Rik Ferguson

Facebook Uygulamalarındaki tehditler...

Facebook uygulama geliştiricilerini akredite etmek için getirilen yöntem dev açıklarla dolu!

Niket Biswas, dün Facebook Geliştiriciler bloguna “Geliştirici Hesaplarını Onaylamak” başlıklı bir yazı girdi. Görünen o ki, uygulama geliştiricilerden, Facebook hesaplarına bir cep telefonu ya da kredi kartı numarası girmeleri isteniyor. Telefon numarası, SMS üzerinden yollanan bir onay koduyla teyit ediliyor. Kredi kartı numarası ise herhangi bir çift yönlü yöntemle teyit edilmiyor; aslında Facebook, açıkça, karttan bir kuruş bile kesmediklerini söylüyor. Kendi sözleriyle: 
 
“Facebook Platformu’nun bütünlüğünü korumak için bu önlemi alıyoruz; her uygulamanın geçerli ve gerçek bir Facebook hesabından geldiğinden emin olmak istiyoruz.”
 
Bu konuda bazı aşikar sorunlar var… Öncelikle, herhangi bir Facebook hesabının ta baştan “geçerli ve gerçek” olduğunun garantisi var mı? İkincisi, kredi kartına ya da cep telefonuna erişimi kanıtlamak, sahipliği kanıtlamaktan çok farklı. Tek kullanımlık cep numaralarına ve/veya çalınmış kredi kartlarına halihazırda erişimi olduğunu varsaymamız gereken suçlular ya da dolandırıcılar bu sahte bilgileri zaten sahte olan bir hesaba girerlerse, bu bizi nereye götürür? 
 
Önerilen “Onaylı Geliştirici Hesapları” ile, bu bizi istediği uygulama içeriğini yollamakta serbest olan sahte bir “onaylı” profile götürür ve böylece Facebook olay yöneticileri sahtekarlarla köşe kapmaca oynamaya devam ederler. 
 
Facebook tehditkar ya da (merhametli olursak) muzip içeriklere karşı gerçekten bir güvenlik önlemi almak istiyorsa, uygulayabileceği tek etkili seçenek, halihazırda MySpace ya da Apple App Store’da kullanılmakta olana benzer bir uygulama onay süreci yaratmaktır.
 
Facebook olay yöneticilerinin hâlihazırda sayıları her geçen gün artmakta olan muzip uygulamaları izlemek ya da askıya almak için harcadıkları çaba, hiç kuşkusuz, bu uygulamaları en başta ortaya çıkmadan önce durdurmak yönünde daha hayırlı bir biçimde kullanılabilirdi.
 
Bu benim ilk olarak Şubat 2009’da bir haftada iki muzip uygulamanın birden ortaya çıkması şok edici bir gelişme olarak algılandığında (Zaman nasıl değişiyor) önerdiğim bir şeydi. O zamanlar Bay Zuckerberg önerimi derhal reddetmişti; ama bu ilk adımlarla birlikte belki umut içinde yaşayabiliriz. 

Korku Ekonomisi

Bilgisayar güvenliği dünyasında iki çeşit antivirüs yazılımı vardır: işe yarayanlar ve pek de işe yaramayanlar.

Ortalama kullanıcının sorunu, onları birbirinden ayırır ve bu da suçluların para, hem de çok para kazanmak için kullandıkları birşeydir.
 
Bugüne kadar hiç bilgisayarınızda bir pencere açılıp da size şu tarz bir uyarıda bulundu mu?

“Dikkat! Bilgisayarınızda çeşitli virüs ve malware (tehdit içeren yazılım) programlarının izleri var. Sisteminizde derhal antivirüs kontrolü yapılması gerekiyor. PC’nizi hızla ve ücretsiz taratmak için tıklayın.” 

Evet mi? Yalnız değilsiniz.
 
TrendLabs’teki meslektaşlarımdan Bob McArdle’ın yaptığı bazı araştırmaları sizlerle paylaşmak istiyorum. Sürmekte olan araştırmalara herhangi bir zarar gelmemesi için isim veremiyorum, ama dürüst olmak gerekirse, çok sık değiştiğinden, isimlerin pek de değeri yok. Bir suç çetesi, X Şirketi diyelim, bir yılda, dünya genelinde en az 30 farklı ülkede kurbanlarına malware satarak 180 milyon doların üzerinde para kazandı.
 
