Aradığınız içerik sitemizde mevcut durumdadır
buradan sitemize dönebilirsiniz !
Forum Başlıklarına gitmek için tıklayınız
Phishing Saldırılarının Arkasındakiler :
Phishing Saldırılarının Arkasındakiler :
Phishing işlemi bilindiği üzere, banka veya benzer organizasyonlar tarafından gönderiliyor gibi gözüken, ve kurbanın, kullanıcı ismi, şifreleri, hesap idleri, ATM sifreleri veya kredi kartı bilgilerini elde etmek amacıyla hazırlanmış, bazen spam şeklinde de kullanılan fake maillerdir. Tipik olarak, phishing saldırılarında, fake maili alan kişi, sözkonusu maildeki sayfanın gerçek kuruluşun sayfası olduğunu sanar ve kişisel bilgilerini girer.
Bu yazıda phishing ile ilgili Alman ve İngiliz HoneyNet Projelerinden toplanmış pratik bilgilere yer vereceğiz. Yazıda bahsi geçen phishing tekniklerinin, tüm teknikleri içermediğini belirtmekte fayda var. Günümüzde phishing ile ilgili yepyeni taktikler geliştirilmekte.
GİRİŞ
Kurbanı, kişisel bilgisini veya şifresini vermeye zorlama metodu, hack dünyasında çok eski ve bilinen bir metottur. Bu metot çok fazla sosyal mühendislik içerer. 1990’larda, sistemlerin birbirine iyice bağlanması ve internetin popüler olmasıyla, hackerlar, işlemi otomatik hale getirip, toplu hedefleri amaçlamaya başlamışlardır. Bu tip aktifiveterle ilgili ilk sistematik araştırma, 1998 yılında, Gordon ve Chess tarafından, Almanya Munich’te yayınlanmıştır. Gordon ve Chess, AOL üzerindeki casus yazılımları araştırırken onun yerine, phishing saldırıları ile karşı karşıya gelmişlerdiler. Gordon ve Chess tarafından tanımlanan bir phishing mesajı, asağıda gösterilmiştir.
Sector 4G9E of our data base has lost all I/O functions. When your account logged onto our system, we were temporarily able to verify it as a registered user. Approximately 94 seconds ago, your verification was made void by loss of data in the Sector 4G9E. Now, due to AOL verification protocol, it is mandatory for us to re-verify you. Please click ’Respond’ and re-state your password. Failure to comply will result in immediate account deletion.
( Veritabanında bulunan 4G9E sektörü I/O fonksiyonlarını yitirmiştir. Hesabınız sistemimine giriş yaptığında, kayıtlı bir kullanıcı olup olmadığınızı tesbit edememiş durumdayız. 94 saniye öne, bahsi geçen sektörde oluşan veri kaybından ötürü, kayıt onay işleminiz AOL protokolüne göre geçersizdir. Tekrar onaylanma işlemi için, Respond Tuşuna basın ve şifrenizi tekrar girin. Aksi takdirde hesabınız silinecektir. )
Eski phishing saldırıları daha çok AOL hesaplarının ele geçirilmesini veya kredi kartı bilgilerinin elde edilme çabalarını amaçlıyordu. Genel olarak mesajların çoğu, bilgisayar kullanımı konusunda çok ileri olmayan kurbanları hedeflemekteydi. Yukarda verilmiş örnekte olduğu gibi, sözkonusu mesaj, donanım aygıtının bozukluğu veya sistemin çalışmaması ile ilgili bir konu içerdiği için, bu tip kullanıcılar, böyle bir mesaj karşısında, daha fazla karışıklığa meydan vermemek için, düşünmeden şifre ve kullanıcı isimlerini girmekteler.
