Ana içeriğe atlayın

Oturum ele geçirme nedir ve nasıl gerçekleşir?

Dizüstü bilgisayarda çalışan bir kadın

Web sitelerine veya portallara giriş yapmak çoğu insan için internet kullanımının günlük bir parçasıdır. Bir web sitesine her giriş yaptığınızda bir oturum oluşturulur. Oturum, kullanıcı iletişimi sonlandırıncaya kadar aktif kalan, iki sistem arasındaki iletişimdir. İnternet üzerinden iletişimin gerçekleşmesi için bir oturumun başlatılması gerekir ancak bu, oturumun ele geçirilmesi riskini de beraberinde getirir. Oturum ele geçirme, nasıl çalıştığı ve kendinizi nasıl koruyacağınız hakkında daha fazla bilgi edinmek için okumaya devam edin.

Oturum ele geçirme nedir?

Bazen çerez ele geçirme, çerez çapraz ele geçirme veya TCP oturum ele geçirme olarak da adlandırılan oturum ele geçirme, bir saldırgan internet oturumunuzu ele geçirdiğinde meydana gelir. Bu, çevrimiçi alışveriş yaparken, fatura öderken veya banka bakiyenizi kontrol ederken meydana gelebilir. Oturum korsanları genellikle tarayıcıyı veya web uygulamalarını hedefler ve amaçları, kişisel bilgilerinize ve parolalarınıza erişim sağlamak için gezinme oturumunuzun kontrolünü ele geçirmektir.

Oturum korsanları, web sitelerini siz olduklarını düşündürterek kandırırlar. Bu tür saldırılar uygulama güvenliği açısından ciddi sonuçlar doğurabilir çünkü saldırganların meşru kullanıcı kılığına girerek korunan hesaplara (ve içerdikleri verilere) yetkisiz erişim elde etmesine olanak tanır.

Oturum nedir?

Bir kullanıcı bir HTTP bağlantısı aracılığıyla bir web sitesine veya uygulamaya her eriştiğinde, hizmet, iletişim hattını açmadan ve erişim sağlamadan önce kullanıcının kimliğini doğrular (örneğin, bir kullanıcı adı ve parola aracılığıyla). Ancak HTTP bağlantıları kendi başlarına “durumsuzdur”; bu, kullanıcının gerçekleştirdiği her eylemin bağımsız olarak görüntülendiği anlamına gelir. Sonuç olarak, yalnızca HTTP’ye güvenseydik kullanıcıların gerçekleştirdikleri her eylem veya görüntüledikleri sayfa için kendilerini yeniden doğrulamaları gerekirdi.

Oturumlar bu sorunun üstesinden gelir. Kullanıcı giriş yaptığında web sitesini veya uygulamayı barındıran sunucuda bir oturum oluşturulur ve ardından ilk kimlik doğrulama için referans görevi görür. Kullanıcılar, sunucuda bir oturum açık kaldığı sürece kimlikleri doğrulanmış şekilde kalabilir ve hizmetten çıkış yaparak oturumu sonlandırabilirler. Bazı hizmetler belirli bir süre işlem yapılmadığında oturumu sonlandırır.

Birçok hizmet bu oturumları, geçici oturum çerezlerinde, URL’lerde veya web sitesindeki gizli alanlarda saklanan bir sayı ve harf dizisi olan bir oturum kimliği vererek oluşturur. Her durumda olmasa da bazı durumlarda bu oturum kimlikleri şifrelenir. Oturum kimlikleri çoğunlukla kullanıcının IP adresi gibi öngörülebilir bilgilere dayanır.

Oturum ele geçirme nasıl gerçekleşir?

Oturum ele geçirme işleminin nasıl gerçekleştiğine dair varsayımsal bir örnek verelim:

1. Adım: Bir internet kullanıcısı normal şekilde bir hesaba giriş yapar. 

Bu, kullanıcının çevrimiçi bankası veya kredi kartı hesabı, çevrimiçi bir mağaza, bir uygulama veya bir portal olabilir. Uygulama veya web sitesi, kullanıcının tarayıcısına geçici bir oturum çerezi yükler. Bu çerez, sitenin kullanıcının kimliğini doğrulamasına ve oturum açmasına ve oturum sırasında faaliyetlerinin izlenmesine olanak tanıyan, kullanıcıyla ilgili bilgiler içerir. Oturum çerezi, kullanıcı oturumu kapatıncaya kadar (veya belirli bir süre işlem yapılmadığında oturum otomatik olarak kapatılıncaya kadar) tarayıcıda kalır.

