Giriş
Son dönemde siber suçlular, Microsoft Teams platformunu kullanarak kurumsal IT destek ekiplerini taklit eden sahte sesli aramalar gerçekleştirmektedir. Bu saldırılar, çalışanları EtherRAT adlı uzaktan erişim truva (RAT) yazılımını yüklemeye ikna ederek, kurumsal ağlara ilk erişimi sağlamayı hedeflemektedir. EtherRAT, saldırganlara sistem üzerinde tam kontrol yetkisi veren ve veri hırsızlığı, fidye yazılımı saldırıları gibi ileri aşama saldırılara zemin hazırlayan bir tehdit unsurudur.
Saldırının Çalışma Prensibi
1. Hedef Belirleme ve Taklit
Tehdit aktörleri, hedef kurumun IT destek ekibinin adını, unvanını ve hatta bazen sesini taklit ederek sahte aramalar gerçekleştirir. Bu aramalar sırasında, çalışanın sisteminde "güvenlik açığı" olduğunu iddia ederek acil müdahale gerektiğini öne sürerler. Saldırganlar, kurumun resmi IT destek hattının numarasını kullanabilir veya sahte bir hesap üzerinden arama yapabilirler.
2. EtherRAT Malware’inin Dağıtılması
Çalışanlar, sahte IT destek görevlisinin talimatları doğrultusunda, genellikle bir ZIP arşivinden çıkarılan sahte bir sistem güncelleme aracını veya uzaktan erişim yazılımını yükler. Bu araç, aslında EtherRAT malware’idir ve sistemde gizlice çalışmaya başlar. EtherRAT, saldırganlara aşağıdaki yetkileri sağlar:
- Sistemin tam kontrolü (dosya okuma/yazma, komut çalıştırma)
- Klavye ve fare hareketlerinin izlenmesi
- Kamera ve mikrofon erişimi
- Diğer ağ cihazlarına yayılma yeteneği
3. Kurumsal Ağlara İlk Erişim
EtherRAT, saldırganlara kurumsal ağa sızma olanağı sunar. Bu aşamada, saldırganlar:
- Diğer çalışanların kimlik bilgilerini çalabilir
- Fidye yazılımı veya veri sızıntısı saldırıları başlatabilir
- Kurumsal verileri şifreleyebilir
- Sistemleri botnet’e dahil edebilir
Saldırıdan Korunma Yöntemleri
1. Çalışan Farkındalığı ve Eğitimi
- Güvenlik Farkındalığı Eğitimleri:
Tüm çalışanlara, sahte IT destek çağrıları hakkında düzenli eğitimler verilmelidir. Bu eğitimlerde, aşağıdaki konular vurgulanmalıdır:
- IT destek ekiplerinin asla acil sistem müdahalesi adı altında uzaktan erişim yazılımı yükletmeyeceği
- Resmi olmayan kanallardan (kişisel e-posta, sosyal medya, sahte web siteleri) gönderilen bağlantılara tıklamamanın önemi
- Sistem güncellemelerinin yalnızca kurumsal IT departmanı tarafından onaylanan kanallardan yapılabileceği
- Sahte Senaryolarla Simülasyon:
IT departmanı, çalışanlara sahte sahte IT destek çağrıları göndererek onların tepkilerini test edebilir. Bu sayede, saldırganların taktiklerine karşı hazırlıklı olunması sağlanır.
