İnsanların kimlik bilgilerinin, gizli kodlarının ve diğer değerli bilgilerinin peşinde olan siber suçlular, kullanıcıları kandırmak için bıkmadan usanmadan yeni yollar icat etmeye devam ediyor. Bu planlar ne kadar karmaşık olursa olsun, normalde hepsinin gardını düşüren kullanıcıları hedef aldığını belirtmekte fayda var. Kimlik bilgilerinizi talep eden internet sitesinin adresi gibi sadece birkaç ayrıntıya çok dikkat ederseniz, bir kimlik avı kurbanı olmaktan kurtulursunuz.
En azından çoğu zaman böyledir. Ancak bugün size, URL’nin kurban için doğru ve güvenli göründüğü fakat farklı şekilde çalışan bir saldırıdan bahsetmek istiyoruz. Birlikte inceleyelim.
Kimlik avı sitelerinin adreslerinde neden hatalar bulunur?
Adres çubuğunda gördüğünüz her alan adresi benzersizdir ve her zaman adres sahibine atanır. Birisi bir internet sitesi oluşturmak isterse, öncelikle alan adı kaydeden özel bir işletmeyle iletişime geçmesi gerekir. İşletme, adresin önceden alınmadığından emin olmak için uluslararası bir veri tabanını kontrol eder. Adres henüz alınmamışsa, başvuran kişiye atanır.
Bu durum, gerçek bir internet sitesiyle aynı adrese sahip sahte bir internet sitesini kaydetmenin imkansız olduğu anlamına gelir. Ancak, benzer bir alan adı seçerek başka birininkine çok benzeyen bir alan adı oluşturmak da mümkündür: örneğin, Kanada (.ca) yerine Kolombiya (.co). Ancak adresi incelerseniz, bunu kolayca fark edersiniz.
Bu nedenle, kötü niyetli kullanıcılar alan adlarını kaydetmek yerine bir sayfada güvenilir bir sitenin adresinin göründüğü bir tarayıcı penceresi oluşturma simulate fikrini ortaya attı.
Tarayıcıdaki tarayıcı saldırısı nedir?
“Tarayıcıdaki tarayıcı” saldırısı olarak da bilinen bu saldırı türünü, bir bilgi güvenliği araştırmacısı ve handle mr.d0x adıyla bilinen bir sızma testi tanımladı. İnternet sitesi oluşturan modern araçların (HTML, CSS ve JavaScript araçları) bir hayli gelişmiş olduğunu, herhangi bir renk veya şekildeki alanlardan, arayüzün hareketli bileşenlerini taklit eden animasyona kadar, sayfadaki hemen hemen her şeyi gösterebildiklerini fark etti. Bu durum, bir kimlik avcısının bunları kendi internet sitesinde farklı bir hizmet ile tam teşekküllü bir sayfanın taklidini yapmak için kullanabileceği anlamına geliyor.
Deney için mr.d0x, açılır oturum açma pencerelerini inceledi. Bunlarla muhtemelen karşılaşmışsınızdır: Bir internet sitesinde hesap oluşturmak yerine “Google ile Giriş Yap” veya “Apple ile Devam Et” gibi bir seçeneği seçtiğinizde ortaya çıkarlar. Bu seçenek kullanışlıdır çünkü yeni bir parola bulup hatırlamanıza veya onay bağlantılarını veya kodlarını beklemenize gerek kalmaz. Ayrıca, bu kayıt yöntemi oldukça güvenlidir. Şununla giriş yap‘a tıkladığınızda, kimlik bilgilerinizi girdiğiniz ilgili hizmetin sayfasını açar. Bu seçenekle giriş yaptığınız internet sitesi asla parola talebinde bulunmaz, geçici bir parola bile olsa.
Tarayıcıda tarayıcı saldırısına gelelim. Şu şekilde çalışır: Siber suçlular, onaylı bir internet sitesinin kopyasını oluşturmaya yönelik klasik kimlik avı tekniğini kullanarak bir internet sitesi kaydeder. Bunun yerine, alışveriş fırsatları, iş fırsatları veya bir kullanıcının yorum yapmak isteyebileceği haberler gibi kurbanları cezbedebilecek çekici bir adres ve içerik de seçebilirler. Suçlular, her şeyi, ziyaretçilerin bir şey satın almak, yorum yapmak veya ilgilerini çeken diğer özelliklere erişmek istediklerinde oturum açmalarını gerektirecek şekilde ayarlar. Ardından, kötü niyetli kişiler, parolaları toplamak istedikleri gerçek hizmetler aracılığıyla oturum açmaya izin verdiği düşünülen butonlar ekler.