2. Adım: Bir suçlu, internet kullanıcısının geçerli oturumuna erişim kazanır. 

Siber suçlular oturumları çalmak için çeşitli yöntemler kullanır. Çoğu zaman, oturum ele geçirme, kullanıcının oturum çerezinin çalınmasını, çerez içindeki oturum kimliğinin bulunmasını ve bu bilginin oturumu devralmak için kullanılmasını içerir. Oturum kimliği aynı zamanda oturum anahtarı olarak da bilinir. Suçlu oturum kimliğini aldığında tespit edilmeden oturumu devralabilir.

3. Adım: Oturum korsanı, oturumu çalmanın karşılığını alır.

Orijinal internet kullanıcısı çevrimiçi yolculuğuna devam ettikten sonra, korsan devam eden oturumu çeşitli zararlı eylemler gerçekleştirmek için kullanabilir. Bu, kullanıcının banka hesabından para çalmayı, ürün satın almayı, kimlik hırsızlığı yapmak için kişisel verileri ele geçirmeyi veya önemli verileri şifreleyip karşılığında fidye talep etmeyi içerebilir.

Oturum ele geçirme saldırıları genellikle çok sayıda aktif iletişim oturumuna sahip meşgul ağlara karşı gerçekleştirilir. Bu, saldırgana yararlanabileceği çok sayıda oturum ve bir koruma önlemi sağlar çünkü sunucudaki aktif oturumların sayısı, bunların tespit edilme olasılığını azaltır.

Oturum ele geçirme türleri

Siteler arası komut dosyası oluşturma
Siteler arası komut dosyası oluşturma saldırısı, siber suçluların bir web sunucusu veya uygulamadaki güvenliğin zayıf noktalarından yararlanmasını içerir. Siteler arası komut dosyası oluşturma, bir saldırganın web sayfalarına komut dosyaları sızdırmasını içerir. Bunlar, web tarayıcınızın oturum anahtarınızı saldırgana göstermesine ve böylece saldırganın oturumu ele geçirmesine neden olur.

Oturum çapraz ele geçirme
Bu tür saldırılarda, suçlunun kullanıcının ağ trafiğine erişmesi gerekir. Kullanıcı güvenli olmayan Wi-Fi kullandığında veya ortadaki adam saldırılarına katılarak erişim kazanabilirler. Oturum çapraz ele geçirmede, bir suçlu, oturum aramak amacıyla bir internet kullanıcısının ağ trafiğini izlemek için “paket yoklamayı” kullanır. Bu, saldırganın bir oturum çerezi almasına ve bunu oturumu devralmak için kullanmasına olanak tanır.

Oturum sabitleme
Bir oturum sabitleme saldırısında, suçlu bir oturum kimliği oluşturur ve kullanıcıyı bununla bir oturum başlatması için kandırır. Bu, kullanıcıya, saldırganın erişmek istediği web sitesine ait oturum açma formunun bağlantısını içeren bir e-posta gönderilerek gerçekleştirilebilir. Kullanıcı sahte oturum kimliğiyle giriş yaparak saldırganın içeriye adım atmasını sağlar.

Tarayıcıdaki adam saldırısı
Bu, ortadaki adam saldırısına benzer ancak saldırganın önce kurbanın bilgisayarına bir Truva atı bulaştırması gerekir. Kullanıcı sisteme zararlı yazılım yükleme konusunda kandırıldığında, zararlı yazılım kullanıcının hedeflenen siteyi ziyaret etmesini bekler. Tarayıcıdaki adam zararlı yazılımı, işlem bilgilerini görünmez bir şekilde değiştirebilir ve ayrıca kullanıcının haberi olmadan ek işlemler de gerçekleştirebilir. İstekler, kullanıcının bilgisayarından başlatıldığı için web hizmetinin isteklerin sahte olduğunu tespit etmesi çok zordur.

Öngörülebilir oturum belirteci kimliği
Birçok web sunucusu, oturum kimliklerini oluşturmak için özel bir algoritma veya önceden tanımlanmış bir model kullanır. Bir oturum belirteci, öngörülebilirlik özelliği arttıkça zayıflar. Saldırganlar birden fazla kimlik yakalayıp modeli analiz edebilirse geçerli bir oturum kimliğini tahmin edebilirler. (Bu yaklaşım kaba kuvvet saldırısına benzetilebilir.)

