Siber suçlar yaşanan dönemin özelliklerine ve teknolojinin gelişimine göre değişiyor. Siber şantaj, daha geniş bir suç kategorisi olarak kalıcılığını kanıtlamış olsa da en zararlı türlerinden biri olan fidye yazılımı artık yalnızca şifreleme ile sınırlı değil.  Geçmişte saldırganlar dosya veya sistemleri kilitleyerek şifre çözme anahtarı karşılığında ödeme talep ederken son yıllarda kampanyalar şifrelemeyi veri sızdırma ve çalınan bilgileri yayımlama tehditleriyle birleştiriyor. Bu noktada özel sızıntı siteleri veya veri sızıntı siteleri (DLS’ler) devreye giriyor. İlk olarak 2019’un sonlarında ortaya çıkan bu siteler, çift şantaj stratejisinin bel kemiği hâline geldi. Tehdit aktörleri kurumsal verileri şifrelemeden önce çalıyor ve ardından bu verileri kamuya açık şekilde kullanarak bir güvenlik olayını doğrudan bir  krize dönüştürüyor.

Fidye yazılımı artık yalnızca sistemlerin kilitlenmesi değil, aynı zamanda veri hırsızlığı ve şantaj sorunu olarak değerlendiriliyor. Kamuya açık takip projeleri de bu eğilimi doğrulasa da sızıntı sitelerinin yalnızca suçluların duyurmayı seçtiği olayları yansıttığı, gerçek kurban sayısının daha yüksek olabileceği belirtiliyor.

Veri sızıntı siteleri nasıl kullanılıyor?

Dark web üzerinde barındırılan ve Tor ağı üzerinden erişilen veri sızıntı siteleri, genellikle çalınan verilerin bir bölümünü yayımlıyor. Ödeme yapılmazsa tüm verilerin açıklanacağı tehdidinde bulunuyor. Bazı durumlarda kurban ödeme yapmayı reddettiğinde veriler yayımlanıyor ve baskı daha da artıyor. Kurbanlara ait bilgiler, çalınan verinin kapsamı ve belirlenen son tarihler bu stratejinin parçası olarak sunuluyor. Bu yaklaşımın yıkıcı etkisi, hız ve görünürlükten kaynaklanıyor. Olay kamuoyuna duyurulduğu anda birden fazla risk aynı anda ortaya çıkıyor ve çoğu zaman kuruluşlar saldırının kapsamını tam olarak anlamadan yoğun belirsizlik altında kalıyor. 

Veri sızıntı siteleri bu nedenle doğrudan bir baskı aracı olarak kullanılıyor. Saldırganlar blöf yapmadıklarını göstermek için genellikle sınırlı miktarda veri yayımlıyor. Kurban ödeme yapmazsa daha fazlası paylaşılmaya devam ediyor. Zarar çoğu zaman ilk kurbanla sınırlı kalmıyor. Sızdırılan veya yeniden satılan veriler kimlik avı, iş e-postası dolandırıcılığı ve kimlik sahtekârlığı gibi sonraki suçların kaynağı hâline geliyor. Tedarik zinciri olaylarında ihlal müşterilere ve iş ortaklarına kadar yayılabiliyor. Bu domino etkisi, fidye yazılımının münferit olaylar değil sistemik bir risk olarak değerlendirilmesinin nedenlerinden biri olarak görülüyor.

Sızıntı sitesinin her öğesi, psikolojik baskıyı en üst düzeye çıkarmak için tasarlanıyor.

Yetkisiz erişimin kanıtı. Çeteler, saldırının gerçek olduğunu ve tehdidin inandırıcı olduğunu göstermek için sözleşmeler ve şirket içi e-postalar gibi örnek belgeler yayımlar. 

Aciliyet: Zamanlayıcılar ve geri sayımlar, zamanın dolmakta olduğu hissini uyandırır çünkü zaman baskısı altında alınan kararlar genellikle saati kontrol eden tarafın lehine olur.

Kamuya ifşa: Çalınan veriler hiçbir zaman kamuya açıklanmasa bile ihlalle ilişkilendirilmek bile itibar kaybına neden olur ve bu zararın giderilmesi yıllar alabilir.

