sahip olursanız olun, hala kırılgan olabileceğinizi gösteriyor. Sahte e-postalar artık eskisi gibi "uyduruk" durmuyor: Daha resmi görünüyor ve daha hedefli bir biçimde gönderiliyorlar. Kullanıcıların insan olduklarını ve hata yapabileceklerini de unutmamak gerekiyor (Kulağa çok banal gelebilir ama görünen o ki hala unutulabiliyor bu gerçek).
Sahte e-posta saldırıları oldukça basit bir yöntem olsa da nasıl gözden kaçırıldığını görmekse endişe verici. Son örnekse ebay. Ebay'in geçtiğimiz Şubat ve Mart arasında maruz kaldığı siber saldırıyı duyurduğu dünkü mesajında, müşterilerine konuyla ilgili e-postalar gönderileceği belirtiliyordu.
Güvenlik tedbirini artırmaya çalışan ebay, bu yöntemle aslında saldırganlar için yeni bir kapı açtı. Saldırgan ben olsaydım ve kullanıcılara şifrelerini değiştirmesini sağlayacak bu e-postaların gönderileceğini duysaydım, sahte e-posta saldırısı için daha iyi bir fırsat olamazdı.
Bu tip bir saldırıdan korunmak için ebay'in izleyebileceği birden fazla yöntem var aslında. Geçtiğimiz yıl benzer bir saldırıya maruz kalan Evernote gibi müşterilerin giriş bilgilerini sıfırlayabilirdi ya da geçtiğimiz aylarda hacklenen Kickstarter gibi, kullanıcıların bilgilerini sayfa içinde değiştirmelerini sağlayabilirdi.
Ebay'in söz konusu e-postaları hala kullanıcılara göndermediği de gelen haberler arasında. Bu aslında hem ebay hem de hackerlar açısından iyi haber (!) zira, ebay yaptığı hatayı fark etmiş olabilir ama diğer taraftan sahte e-posta göndermek isteyen saldırganlara da ekstra süre vermiş oldu. E-posta'lar üzerinden şifreleri değiştirme yönteminin zayıflığı henüz tam olarak anlaşılmadı. The Telegraph'ın haberinde gördüğünüz gibi, insanlar zayıflık yerine e-postalarının ebay tarafından hala gönderilmemesinden şikayetçi. Kırılganlığın altını bugün çizen az sayıda tepkiden biri Bloomberg muhabiri Jordan Robertson'a ait. İlgili makalesine buradan erişebilirsiniz.