Çevrimiçi bankacılık sitesine giriş yapan bir kadın

Oturum ele geçirmenin oturum sahteciliğinden farkı nedir?

Oturum ele geçirme ve oturum sahteciliği benzerdir ancak aynı saldırı türü değildir. İkisi arasındaki temel fark, oturum ele geçirme yönteminin, meşru bir kullanıcı zaten bir web oturumunda oturum açtığında meydana gelmesidir. Bunun aksine, oturum sahteciliği, saldırganların yeni bir web oturumu başlatmak için bir kullanıcının kimliğine bürünmesiyle ortaya çıkar (bu, kullanıcının o sırada oturum açması gerekmediği anlamına gelir).

Bu fark, meşru kullanıcıların saldırıları farklı şekilde deneyimlediği anlamına gelir. Oturum ele geçirme yönteminde, bir saldırganın oturumu kesintiye uğratması, web sitesinin veya uygulamanın olağan dışı davranmasına ve hatta kullanıcının cihazının çökmesine neden olabilir. Ancak oturum sahteciliği saldırısı sırasında kullanıcı aktif olarak oturum açmadığı için bir sonraki oturumunda herhangi bir kesinti yaşamayacaktır.

Oturum ele geçirme saldırılarının etkisi

Oturumun ele geçirilmesini önlemek için gerekli adımları atmamak birçok riski beraberinde getirir. Bu tehlikelerden bazıları şunlardır:

Kimlik hırsızlığı 

Saldırganlar, hesaplarda kayıtlı hassas kişisel bilgilere yetkisiz erişim sağlayarak, saldırıya uğrayan web sitesi veya uygulamanın sınırlarının ötesindeki bir kullanıcının kimliğini çalabilir.

Finansal hırsızlık

Saldırganlar, oturum ele geçirme yoluyla kullanıcı adına finansal işlemler gerçekleştirme fırsatı kazanabilir. Bu, bir banka hesabından para aktarmayı veya kayıtlı ödeme bilgileriyle alışveriş yapmayı içerebilir.

Kötü amaçlı yazılım saldırısı

Bir bilgisayar korsanı bir kullanıcının oturum kimliğini çalabilirse kullanıcının bilgisayarına zararlı yazılım da bulaştırabilir. Bu, hedefin bilgisayarının kontrolünü ele geçirmelerine ve verilerini çalmalarına olanak tanıyabilir.

Hizmet Reddi (DoS) saldırıları

Bir kullanıcının oturumunun kontrolünü ele geçiren bir bilgisayar korsanı, kullanıcının bağlı olduğu web sitesine veya sunucuya bir DoS saldırısı başlatabilir, hizmeti kesintiye uğratabilir veya sitenin çökmesine neden olabilir.

SSO aracılığıyla ek sistemlere erişim

SSO “tek oturum açma” anlamına gelir. Saldırganlar, SSO’nun etkinleştirilmesi durumunda ek sistemlere de yetkisiz erişim elde edebilir ve bu da oturum ele geçirme saldırısının potansiyel riskini daha da artırır. Bu risk, çalışanlar için SSO’yu etkinleştiren çoğu kuruluş için özellikle önemlidir. Sonuçta bu, finansal bilgileri veya müşteri bilgilerini barındıranlar gibi daha güçlü kimlik doğrulama protokollerine ve daha az tahmin edilebilir oturum çerezlerine sahip yüksek düzeyde korunan sistemlerin bile yalnızca tüm sistemdeki en zayıf halka kadar korunabileceği anlamına gelir.

Oturum ele geçirme saldırısı örnekleri

Zoom bombing
Kovid-19 salgını sırasında tüm dünya Zoom gibi video konferans uygulamalarına yöneldi. Bu uygulamalar oturum korsanlarının popüler hedefi hâline geldi ve hatta bu saldırılar “zoom bombing” olarak adlandırılmaya başlandı. Oturum korsanlarının özel video oturumlarına katıldığı, bazı durumlarda küfür, nefret içerikli dil kullandığı ve pornografik görüntüler paylaştığı yönünde haberler yapıldı. Buna yanıt olarak Zoom, riski en aza indirmek için daha fazla gizlilik koruması başlattı.

