Hüseyin Cem Köylü
Facebook kullanıcılarını hedef alan yeni Truva atı, kullanıcının bilgisayarını ele geçiriyor; üstüne para ödenmesini istiyor!
Carberp, tıpkı ataları ZeuS ve SpyEye gibi bilgisayara içinde saklandığı PDF veya Excel dosyalarının açılmasıyla veya drive-by (bilginiz dışında, istemsiz) indirmelerle bulaşıyor. Zararlı, hesap bilgilerinizi, e-posta ve sosyal ağ kimlik bilgilerinizi çalıyor.
Güvenlin firması Trusteer tarafından fark edilen Carberp'in yeni konfigürasyonu Facebook kullanıcılarını hedef alıyor. Önceki zararlı atakları, sahte bir Facebook giriş sayfasına insanları yönlendirip bu şekilde bilgileri ele geçiriyordu. Carberp ise, kullanıcıyı yine sahte bir Facebook sayfasına yönlendiriyor fakat diğerlerinden farklı olarak, bu sayfada kullanıcının hesabının kilitlendiğini söylüyor. Bu sayfada kullanıcıyı rehin alan zararlı, isim, soyad, e-posta, doğum tarihi bilgilerini ve verilen hesaba 25 dolar yatırmalarını istiyor, böylece hesaplarının açılacağını söylüyor.
Trusteer, e-nakit dolandırıcılığının, bazı yönleriyle kredi kartından daha bile kötü olduğunu söylüyor. Çünkü e-nakit herhangi bir finans kurumuna bağlı değil, bu yüzden dolandırıcılık olayında sizden başka kimse sorumlu olmuyor.
Facebook "güvenliyiz" dedi ama sonra...
Şu ana kadar kaç kişinin bu saldırıdan etkilendiği hakkında kesin bir bilgi yok fakat Trusteer, sosyal ağ kullanıcılarını, özellikle de e-nakit hesabı olanları uyarıyor. Böyle bir zararlının olduğu ve bu şekilde başka saldırıların da olabileceğini, insanların bu durumun farkında olması gerektiğini söylüyor. Trusteer'in CTO'su Amit Klein, "Bu dolandırıcılık tekniği oldukça etkili. Kullanıcı, hesabına erişmeye çalışırken kitlendiğine dair bir mesaj alıyor. Siteye güvenleri tam olduğu için kendilerinden istenen tüm bilgileri veriyorlar" diyor.
Trusteer, Facebook'un 9 aydan beri Koobface solucanından temiz olmasıyla böbürlendiği günün ertesi günü atağı Facebook'a rapor etti ve zararlının örneklerini paylaştı. Klein "Bu olayın, onların "virüssüz" beyanıyla çeliştiğini sanmıyorum. Carberp, bulaştığı bilgisayardaki kullanıcının profilinde veya Facebook ile bağlantılı başka bir sitede değişiklik yapmıyor. Ve kesin olarak bildiğimiz şey, Carberp Facebook üzerinden yayılmıyor" diyerek sözlerini tamamladı.
Context Information Security ise anti-debug ve rootkit tekniği kullandığı için Carberp Trojanı'nın zor fark edildiğinin altını çiziyor ve "Carberp aynı zamanda botnet ağının bir parçası. Virüslü bilgisayarın tüm kontrolünü ele geçiriyor. Karmaşık bulaşma mekanizması ve geniş çaplı etkisi de onu daha çok hedefli saldırı için en önemli aday haline getiriyor" diyor. Context ayrıca, Carberp'in bulaştığı bilgisayarda bir arka kapı açtığını ve dışardan kontrolü ele geçirdiğini; böylece botnet sürücülerinin verilere daha kolay eriştiğini belirtiyor.