Genç Hacker Grupları 1 Trilyon Dolarlık Şirketleri Hedef Alıyor

Siber Suç Örgütü “The Com” Genç Hackerları İşbaşına Çekiyor

ABD Federal Soruşturma Bürosu (FBI), “Scattered Spider” gibi genç hacker gruplarının 2022’den bu yana Fortune 500 şirketlerinin 1 trilyon dolarlık değerini hedef aldığı siber saldırılarla ilgili soruşturma yürütüyor. Bu grupların iş ilanları, ilk bakışta normal bir işe benzese de, aslında suçlu bir örgütün parçası olma teklifi içeriyor.

Gizli İş İlanları ve Rekrutman Yöntemleri

İlanlarda, özellikle kadın adaylara öncelik verildiği ve aksanı olmayanların başvurabileceği belirtiliyor. “Özellikle ABD’den olmanız gerekmiyor, net bir aksanınız yoksa lütfen başvurun,” şeklinde bir Telegram mesajı dikkat çekiyor. Tecrübesiz adayların bile kabul edildiği ve örgütün eğitim vereceği ifade ediliyor. Çalışanların haftanın beş günü 12:00 EST’den 18:00 EST’ye kadar çalışması ve başarılı her aramadan 300 dolar kripto para birimiyle ödeme alması bekleniyor.

“The Com” ve Bağlantılı Gruplar

Bu örgütün adı “The Com” (The Community – Topluluk) olarak geçiyor ve yaklaşık 1000 kişiden oluşuyor. Scattered Spider, ShinyHunters, Lapsus$, SLSH gibi farklı gruplarla işbirliği yapıyor. Siber güvenlik uzmanı Allison Nixon, bu grupların sürekli değiştiğini ve karmaşık bir “spaghetti soup” (makarna çorbası) gibi olduğunu belirtiyor.

Hedeflenen Şirketler ve Yöntemler

Bu gruplar, 2022’den bu yana ABD ve İngiltere’deki şirketlere sızarak veri ihlalleri, hırsızlık, hesap ele geçirme, fidye yazılımı ve şantaj gibi saldırılar düzenledi. Hedeflenen şirketler arasında Chick-fil-A, Instacart, Louis Vuitton, Morningstar, News Corporation, Nike, Tinder, T-Mobile ve Vodafone gibi tanınmış markalar yer alıyor. Silent Push adlı siber istihbarat şirketinin araştırmalarına ve mahkeme kayıtlarına göre, toplamda 120 şirket hedef alındı.

Genç Hackerların Avantajları ve Riskleri

The Com ve bu grupların en büyük tehlikesi, hem karmaşık olmaları hem de kendi üyelerinin gençliğinden faydalanmaları. Gençlerin teknik bilgisi, zekası ve İngilizce konuşma becerileri, saldırıların başarılı olmasında önemli rol oynuyor. Ancak, sonuçları görmezden gelmeleri ve kamuya açık platformlarda iletişim kurmaları, kolluk kuvvetlerinin dikkatini çekmelerine neden oluyor.

Yasal Sonuçlar ve Ebeveynlerin Rolü

2024’ten itibaren genç erkeklerin ve ergenlerin tutuklanması ve yargılanması, The Com’a dahil olmanın risklerini gözler önüne seriyor. Örneğin, Florida’da 20 yaşında bir genç, çok sayıda saldırıda rol aldığı için 10 yıl hapis cezasına çarptırıldı. Bazı gençlerin 13 veya 14 yaşında suç işlemeye başladığı belirtiliyor. Siber suçlarda ebeveynlerin genellikle FBI’nin kapısını çalana kadar çocuklarının durumuyla ilgili bir fikirleri olmuyor.

Sosyal Mühendislik ve Bilgi Toplama

Silent Push’un araştırmalarına göre, grup Mart 2025’ten beri siber fidye operasyonlarının temelini sosyal mühendislik olarak kullanıyor. Çalışan listelerini ve unvanlarını elde etmek için insan kaynakları yazılım platformlarını ele geçiriyor ve LinkedIn’de kapsamlı bir ön araştırma yapıyor. Ayrıca, şirket içi Slack mesajlaşma platformlarını okuyarak şirket jargonunu ve kısaltmalarını öğreniyor ve hedef alacak kişileri belirliyor.

A/B Testleri ve Siber Suçların Önlenmesi

Grup, hangi tür aramaların daha başarılı olduğunu belirlemek için A/B testleri yapıyor. Siber güvenlik uzmanı Zach Edwards, bu yapının, gençlerin suç örgütlerinde tehlikeli işleri üstlendiği klasik bir model olduğunu belirtiyor. Ebeveynlerin ve eğitimcilerin, gençlerin siber suçlara bulaşmasını önlemek için farkındalık yaratması ve uygun önlemleri alması gerekiyor.