2016 Avrupa Şampiyonası da Siber Saldırıların hedefi haline gelecektir! 

İnternetin başlangıcından beri, tüm büyük spor etkinlikleri, siber saldırılar için birer hedef haline gelmiştir. Yüzbinlerce taraftarın, sponsorların, ve kamu kurumlarının, küresel spor müsabakalarına dahil olduğu düşünülünce, siber suçluların tüm bu heyecandan, coşkulu aktivitelerden ve belki de en önemlisi, teknolojiye olan artan bağımlılıktan neden istifade etmek istedikleri anlaşılmaktadır. Hiç şüphesiz 2016 Avrupa şampiyonası da siber saldırıların hedefi haline gelecektir.

Geçmişe dönüp baktığımızda 2008 Pekin Olimpiyat oyunları sırasında organizatörlere yönelik günde 12 milyondan fazla siber saldırının gerçekleştirildiği raporlanmıştı. Online bilet sahteciliği ve artan sahte bilet websiteleri yüzünden milyonlarca dolar para kaybı gerçekleşti.

2010 yılı itibariyle tüm büyük spor organizasyonlarında siber saldırılar artık sıradan hale gelmişti. Fifa Dünya Kupası sırasında spam kısa mesajlar ve e-postalar oldukça yaygın bir şekilde kullanılmıştı. Örneğin, 2010 Dünya Kupası sırasında “Son Çekiliş” isimli 550,000$ ödüllü sahte bir yarışmanın e-postası ortalıkta dolanmaktaydı. Kurban, para transferi için kişisel bilgilerini vermeye teşvik ediliyordu.

2012 Londra Olimpiyat oyunları sırasında siber güvenlik uzmanlarından oluşan takımlar kuruldu. Bu takımlar her gün en az bir hack saldırısına karşı koruma sağladı, saniyede 11000 zararlı istek ile başa çıktı ve 212 milyon zararlı bağlantı girişimini engelledi. Yine de tüm saldırılara engel olamadılar. Örneğin olimpiyatlar sırasında, “2012 Londra Olimpiyatları Çekilişi” isimli bir yarışmayı kazandıklarına dair bir spam furyası baş göstermişti. Kurbanların bu sözde ödülü alabilmeleri için, bir telefon numarasını aramaları, zararlı bir e-postaya cevap vermeleri ve kişisel bilgilerini iletmeleri sağlanmıştı. Bir başka saldırı ise saldırganların taraftarlara sözde bilet vererek, kurbanların banka kartı bilgilerini çaldığı saldırıydı.

2014 Dünya Kupası sırasında siber suçların çeşitliliği ve şiddeti iyice artmıştı. Hem Brezilya hükümeti hem de organizasyon komitesi hackerlar tarafından hedef alınmıştı ve Dışişleri Bakanlığı’nın sistemlerinden veri sızdırarak başarılı olmuşlardı. Aynı zamanda yapılan DDoS saldırıları neticesinde iç sistemler kayda değer bir süre için erişilemez hale gelmişti. Bunlara ek olarak yine zararlı yazılımlardan, oltalama saldırılarına kadar birçok saldırı teknikleri, saldırganlar tarafından kullanılmıştı. Sonuçta taraftarlar ve diğer sıradan kullanıcılar kişisel ve banka bilgileri gibi verilerini, oltalama amaçlı web siteleri, arama motorları, spam e-postalar ve hatta sahte uygulamalar aracılığı ile çaldırmışlardı.

Bu geçmiş tecrübeler göstermektedir ki, 2016 Avrupa Şampiyonası da benzer saldırıların hedefi haline gelecektir.

Bu tür büyük çaplı spor etkinliklerinde beklenen belli başlı bazı saldırı tipleri vardır. Bunları şu şekilde özetlemek mümkündür:

DDoS saldırıları: Bu tip saldırılar, hem organizatörlerin repütasyonuna zarar vermek hem de satış noktaları hedef alınarak maddi açıdan zarar vermek amaçlı saldırılardır. Geçtiğimiz dönemde Türkiye’ye gerçekleştirilen DDoS saldırısı neticesinde pos cihazlarına kadar bankacılık sistemlerinin kullanılamaz hale geldiğini hatırlayalım. Son yıllarda DDoS saldırıları hem büyüklük hem de karmaşıklık olarak oldukça gelişmiştir.