Slack
2019’da bir yazılım hatası bulma platformundaki bir araştırmacı, Slack’te, saldırganların kullanıcıları sahte oturum yönlendirmelerine zorlayarak oturum çerezlerini çalmalarına olanak tanıyan bir güvenlik açığı tespit etti. Bu açık, saldırganların Slack içinde paylaşılan tüm verilere erişmesine olanak sağlıyordu (bu, birçok kuruluş için büyük önem taşıyabilir). Slack hızlı bir şekilde müdahale ederek güvenlik açığını araştırmacının tespit etmesinden sonra 24 saat içinde yamaladı.

GitLab

2017 yılında bir güvenlik araştırmacısı GitLab’de kullanıcıların oturum belirteçlerinin doğrudan URL’de mevcut olduğu bir güvenlik açığı tespit etti. Kapsamlı araştırma, GitLab’in hiçbir zaman süresi dolmayan, kalıcı oturum belirteçlerini de kullandığını ortaya çıkardı. Bu, bir saldırganın bir oturum belirtecini ele geçirdiğinde, onu son kullanma tarihi geçme endişesi olmadan kullanabileceği anlamına geliyordu. Açık maruziyet ve kalıcı belirteçlerin bu birleşimi, kullanıcıları kaba kuvvet saldırısı üzerinden oturum ele geçirme yoluyla çeşitli ciddi saldırılara karşı savunmasız bırakarak ciddi bir risk teşkil ediyordu. GitLab, bu belirteçleri kullanma ve saklama biçimini değiştirerek güvenlik açığını giderdi.

Oturum ele geçirmenin önlenmesi

Çevrimiçi güvenliğinizi artırmak için oturum ele geçirmeyi önleme ipuçlarını uygulayın:

Herkese açık Wi-Fi ağlarını kullanmaktan kaçının
Bankacılık, çevrimiçi alışveriş gibi önemli işlemleri gerçekleştirmekten veya e-posta veya sosyal medya hesaplarınızda herkese açık Wi-Fi üzerinden oturum açmaktan kaçının. Yakınlarda, oturum çerezlerini ve diğer bilgileri ele geçirmeye çalışmak için paket yoklamayı kullanan bir siber suçlu olabilir.

VPN kullanın
Herkese açık Wi-Fi ağı kullanmanız gerekiyorsa güvenliğinizi en üst düzeye çıkarmak ve oturum korsanlarını oturumlarınızın dışında tutmak için Sanal Özel Ağ (VPN) kullanın. VPN, IP adresinizi maskeler ve tüm çevrimiçi etkinliğinizin içinden geçtiği özel bir tünel oluşturarak çevrimiçi etkinliklerinizi gizli tutar. VPN, gönderdiğiniz ve aldığınız verileri şifreler.

Kimlik avı ve diğer çevrimiçi dolandırıcılıklara karşı dikkatli olun
Meşru bir göndericiden geldiğini bilmediğiniz sürece e-postadaki herhangi bir bağlantıya tıklamaktan kaçının. Oturum korsanları size tıklayabileceğiniz bir bağlantı içeren bir e-posta gönderebilir. Bağlantı, cihazınıza zararlı yazılım yükleyebilir veya sizi, saldırgan tarafından hazırlanan oturum kimliğini kullanarak bir sitede oturum açacak bir oturum açma sayfasına yönlendirebilir.

Site güvenliğinin farkında olun
Saygın bankalar, e-posta sağlayıcıları, çevrimiçi perakendeciler ve sosyal medya siteleri, oturumların ele geçirilmesini önlemek için koruma önlemlerine sahiptir. URL’si HTTPS ile başlayan web sitelerine dikkat edin; S, “güvenli” anlamına gelir. Şüpheli çevrimiçi mağazaları veya sağlam güvenliğe sahip olmayan diğer sağlayıcıları kullanmak, sizi oturum ele geçirme saldırılarına karşı savunmasız bırakabilir.

Anti virüs yazılımı kullanın
Virüsleri kolayca tespit edebilen ve sizi her türlü zararlı yazılımdan (saldırganların oturumu ele geçirmek için kullandığı zararlı yazılımlar dâhil) koruyabilen saygın bir anti virüs yazılımı yükleyin. Tüm cihazlarınızda otomatik güncellemeler ayarlayarak sistemlerinizi güncel tutun.

İlgili ürünler:

Daha fazla bilgi için:

Oturum ele geçirme nedir ve nasıl gerçekleşir?

Oturum ele geçirme, bir saldırganın internet oturumunuzu ele geçirerek verilere veya kaynaklara yetkisiz erişim elde etmesini içerir. Daha fazla bilgi.
Kaspersky logo

İlgili makaleler