Günümüzdeki, phishing saldırılarındaki stratejiler ise, daha çok toplu kullanıcıları ve bilinen markaların kullanılması yönünde gelişmiş vaziyette. Metodun çalışma prensibi yine aynı, kulllanıcının güvendiği şirkete acil bilgi vermesi isteniyor veya sözkonusu markanın bilinen sitesine yönlendirilen kurbanın acilen işlem yapması isteniyor. Bu tip phisking saldırılarında, seçilen şirket web sayfalarının çoğu, bankalar, kredi kartı şirketleri, veya E-Bay, PayPal gibi düzenli ödemeler talep eden web siteleri. Phishing e maillerinin birçok örneği, Anti-Phishing Working Group’un web sayfasından incelenebilir. Bu sayfa, kullanılan fake mailleri arşivlemekte.
Phishing Conceptine genel bir giriş yaptıktan sonra, bu saldırıda kullanılan teknik ve araçları incelememizde fayda var.
ARAÇLAR VE TAKTİKLER
Phishing saldırıları, daha çok kullanıcıyı çok şüphelendirmeyen basit araçlar ve teknikler kullanır. Basit bir phishing saldırısının yapısında, kullanıcının, başka bir server’a upload edilmiş bir HTML sayfasına girmesi sağlanır. Kullanıcının bilgilerinin ise, bir script ile elde edilmesi ile son bulur.
Daha ileri metodlarda, kullanıcılar belli sayfalara otomatik olarak yönlendirilseler de sonuç olarak metod aynı şekilde işler. Modern HTML düzenleyicilerle, bir web sitesinin aynısını, tamamen aynı görünümüyle oluşturabilmek ve bunu güvenlikle çok iyi korunmayan sayısı sonsuz web server’a upload etmek mümkündür. İstendikten sonra, Phishing Web siteleri için evdeki PC ler bile ana kaynak olabilir., hedeflerin illa bankalar, kuruluşlar veya akademik sistemler olması gerekli değildir.
Phisher, çok iyi bilinen bir markanın web sitesini, faker bir şekilde hazırladıktan sonra, iş, fake siteyi, kurbana gerçek site olarak yedirmeye kalır. Hacker, sözkonusu web sitenin DNS lerini ( DNS POISONING diye tabir edilen işlem ) değiştirmediği muddetçe veya network trafigiyle oynayamadığı muddetce, yapabileceği tek şey, hazırlamış olduğu fake in içeriğinin kurbanı ikna etmesi olacaktır. Hazırlanmış Fake Web Sitesi NE KADAR KALİTELİYSE, bu Web Sisi NE KADAR ÇOK INTERNET’e atılmıssa, kurbanların bu fake web sitesine girme olasıkları o kadar yüksektir.
Maalesef burada saldırıyı yapan kişinin şanssız olduğu noktalar mevcuttur. Banka veya tanınmış bir ürün web sitesini hedeflediğinde, sözkonusu fake web sitesinin reklamını yapacağı platformlar kısıtlı olup, ( bu bir chat odası olabilir, forumlar olabilir, ber web sitenin teknik bölümü olabilir ) bu siteye kimin giriş yapmakta olduğunu tahmin etmesi imkansızdır. Ayrıca, fake web sitesi yapılmış şirketin gerçek kullanıcılarına bu sitenin varlığının rapor edilmesi veya keşfedilmesi olasılığı genel olarak çok yüksek olur. Bunun sonucu ise genel olarak, gerekli önemlerin alınması, kullanıcıların uyarılması ve bu web sitesinin, sözkonusu fake web siteyi kapattırması ile son bulur. Bu sebeplerden dolayı, phisher’lar minimum riskle, maximum potansiyel kullanıcıya en kısa sürede erişmeyi amaçlamaktadırlar ve bu sorunla en çok Spam E mail kullanarak üstesinden gelirler.
Spamcilerin ellerinde, aktif olan milyonlarca mailleri barından veritabanları mevcuttur. Bu yüzden fisherlar, spammer’ların ellerindeki veri tabanlarınanı kullanarak minimum riskle maksimum kullanıcıya ulaşmayı hedeflerler. Spam e mailler genellikle, yabancı ülkelerdeki sunucular veya Zombie PC ( BOTNETLER )’lerin global ağları vasıtasıyla yollanır. Dolayısıyla e maili yollayan kullanıcın takip edilmesi bir hayli zordur.
