Check Point Research (CPR) tarafından yapılan son araştırmalar, siber suçluların şirketlere nasıl sızdıklarını değiştirdiğini gösteriyor. Artık sadece şifreleri tahmin etmeye veya bilgisayar hatalarını bulmaya çalışmak yerine, çalışanlara içeriden yardım etmeleri için ödeme yapıyorlar.
Raporun verilerine göre, bu gruplar özellikle bankalar, telekom ve teknoloji firmalarındaki içeriden çalışanları hedef alıyorlar. Bu sayede özel ağlara ve müşteri bilgilerine doğrudan erişim sağlıyorlar.
Hassas Veriler İçin Yüksek Ödemeler
CPR araştırmacıları, bu çalışanlar için ödüllerin oldukça yüksek olabileceğini belirtiyor; bir kerelik erişim veya belirli dosyalar için ödemeler genellikle 3.000 ile 15.000 dolar arasında değişiyor. Ancak bazı verilerin daha da değerli olduğu, örneğin bir kripto para borsasından 37 milyon kayıttan oluşan bir koleksiyonun karanlık webde 25.000 dolara satıldığı belirtiliyor.
Daha derinlemesine araştırmalar, suçluların çalışanları kandırmak için duygusal taktikler kullandığını ortaya koydu. Temmuz ayında bir reklam, çalışanları beş veya altı haneli ödüller için hackerlarla işbirliği yapmaya teşvik etti. Bazı reklamlar kısa ve gerçekçi iken, diğerleri bu ihaneti finansal özgürlük yolunda bir adım olarak çerçeveliyor.
Büyük Markalar ve Hedeflenen Sektörler
Hiçbir sektörün güvenli olmadığını belirtmek gerekir; çünkü işe alım ilanları Coinbase, Binance, Kraken ve Gemini gibi büyük firmaları özel olarak adlandırıyor. Accenture ve Genpact gibi büyük danışmanlık şirketleri ve Spotify ile Netflix gibi tüketici markaları da bu listeye dahil edilmiştir.
Tehdit, fiziksel ürünler ve altyapıyı da kapsıyor. Örneğin, Apple, Samsung ve Xiaomi gibi şirketlerde içeriden çalışanlar aranmaktadır. Bulut hizmeti çalışanlarına erişim için 10.000 dolara kadar teklifler sunulmaktadır.
ABD'de, Cox Communications çalışanlarından SIM değişimi konusunda yardım istenmiştir. Hatta ABD Merkez Bankası ve büyük Avrupa bankaları, işlem geçmişi arayanlar tarafından hedef alınmıştır.
Ransomware Gruplarının Rolü
Bu aktiviteler yalnızca gizli web sitelerinde gerçekleşmiyor; çünkü ransomware grupları artık Telegram üzerinden yardımcılar arıyorlar. Yaklaşık 400 üyesi olan bir grup, yakın zamanda bir ransomware portalı duyurarak içeriden çalışanları ve erişim aracılık edenleri şirket sistemlerini kilitlemeye davet etti.
CrowdStrike’ın İçeriden Olayı: İçeriden Tehditin İyi Bir Örneği
CrowdStrike'daki son bir iç güvenlik olayı, CPR'nin bulgularını ve içeriden tehditin ne kadar gerçek hale geldiğini destekliyor. 2025 Kasım ayında, siber güvenlik firması bir çalışanı işten çıkardığını doğruladı. Bu, Scattered Lapsus Hunters ağıyla bağlantılı bir dış tarafa yetkisiz bilgi sızıntısını tespit ettikten sonra gerçekleşti.
Bu saldırıları durdurmak zor çünkü araştırmacıların blog yazısında açıkladığı gibi, iç çalışanlar savunmaları devre dışı bıraktığında, standart güvenlik genellikle tamamen aşılmış oluyor. Güvende kalmak için uzmanlar, şirketlerin markalarının karanlık webdeki anlık görüntülerini izlemeleri ve en hassas verilere kimlerin erişimi olduğunu çok daha yakından takip etmeleri gerektiğini söylüyorlar.