Kurbanlar böyle bir butona tıklarlarsa, hep karşılaştıkları Microsoft, Google veya Apple istemi gibi, gerçek adres, logo ve giriş alanlarını – kısacası, görmeye alışık oldukları arayüzün tüm bileşenlerini – görürler. Kullanıcılar fareyi “Giriş yap” butonunun ve “Parolamı unuttum” bağlantısının üzerine getirdiğinde, pencere doğru adresleri bile gösterebilir.
Buradaki dikkat çeken nokta ise, bunun ayrı bir pencere olmaması. Bu düzenbazlık harikası, kullanıcıyı kandırmaya çalışan sayfada görünecek şekilde yazılmıştır. Kimlik bilgilerinizi bu pencereye girerseniz, bilgileriniz Microsoft, Google veya Apple’a gitmez – doğrudan siber suçlunun sunucusuna gider. Burada, bunun nasıl görünebileceğini inceleyebilirsiniz.
Giriş penceresinin sahte olup olmadığını nasıl anlarsınız?
Açıkça sahte görünen sahte oturum açma penceresi hakkında görünürde hiçbir şey olmamasına rağmen, sahte olduğunu tanımlamanın yolları var.
Gerçek oturum açma pencereleri, tarayıcı pencereleridir ve buna uygun hareket ederler. Bu pencereleri büyütebilir, küçültebilir ve ekranda herhangi bir yere taşıyabilirsiniz. Sahte açılır pencereler, bulundukları sayfaya bağlıdır. Ayrıca serbestçe hareket edebilir, butonları ve resimleri kapatabilirler. Ancak yalnızca kendi sınırlarının içinde, yani tarayıcı penceresinin içinde. Pencerenin dışına çıkamazlar. Aradaki bu fark, sahte pencereleri tespit etmenize yardımcı olacak.
Ekranınızdaki giriş formunun sahte olup olmadığını kontrol etmek için aşağıdakileri deneyin:
- Formun açıldığı tarayıcı penceresini, simge durumuna küçültün. Ayrı bir pencerede olması gereken giriş formu da kaybolursa, sahtedir. Gerçek bir pencere, ekranda kalmalıdır.
- Oturum açma penceresini, ana pencere kenarının ötesine taşımayı deneyin. Gerçek bir pencere kolaylıkla taşınır; sahte olan takılıp kalır.
Oturum açma formunun bulunduğu pencere garip davranıyorsa, örneğin diğer pencerede küçülür, adres çubuğunun altında durur veya kaybolursa, bu sahte olduğu anlamına gelir. Bu durumda, kimlik bilgilerinizi girmemelisiniz.
Kendimi korumanın daha kolay bir yolu var mı?
Saldırı, ilk bakışta göründüğü kadar tehlikeli değil. İnsanların tarayıcıda tarayıcı saldırısını tespit etmesi oldukça zor olsa da, bilgisayarınız size yardımcı olabilir. Tehlikeli bir sitede hangi komut dosyası yazılırsa yazılsın, gerçek adres aynı kalır. Bir güvenlik çözümü için de önemli olan budur.
- Tüm hesaplarınız için bir parola yöneticisi kullandığınızdan emin olun. Parola yöneticisi, sayfanın gerçek adresini doğrular. Ayrıca ne kadar gerçek görünürse görünsün, kimlik bilgilerinizi asla bilinmeyen bir sitenin alanlarına girmez.
- Kimlik avına karşı koruma modülüne sahip sağlam bir güvenlik çözümü Bu çözüm de sizin için URL’yi doğrular ve sayfa tehlikeliyse sizi hemen uyarır.
Ve elbette, iki faktörlü kimlik doğrulama kullanmayı unutmayın. Tüm sosyal ağlar da dahil bunu yapma seçeneğiniz olan her yerde, iki faktörlü kimlik doğrulamayı etkinleştirin. Bu durumda saldırganlar kimlik bilgilerinizi çalsalar bile, onlara değil size gönderilecek olan tek seferlik kod olmadan hesabınıza erişemezler.
Çok değerli hesaplarınız için daha güçlü bir koruma istiyorsanız, U2F fiziksel tokenları kullanmanızı öneririz (en iyi bilinen örnek YubiKey). Bu sistem sadece bir internet sitesinin adresini değil, aynı zamanda sitenin şifreleme kodunu bilip bilmediğini de kontrol eder. Sonuç olarak, orijinal site ve ikizi aynı görünse bile böyle bir kimlik doğrulama sisteminden geçmek imkansız.