Yasal risk: Giderek genişleyen eyalet düzeyindeki gizlilik yasaları gibi çerçeveler altında, kişisel verileri içeren doğrulanmış bir ihlal, zorunlu açıklamalar, soruşturmalar ve para cezalarına yol açabilir.

Geniş etkiler ve kalıcı sonuçlar

Veri sızıntısı ihtimali; itibar kaybı, müşteri güveninin zedelenmesi, finansal zararlar ve yasal yaptırımlar gibi çok sayıda riski aynı anda tetikliyor. Çalınan verilerin satılması suç ekonomisini besliyor ve yeni saldırıların önünü açıyor. Bazı grupların şifrelemeyi tamamen atlayarak yalnızca veri ele geçirip yayımlama tehdidiyle şantaj yaptığı da görülüyor.

Kurban durumunda olan kuruluşlar çoğu zaman yeterli değerlendirme süresi olmadan karar vermek zorunda kalıyor. İhlalden etkilenen bireyler ise uzun süren temizlik süreçleri, hesap ele geçirmeleri ve kimlik dolandırıcılığı gibi risklerle karşılaşıyor. Fidyeyi ödemek kolay bir çözüm gibi görünse de dosyaların geri alınacağını ya da verilerin gizli kalacağını garanti etmiyor. Ödeme yapan birçok kuruluşun kısa süre içinde yeniden saldırıya uğradığı biliniyor ve yapılan her ödeme yeni saldırıların finansmanına katkı sağlıyor.

Kuruluşlar için fidye yazılımı tehdidi  kapsamlı savunma önlemleri gerektirir:

• EDR/XDR/MDR özelliklerine sahip gelişmiş güvenlik çözümleri kullanmak. Bu çözümler, yetkisiz işlem yürütme ve şüpheli yanal hareket gibi anormal davranışları izleyerek tehdidi anında durdurur.
• İyi tanımlanmış, sıkı erişim kontrolleriyle yanal hareketleri kısıtlama. Sıfır Güven ilkeleri, herhangi bir varlık için varsayılan güven varsayımlarını ortadan kaldırarak şirketin güvenlik durumunu güçlendirir. 
• Tüm yazılımların güncel tutulması. Bilinen güvenlik açıkları, fidye yazılımı aktörleri için başlıca giriş vektörlerinden biridir. 
• Fidye yazılımının erişemeyeceği veya değiştiremeyeceği, izole edilmiş, hava boşluğu olan ortamlarda yedeklemeler saklayın. Fidye yazılımının birincil amacı, hassas verileri bulmak ve şifrelemektir. Dayanıklı yedeklemeler ve fidye yazılımı giderme yetenekleri, tehdidin neden olduğu hasarı azaltmada büyük rol oynar.
• İyi tasarlanmış güvenlik farkındalığı eğitimleriyle etkili bir savunma bariyeri oluşturulabilir. Kötü amaçlı e-postaları erken tespit edebilen bir çalışan, fidye yazılımı aktörlerinin en sevdiği giriş noktalarından birini ortadan kaldırır ve bu tek başına, tüm kuruluşunuzu mağdur eden bir saldırı riskini önemli ölçüde azaltabilir.

Kilitle, ifşa et, baskı kur yazısı ilk önce En Gazete üzerinde ortaya çıktı.

30 yaşındaki Yanni Gentsch, Şubat ayında bir gün tek başına Köln Parkı’nda koşuyordu. Reklam sektöründe çalışan Gentsch, bisikletli bir erkeğin kendisini takip ettiğini ve kalçasını cep telefonu ile filme aldığını fark etti. Gentsch, bu kişiyle konuşarak görüntüleri silmesini istedi.

Yanni Gentsch bir yandan da kendisini takip eden erkek ile yaptığı konuşmayı cep telefonu ile kaydetti. Görüntülerde, kadının kararlılığı karşısında özür dilerken “hiçbir şey olmadığını” öne süren, sonrasında da “Neden böyle bir pantolon giyiyorsun?” sözleri ile Gentsch’i suçlayan bir erkek görülüyor. Mağduru suçlu gibi göstermeye ve susturmaya çalışan bu sözlere Gentsch, daha sonra bir slogana dönüşen “Kıyafetim bir davet değildir! ifadesi ile tepki gösterdi.

