Yıllardır siber suçlular, anonim kalmak ve kötü niyetli internet altyapılarını sorgusuz sualsiz ayakta tutmak için 'kurşun geçirmez' (bulletproof) barındırma hizmetleri olarak bilinen gri pazar hizmetlerine bel bağlıyordu. Ancak küresel çapta güvenlik güçleri dijital tehditlere karşı mücadeleyi artırdıkça, bu barındırma sağlayıcılarından müşteri bilgilerini alma konusunda yeni stratejiler geliştirdi ve bu hizmetlerin arkasındaki kişileri hedef almaya başladı.
Bu gelişmeler, hem 'kurşun geçirmez' barındırma şirketlerini hem de siber suçluları alternatif yaklaşımlara itti. Web barındırma sağlayıcılarının kanun uygulayıcıların erişemeyeceği yollar bulmasına güvenmek yerine, bazı hizmet sağlayıcıları, müşteri IP adreslerini değiştirmek ve gizlemek amacıyla özel olarak tasarlanmış VPN ve proxy hizmetleri sunmaya yöneldi. Bu altyapılar ya bilerek trafik kaydı tutmuyor ya da farklı kaynaklardan gelen trafiği birbirine karıştırıyor. Uzmanlar, bu teknolojinin yeni olmadığını, ancak siber suçlular arasında son birkaç yıldaki proxy kullanımına geçişin önemli bir değişim olduğunu vurguluyor.
Araştırmacılar, bu durumun temel sorununun, bir düğümdeki (proxy sunucusu) iyi trafiği kötü trafikten teknik olarak ayırt edememek olduğunu belirtiyor. Bir proxy hizmetinin 'sihri' de tam olarak burada yatıyor; kimin kim olduğunu söyleyemiyorsunuz. Bu durum, internet özgürlüğü açısından olumlu olsa da, neler olup bittiğini analiz etmeyi ve kötü niyetli aktiviteyi belirlemeyi son derece zorlaştırıyor.
Proxy'ler tarafından gizlenen siber suç faaliyetleriyle başa çıkmanın temel zorluğu, bu hizmetlerin aynı zamanda (ve hatta belki de öncelikli olarak) meşru, zararsız trafiği kolaylaştırıyor olmaları. Özellikle suçlular ve onları müşteri olarak kaybetmek istemeyen şirketler, 'ev proxy'leri' olarak bilinen hizmetlere yöneliyor. Bu hizmetler, eski Android telefonlar veya düşük seviyeli dizüstü bilgisayarlar gibi tüketici cihazları üzerinde çalışabilen, merkezi olmayan bir dizi düğüm ağı kullanıyor. Bu düğümler, evlere ve ofislere atanmış gerçek, değişen IP adresleri sunuyor. Bu tür hizmetler anonimlik ve gizlilik sağlarken, aynı zamanda kötü niyetli trafiği de gizleyebilir.
Saldırganlar, kötü niyetli trafiğin güvenilir tüketici IP adreslerinden geliyormuş gibi görünmesini sağlayarak, kurumların tarayıcıları ve diğer tehdit algılama araçlarının şüpheli aktiviteyi fark etmesini çok daha zor hale getiriyor. Ayrıca, ev proxy'leri ve dağınık tüketici donanımları üzerinde çalışan diğer merkezi olmayan platformlar, hizmet sağlayıcının içgörü ve kontrolünü azaltarak kanun uygulayıcıların onlardan faydalı bilgi almasını zorlaştırıyor.
Dijital dolandırıcılık araştırmacıları, saldırganların son iki ila üç yıldır saldırılar için ev ağlarını kullanımlarını artırdığını doğruluyor. Bir hedefe saldıranların, hedef kurumun çalışanlarıyla aynı ev IP aralığından gelmesi durumunda takibin zorlaştığını belirtiyorlar.
Siber suçluların proxy kullanımı aslında yeni değil. Ancak proxy'lerin, saldırganların kendi içlerinde geliştirmek zorunda kaldığı bir şey olmaktan çıkıp, gri pazar hizmeti olarak yükselmesi önemli bir değişim. Uzmanlar, proxy sorununun nasıl iyileştirilebileceği konusunda net bir çözüm olmadığını ifade ediyorlar. Kanun uygulayıcıların, 'kurşun geçirmez' barındırma sağlayıcılarına yaptıkları gibi, bilinen kötü niyetli proxy sağlayıcılarını hedef alabileceğini, ancak genel olarak proxy'lerin herkes tarafından kullanılan internet hizmetleri olduğunu, dolayısıyla bir kötü niyetli hizmeti devre dışı bırakmanın daha büyük sorunu çözmediğini ekliyorlar.