Resmi bir web sitesinden gelmiş gibi bir e mail alan bilgisiz kullanıcılar, sözkonusu e maillerin gerçekliğini kontrol etmeden, özellikle aldıkları diğer ürünlerle ilgili Spam e mailleri es geçip, bu fake web sitelerine düşünmeden girmektedirler. Bunun yanısıra, iyi bir phisher kurbanı aldatmak için, daha gelişmiş teknikler kullanabilir. Şöyle ki :
Phisherlar, domain isimleri yerine, fake web sitelerine yönlendiren, ip adresleri kullanabilirler. Birçok kullanıcı bu IP adresinin kayıtlı olup olmadığını ya da sözkonusu şirkete ait bir ip adresi olup olmadığını kontrol etmez veya etmeyi de bilmez.
Phisherlar, fake web sitelerini hazırlarken, gerçek web sitesinin domain ismine çok yakın adresler kullanabilirler. Örnek olarak, bigbank.com yerine bgbank.com kullanırlar. Çoğu kullanıcı bunu farketmeyebilir.
Phiserlar, kullandıkları fake mailin içine, sözkonusu şirketin gerçek linklerini kendi fake linkleri ile karıştırıp verebilirler. Böylelikle kullanılan tarayacıların çoğu sözkonusu gerçek linklere giderken, az bir bölümü de fake web sitesine yönlendirilebilir. Eger, kullanıcının e mail client’ının auto rendering özelliği açıksa, e mail açılır açılmaz, bu sitelere yönlendirme yapılabilir.
Fake web sitesinin URL adresi, phisher tarafından encode edilebilir. Kullanılan encode metoduna göre değişiklik gösteren bu yolla, kullanıcılar gördükleri web linki ile linkin gittiği adresin farklı olduğunu anlayamazlar. Bu tekniklerden biri de IDN spoofingdir ve unicode URL adreslerini kullanır. Bu unicode adresler de, tarayacılar tarafından orijiinal web sayfası olarak algılanabilir.
Phisher’lar, kurbanın tarayıcısına sözkonusu mesajla ilgili bir açıktan faydalanarak exploit yapabilirler. Microsoft Internet Explorer’ın ve Outlook uygulamalarının bu şekilde binlerce açığı mevcuttur. ( Adress Bar Spoofing )
Başka bir metod, kullanıcıyı önce fake web sitesine sokar, password unu ve kullanıcı ismini kayıt altına log olarak alıp, sonra kullanıcıyı tekrar orijinal web sitesine yönlendirir. Böylece kurban, bir hata mesajı ile karşılaştığını sanıp, tekrar linke tıkladığında kendini, gerçek web sitesinde bulduğu için asla şüphelenmez.
Başka bir metod, phisher, web sitesini gerçek sitenin proxy si olarak ayarlayabilir. SSL kullanarak sifrelenmemis log credentiallarını kullanabilir. ( bazı geçerli SSL sertifikalarını bile spoof domainler için kullanabilir. )
Başka bir metod, kullanıcıyı web sitesine yönlendirip, Browser Helper Object gibi zararlı bir kodu, Internet Explorer a bulaştırabilir. Eğer hacker başarılı olursa, kurban, fake web sitesini ziyaret ederken, kendini gerçek siteyi ziyaret ettiğini sanar.
Yine benzeri şekilde, kurbanın PC si icindeki host dosyalarını yönetmek için çeşitli zararlı kodlar kullanılabilir. Bu kodlarlarla DNS isimleri ile IP adresleri arasındaki local mapping sistemleri idare edilebilir. Kullanıcının host dosyasının içine, faker bir DNS girişi eklenerek, onun gerçek sayfada olduğu izlenimi uyandırılabilir.
Bütün bu karışık metodlar, ve sonu gelmez yollarla, online bankacılık veya e ticaret sitelerini kullanan kullanıcı, hangi sayfaların gerçek hangi sayfaların sahte olduğunu güçlükle ayırt edebilir. Bu şekilde hacker tüm bilgileri elde edebilir.
HONEYNET / http://honeynet.bsdatwork.com/index.html
Hosting Sponsorumuz - Noktahost internet hizmetleri