Gentsch, videoyu sosyal medya platformu Instagram’da paylaştı. Viral olan videonun izlenme sayısı 16 milyonu aştı.

Gentsch ile dayanışma gösteren yorumlarda “Cesaretinden çok etkilendim”, “Bir kadın kendini savunursa, tüm kadınları savunmuş olur” ve “Harika tepki verdin, teşekkürler ve saygılar” gibi ifadeler dikkati çekti.

Yasa değişikliği için imza kampanyası

Gentsch, kendisini takip eden ve kalçasının gizlice görüntülerini çekmeye çalışan erkek hakkında suç duyurusunda bulunmak da istedi, ancak bunun mümkün olmadığını öğrendi.

Almanya’da mevcut yasalara göre, gizlice yapılan çekimler doğrudan etek altından (Upskirting) mahrem bölgelere yönelik olduğunda veya görüntülerde çıplak tenin görülmesi durumunda cezai işlem uygulanıyor. Kasıtlı ve cinsel amaçlı olsa bile giysili olunan durumlarda ceza uygulanması söz konusu değil. Örneğin havuz kenarında üzerinde bikini olan veya fitness stüdyosunda spor yapan bir kadının videosunun çekilmesi cezaya tabi değil.

Yanni Gentsch, bunun üzerine yasadaki bu boşluğun giderilmesi ve “Röntgencilerin çektiği görüntülerin suç sayılması” talebiyle bir imza kampanyası başlattı. 29 Ağustos itibarıyla kampanyada toplanan imza sayısı 127 bine yaklaştı.

İmza kampanyasında, Alman Ceza Kanunu’nun 184’üncü maddesinin k fıkrasının genişletilerek, çıplaklık durumuna bakılmaksızın cinsel amaçlarla yapılan her türlü gizli çekimin cezaya tabi olması talep ediliyor. Gentsch, başlattığı imza kampanyasında “Mevcut yasalar faili koruyor, mağduru değil” diyor. Gizlice görüntü almanın gücün istismar edilmesi olduğuna dikkati çeken Gentsch, mağdurun değil failin utanç duyması gerektiğini vurguluyor.

Siyasetten yasa değişikliği talebine destek

Yanni Gentsch, Almanya Adalet Bakanı Stefanie Hubig’e hitaben hazırladığı dilekçe ile birlikte toplanan imzaları hafta başında Kuzey Ren Vestfalya Adalet Bakanı Benjamin Limbach’a teslim etti. Federal ve eyalet düzeyindeki adalet bakanlarının Kasım ayında yapacağı toplantıda Ceza Kanunu’nun ilgili maddesinde değişikliğin gündeme gelmesi bekleniyor.

Kuzey Ren Vestfalya Adalet Bakanı Benjamin Limbach, Yanni Gentsch’in topladığı imzaları teslim aldı Fotoğraf: Federico Gambarini/dpa/picture alliance

Ceza Kanunu’nun ilgili maddesinde değişiklik yapılması talebine destek veren Kuzey Ren Vestfalya Adalet Bakanı Limbach, “Cinsel amaçlarla bir kişinin vücudunun bazı bölümlerinin gizlice veya rızası olmadan videosunun ya da fotoğrafının çekilmesi halinde, yasalarımız kesin bir sınır çizmeli” ifadelerini kullandı.

Gentsch’in başlattığı kampanya sosyal medyanın dışında da büyük yankı uyandırdı. Almanya genelinde yayın yapan çok sayıda gazete, radyo ve televizyon kampanyaya ilişkin haberler yayınladı. Bunun bir nedeni, Yanni Gentsch’in cesur tavrı ile büyük bir etki yaratması. Bir diğer nedeni de Almanya’da neredeyse her kadının taciz ile karşılaşmış olması. Merseburg Yüksekokulu tarafından 2022 yılında yapılan bir araştırma, on kadından dokuzunun kamuya açık alanlarda taciz ile karşılaştığını ortaya koydu.

Yanni Gentsch de dilekçesini verirken cinsel tacizin ciddiye alınması gerektiğine vurgu yaptı: “Cinsel taciz asla zararsız değildir, aksine şiddet sarmalının ilk adımıdır.”

Almanya’da tacizi ifşa eden kadına büyük destek yazısı ilk önce En Gazete üzerinde ortaya çıktı.