2. Teknolojik Kontroller
- Microsoft Teams Güvenlik Politikaları:
Aşağıdaki adımlar uygulanarak Teams üzerinden yapılan aramaların güvenliği artırılabilir:
1. Teams Yönetim Merkezi'ne giriş yapın: https://admin.teams.microsoft.com 2. "Voice" → "Calling policies" bölümüne gidin 3. Varsayılan politika üzerinde düzenleme yapın veya yeni bir politika oluşturun 4. Aşağıdaki ayarları etkinleştirin: - "Anonymous users can call me" = Kapalı - "Allow calling to numbers not in your organization" = Kapalı 5. Politikayı tüm kullanıcılara uygulayın - Uç Nokta Koruma Sistemleri:
EtherRAT gibi malware’leri tespit etmek için gelişmiş uç nokta koruma sistemleri (EDR/XDR) kullanılmalıdır. Bu sistemler, aşağıdaki özelliklere sahip olmalıdır:
- Anormal davranış tespiti (örneğin, sistemde çalıştırılan bilinmeyen komutlar)
- Dosya bütünlüğü izleme
- Uzaktan erişim yazılımlarının otomatik engellenmesi
- E-posta ve Mesaj Filtreleme:
Sahte IT destek çağrıları genellikle e-posta veya mesaj yoluyla da yapılabilir. Bu nedenle, aşağıdaki filtreleme yöntemleri uygulanmalıdır:
1. Microsoft Defender for Office 365 kullanarak sahte e-postaları engelleyin 2. Güvenilir olmayan kaynaklardan gelen bağlantıları otomatik olarak engelleyin 3. URL ve dosya eklerini analiz eden gelişmiş tehdit koruma sistemleri kullanın
3. Acil Durum Müdahale Planı
- Saldırı Tespiti:
EtherRAT saldırısı tespit edildiğinde, aşağıdaki adımlar izlenmelidir:
- Etkilenen sistemi ağdan izole edin
- IT departmanını ve güvenlik ekibini bilgilendirin
- Güvenlik loglarını inceleyerek saldırının kaynağını belirleyin
- Sistem Temizliği ve Onarım:
EtherRAT bulaşmış sistemlerin temizlenmesi için aşağıdaki adımlar izlenmelidir:
1. Etkilenen sistemi kapatın ve ağdan ayırın 2. Güvenli bir ortamda (örneğin, USB'den başlatılan Linux sistemi) çalıştırın 3. Sistemdeki tüm şüpheli dosyaları silin 4. Sistem kayıt defterini temizleyin (özellikle Run ve RunOnce anahtarlarını kontrol edin) 5. Antivirüs yazılımını kullanarak tam sistem taraması yapın 6. Sistem yedeklerinden temiz bir kurtarma gerçekleştirin
Uyarılar ve İpuçları
Dikkat Edilmesi Gerekenler:
- IT destek ekipleri, asla acil sistem müdahalesi adı altında çalışanlardan uzaktan erişim yazılımı yükletmez. Bu her zaman bir sahte çağrı işaretidir.
- Resmi olmayan kanallardan (kişisel e-posta, sosyal medya) gönderilen bağlantılara asla tıklamayın.
- Sistem güncellemeleri yalnızca kurumsal IT departmanı tarafından onaylanan kanallardan yapılmalıdır.
- Çalışanlara, şüpheli herhangi bir durumda IT departmanını derhal bilgilendirmeleri gerektiği hatırlatılmalıdır.
En İyi Uygulamalar:
- Çalışanlara düzenli olarak güvenlik farkındalığı eğitimleri verin.
- Uç nokta koruma sistemlerini sürekli olarak güncel tutun.
- Microsoft Teams gibi platformlarda güvenlik politikalarını sıkılaştırın.
- Saldırı tespit ve müdahale planlarını düzenli olarak test edin.
Sonuç
Microsoft Teams üzerinden yapılan sahte IT destek çağrıları, kurumsal ağlara ilk erişim sağlamak için kullanılan sofistike bir saldırı yöntemidir. Bu saldırılardan korunmak için hem çalışanların farkındalığının artırılması hem de teknolojik kontrollerin sıkılaştırılması gerekmektedir. Düzenli eğitimler, gelişmiş uç nokta koruma sistemleri ve acil durum müdahale planları, kurumların bu tür saldırılara karşı dirençli olmasını sağlayacaktır.



