Aşamalı kimlik avı: PWA’lar parola çalmak için nasıl kullanılabilir?

Yeni bir kimlik avı tekniği, parolaları çalmak amacıyla ikna edici web adreslerine sahip tarayıcı pencerelerini taklit etmek için aşamalı web uygulamalarını (PWA’lar) kullanıyor.

Aşamalı web uygulamaları (PWA) ile kimlik avı nasıl çalışır?

mr.d0x olarak bilinen bir güvenlik araştırmacısı, kimlik avı ve potansiyel olarak diğer kötü niyetli faaliyetler için kullanılabilecek yeni bir tekniği ayrıntılarıyla açıklayan bir yazı yayınladı. Bu teknik, aşamalı web uygulamaları (PWA) olarak adlandırılan uygulamalardan yararlanıyor. Bu yazıda, bu uygulamaların ne olduğunu, neden tehlikeli olabileceklerini, saldırganların bunları kendi amaçları için nasıl kullanabileceklerini ve bu tehdide karşı kendinizi nasıl koruyacağınızı tartışıyoruz.

Aşamalı web uygulamaları nelerdir?

PWA’lar web teknolojileri kullanılarak geliştirilen uygulamalardır. Esasen, işletim sisteminizde yüklü yerel uygulamalar gibi görünen ve çalışan web siteleridir.

Genel fikir, Electron çerçevesi üzerine inşa edilen uygulamalara benzer, ancak önemli bir fark vardır. Electron uygulamaları bir “sandviç” gibidir, bir web sitesi (malzeme) ve bu siteyi çalıştırmaya adanmış bir tarayıcıdan (ekmek) oluşur; yani her Electron uygulamasının yerleşik bir tarayıcısı vardır. Buna karşılık, PWA’lar aynı web sitesini görüntülemek için kullanıcının sisteminde zaten yüklü olan tarayıcının motorunu kullanır, aynı ekmeksiz bir sandviç gibi.

Tüm modern tarayıcılar PWA’ları destekler; Google Chrome ve Chromium tabanlı tarayıcılar (Windows ile birlikte gelen Microsoft Edge tarayıcısı gibi) en kapsamlı uygulamaları sunar.

Bir PWA yüklemek (ilgili web sitesi destekliyorsa) çok basittir. Tarayıcının adres çubuğunda göze çarpmayan bir düğmeye tıklamanız ve kurulumu onaylamanız yeterlidir. Aşağıdaki Google Drive PWA örneğinden nasıl yapıldığını görebilirsiniz:

Bir PWA nasıl kurulur

PWA’ları yüklemek için sadece iki tıklam yeterlidir

Bundan sonra PWA, sisteminizde neredeyse anında görünür ve bir simge, kendine ait bir pencere gibi özelliklerle gerçek bir uygulamaya benzer. PWA penceresinden bunun aslında web sitesi görüntüleyen bir tarayıcı olduğunu söylemek kolay değildir.

Aşamalı bir web uygulaması (PWA) nasıl görünür?

Google Drive PWA tıpkı gerçek bir yerel uygulamaya benzer

PWA tabanlı kimlik avı

Bir PWA ile aynı web sitesinin tarayıcıda açılması arasındaki önemli bir fark, yukarıdaki ekran görüntüsünde açıkça görülmektedir: PWA penceresinde adres çubuğu bulunmamaktadır. Bu özellik, bu yazıda ele alınan kimlik avı yönteminin temelini oluşturmaktadır.

Pencerede adres çubuğu olmadığından, saldırganlar kimlik avı hedeflerine hizmet eden bir URL görüntüleyerek kendi adreslerini kolayca oluşturabilirler. Mesela:

Login.microsoft.com'u taklit eden PWA

PWA ile herhangi bir siteyi (örneğin, Microsoft hesabı giriş sayfasını) ikna edici bir şekilde taklit edebilirsiniz. Kaynak

Saldırganlar PWA’ya tanıdık bir simge ekleyerek aldatmacayı daha da geliştirebilirler.

Geriye kalan tek engel, kurbanı PWA’yı yüklemeye ikna etmektir. Bu, ikna edici bir dil ve akıllıca tasarlanmış arayüz ögeleriyle kolayca başarılabilir.

PWA yükleme iletişim kutusu ekrana geldiğinde, görüntülenen uygulama adının saldırganın görmenizi istediği herhangi bir şey olabileceğine dikkat etmek önemlidir. Gerçek kaynağı, sadece ikinci satırda yer alan ve daha az dikkat çeken web sitesi adresi ortaya çıkarır:

Kötü amaçlı PWA yükleme iletişim kutusu

Kötü amaçlı PWA yükleme iletişim kutusu, saldırganın hedeflerine hizmet eden bir ad görüntüler. Kaynak

PWA kullanarak parola çalma süreci genel olarak şu şekilde gerçekleşir:

  • Kurban kötü amaçlı bir web sitesi açar.
  • Web sitesi kurbanı PWA’yı yüklemeye ikna eder.
  • Kurulum neredeyse anında gerçekleşir ve PWA penceresi açılır.
  • PWA penceresinde, meşru görünümlü bir URL gösteren sahte adres çubuğuna sahip bir kimlik avı sayfası açılır.
  • Kurban, giriş bilgilerini forma girerek doğrudan saldırganlara teslim eder.
PWA kullanılarak parola hırsızlığının gösterilmesi

Kötü niyetli PWA kullanan kimlik avı nasıl görünüyor? Kaynak

Elbette, kurbanı yerel bir uygulama yüklemeye ikna etmek de aynı derecede basittir, ancak burada birkaç nüans var. PWA’lar çok daha hızlı yüklenir ve geleneksel uygulama yüklemelerine kıyasla çok daha az kullanıcı etkileşimi gerektirir.

Ek olarak, PWA’ları geliştirmek daha basittir, çünkü bunlar aslında küçük geliştirmelere sahip kimlik avı web siteleridir. Bu faktörler kötü niyetli PWA’ları siber suçlular için güçlü bir araç haline getirmektedir.

Kendinizi PWA kimlik avından nasıl korursunuz?

Bu arada aynı mr.d0x, birkaç yıl önce hakkında bir yazı yayınladığımız tarayıcı içinde tarayıcı kimlik avı tekniğini geliştirmesiyle tanınmıştı. O zamandan beri, saldırganların bu tekniği yalnızca hesap parolalarını çalmak için değil, aynı zamanda fidye yazılımı yaymak için de kullandıkları bildirilmiştir.

Bu durum göz önüne alındığında, siber suçluların kötü niyetli PWA’ları benimsemesi ve kimlik avının ötesinde bu tekniği kullanmak için yeni yollar geliştirmesi kuvvetle muhtemeldir.

Bu tehdide karşı korunmak için ne yapabilirsiniz?

  • PWA’larla karşılaştığınızda dikkatli olun ve bunları şüpheli web sitelerinden yüklemekten kaçının.
  • Sisteminizde yüklü olan PWA’ların listesini periyodik olarak gözden geçirin. Örneğin, Google Chrome’da yüklü PWA’ları görüntülemek ve yönetmek için adres çubuğuna chrome://apps yazın.
Google Chrome'da yüklü PWA'lar nasıl görüntülenir ve kaldırılır?

Google Chrome’da yüklü PWA’ları görüntülemek veya kaldırmak için adres çubuğuna chrome://apps yazın

İpuçları
Başlıklarımızı gelen kutunuza almak için kaydolun
  • Diğer tüm ülkeler için