Gayet masum bir biçimde, insanların neden tehdit içerikli yazılımlara para ödediklerini sorabilirsiniz. Yanıtımız da doğal olarak şöyle: Bu yazılımların tehdit içerdiğini ilk başta bilmiyorlar.
 
Çete, kurbanı bilgisayarına virüs bulaştığına inandırmak üzere tasarlanmış ve son derece ikna edici görünen sahte güvenlik programları yaratıyor. Ardından, bu korku yazılımları, mevcut popüler arama terimlerine ya da haber değeri yüksek olaylara yönelik arama motoru sonuçlarında üst sıralarda görünecek biçimde tasarlanmış web sayfalarıyla dağıtılıyor. Tehdit içerikli yazılım arama sonucuna tıklandığında, ekranda yukarıdaki gibi bir mesaj beliriyor ve enfeksiyon zinciri başlıyor.
 


 
Peki bu kadar çok parayı nasıl kazandılar? İlk etapta tarama hizmeti ücretsiz sunulsa da, düzmece sonuçlar, her zaman cihaza çok fazla virüs bulaştığını gösteriyor. Oysa, gerçekte hiçbir tarama yapılmamış oluyor. Endişeye kapılan kullanıcının, “güvenlik” yazılımının tam versiyonunu gecikmeden satın alması sağlanıyor. Böylece, var olmayan tehdit içerikli yazılımın temizleneceği vaat ediliyor. Sonuç itibariyle, kredi kartı detaylarınızı suçlulara vermiş, tehdit içerikli yazılımı PC’nize yüklemiş ve bu ayrıcalık için 50-100 dolar arası bir ödeme yapmış oluyorsunuz. Bu bir hacim oyunu; çete 100.000 aramayı yeniden yönlendirdiğinde ve bunların yalnızca yüzde 1’i ürünü satın aldığında, bir günlük net kazanç 50.000 doları buluyor.
 
Söz konusu iş modelinin ikinci bölümü, suçluların virüs bulaştırdığı cihazları kapsıyor. Cihazına virüs bulaşan kullanıcı webde gezindikçe, tehdit içerikli yazılım, sessizce, kullanıcının baktığı her ilanın yerine, çetenin iştiraklerinden birine ait olan ve genellikle sahte ilaç ve benzeri tanıtımı yapan ilanları yerleştiriyor. Çete, değiştirilen her ilan için iki ya da üç sent komisyon alıyor. Çetenin sunucularından birine ait sistem günlükleri, günde yaklaşık bir milyon ilanın değiştirildiğini gösteriyor. Bu da günlük ek 25.000 dolarlık net kazanç anlamına geliyor. Bu, çetenin robot ağlarından yalnızca biri. Dolayısıyla, her gün robot ağ başına 25.000 dolarlık kazanç sağlanıyor.
 
X Şirketi’nin iş modelinin üçüncü bölümü, garip bir şekilde, müşteri desteği etrafında dönüyor. X Şirketi’nin en büyük sorunu, doğal olarak, kredi kartı geri ödemeleriydi. Dolandırıldıklarını fark eden müşteriler, kart sağlayıcılarıyla temasa geçip geri ödeme talep ediyorlardı. Bir süre sonra, kredi kartı sağlayıcısı X Şirketi ile çalışmayı bırakıyordu ve X Şirketi’nin, tüm direktörler için sahte kimlik bilgilerinin tamamını içeren bir başka sahte yan şirket yaratması gerekiyordu. Suçlular, bu durumla mücadele etmek için, çağrı merkezlerine yatırım yapma kararı aldılar ve ABD, Asya ve Doğu Avrupa’da çağrı merkezleri kurdular.
 
Görüldüğü gibi, dolandırıcı antivirüs yazılımı, düzenli olarak kullanıcılara sürümlerini küçük bir meblağ karşılığı güncellemelerini söylüyor ve bunu yapıncaya kadar kullanıcıyı rahat bırakmıyor. Pek çok müşteri buna uyum gösterirken, diğerleri ürünün düzeltilmesi talebiyle destek hattını arıyor. Her bir dolandırıcı antivirüs yazılımı, değiştirilebilecek bazı ayarlara sahip bulunuyor. Böylece kullanıcıların bir daha güncelleme yapmaları gerekmiyor. Çağrı merkezlerindeki personel, kullanıcıları bu noktaya çekiyor ve telefon araması başına 20 dolarlık mütevazı bir ücret talep ediyor.

Tıklamadan önce düşünün, bütün güvenlik yazılımları bir değildir.

Takip Edin