Kötücül yazılım saldırıları: Bu saldırılar hem taraftarları hem de organizatörleri hedef almaktadır. Dikkatsiz kullanıcıların sahte taklit sitelerden, spam e-postalardan vb. yerlerden zararlı yazılımı indirmesi sağlanır. Örneğin Dominik Cumhuriyetinde gerçekleştirilen Pan Amerika oyunlarında kötücül yazılımlar, iç ağları ele geçirmek için kullanılmıştı. Bunun bir sonucu olarak da, yarışmalardaki güncel skorlar taraftarlara ve medya kuruluşlarına ulaştırılamamıştı.

Kredi kartı kopyalama: Müsabaka alanlarında bolca bulunan alışveriş imkanları düşünüldüğünde, kredi kartı kopyalama saldırıları kart bilgilerini ele geçirme ve para çalma amaçlı sıkça kullanılmaktadır. Bu saldırılar pos cihazlarına ve ATMlere takılan cihazlar sayesinde gerçekleştirilebilmektedir.

Bilet sahteciliği: Online olarak yapılan sahte bilet satışları veya satılan biletlerin hiç teslim edilmemesi gibi durumlar bilet sahteciliği olarak adlandırılmaktadır. Buna çok dikkat çekici bir örnek olarak 2008 Pekin Olimpiyatları sırasında ABD kayıtlı Xclusive Leisure and Hospitality isimli firma tarafından profesyonelce tasarlanmış bir web siteleri üzerinden “Pekin 2008 Biletleme” ismi ile satılan biletler örnek verilebilir. Bu web sitesi üzerinden 50 milyon dolar üzerinde sahte bilet satışı gerçekleştirilmişti.

Oltalama saldırıları: Geçmişe baktığımızda oltalama saldırılarının hep büyük spor etkinlikleri sırasında büyük bir yükselişe geçtiğini görüyoruz. Son Dünya Kupasından önce, spam posta sayıları %40 üzerinde artış göstermiş ve 4000’den fazla oltalama sitesi tespit edilmişti. Saldırganlar bu tip oltalama sitelerini, kişisel bilgileri çalmak için kullanmaktadırlar.

Korsan kablosuz ağlar: Saldırganlar, Wi-Fi konfigürasyonlarını kırmayı deneyerek veya kendileri tarafından kontrol edilen halka açık Wi-Fi noktalarını kullanarak saldırmayı deneyebilirler. Kullanıcılar bu Wi-Fi ağlarına bağlandıklarında, trafikleri bu saldırganlar tarafından görülebilir ve bu sayede kullanıcı adı ve şifreleri gibi önemli kişisel verilerini saldırganların eline geçebilir.

Aldatmaca: Bu saldırılar genelde organizatörler tarafından geliyormuş gibi gözüken e-postalar aracılığı ile olur. Bu e-postalarda, genelde, alıcının organizasyon komitesi tarafından düzenlenen etkinliğe bedava bilet kazandıkları gibi aldatıcı bir içerik olur.

Peki korunmak için neler yapılabilir?

Bilet alırken resmi organizatör sitelerine bağlı kalın. Lisanslı, resmi siteleri sık kullanılanlara ekleyerek, yanlış adrese girme olasılığınızı azaltın.

Cezbedici gözüken fırsatlara şüpheyle yaklaşın çünkü genelde bu tatlı gözüken teklifler aslında sizin için kişisel ve banka bilgileriniz gibi gizli bilgilerinizi çalmaya yönelik acı sonuçlar doğuracak saldırılardır. Unutmayın ki bir şey gerçek olamayacak kadar güzelse, gerçek değildir. Ek olarak nerden geldiğine bakmaksızın tekliflerin her zaman doğruluğunu kontrol edin, özellikle de sosyal medya üzerinden gördüyseniz. Bir saldırıya yakalanırsanız takipçileriniz ve arkadaşlarınız da yakalanabilir.

Sizi web saldırılarına karşı koruyabilecek kapsamlı bir ağ güvenlik çözümü kullanın. Mobil cihazlarınızı da korumayı unutmayın. Mobil cihazlarınızı kullanırken ki rahatlığınızın aynısı eğer bir koruma önlemi kullanmıyorsanız saldırganlar için de geçerlidir.

Halka açık Wi-Fi noktalarını kullanmak yerine, mobil operatörünüz üzerinden internete bağlanın.

Kurumsal hizmet sunucularınızın önünde detaylı inceleme yapabilen antiDDoS fonksiyonları kullanın.

Kurumsal olarak bir siber saldırı ile karşılaşma anında hazır olmak için siber güvenlik olaylarına Ani Müdahale Ekipleri ile beraber çalışın.