Kategoriler
Siber Güvenlik

Phishing Nedir?

Phishing Nedir?

Siber dünyanın en köklü ve sık kullanılan saldırı yöntemlerinden birisi olan phishing kavramı, İngilizce’de balık avlamak anlamına gelen “fishing” kelimesinden esinlenerek oluşturulmuştur. Bu saldırıda saldırgan, güvenilir bir kuruluşun adını kullanarak karşı tarafa ait parola, banka hesabı, kredi kartı bilgileri veya herhangi bir sistemdeki oturumu gibi kritik bilgileri elde etmeye çalışır. Sosyal mühendislik kapsamında değerlendirilir ve farklı siber saldırılarla beraber kullanılabilir. Genellikle saldırgan, toplumca güvenilir olduğu kabul görmüş kuruluşlardan geldiği imajı verdiği bir mail gönderir. Mail içeriğinde genellikle parola yenileme linki veya giriş yap butonu yer alır. Ancak bu linkler saldırganın kendi sayfasına yönlendirilmiştir. Bu sayede karşı taraf giriş bilgilerini girdiğinde, hassas veriler saldırgana ulaşır ve genellikle sahte sayfanın bulunduğu URL, giriş yapıldıktan sonra orijinaline yönlendirme yapar.

Spear Phishing: Spesifik bir hedefi olan phishing saldırılarıdır. Bu hedef için öncesinde kapsamlı bir bilgi toplama çalışması yapılır ve ondan sonrasında saldırı senaryosu hazırlanır.

Pharming: Saldırgan, DNS kayıtlarını zehirleyerek bir web sitesinin ziyaretçilerini, saldırı için hazırladığı sayfaya yönlendirir.

Clone phishing: Saldırgan, toplum tarafından güven kazanmış kuruluşlarca gönderilen mail şablonlarını taklit ederek yeni bir mail içeriği hazırlar. Burada genelde yalnızca kendisine ait zararlı URL’i, gerçek URL ile değiştirir.

Email Spoofing: Saldırgan, başka bir kuruluşa veya kişiye ait mail adresini gönderdiği mail headerına ekler. Bu sayede maili açan personel, müdürünün, IT ekibinin veya güvendiği bir kurumun mail adresini görür ve mail içeriğine güvenir.

Su Kaynağı: Saldırganlar, hedeflediği kuruluştaki personelleri analiz ederek hangi siteleri sık ziyaret ettiğini tespit eder. Daha sonrasında bu sitelere zararlı kod enjekte etmeye çalışır.

Yöntemler

Saldırgan, farklı yöntemler de kullanabilir. Örneğin hedef aldığı bir kuruluşsa, bu kuruluştaki en dikkatsiz kişiyi tercih eder. Bu kişi alışverişi seviyorsa ona özel büyük bir indirim kuponu maili gönderilebilir. Sosyal medyada maaşından veya geçim sıkıntısından dert yanmışsa bu kişiye patrondan gelen maaş zammı maili atılabilir. Senin hakkında şu haberi buldum diyerek merak uyandırılabilir veya acil dönüş yapılmaması halinde kuruluşun veri kaybedeceğine dair bir senaryo ile hedef kandırılabilir. Bunların yanı sıra başarılı bir phishing mailinde genellikle inandırıcı ve başarılı hazırlanmış bir görsel, mail teması ve düzgün bir metin kullanılır. Öte yandan mailin gönderildiği zamanlama da önemli olabiliyor. Örneğin mesainin sonuna doğru ve yoğun olunan bir zamanda yapılan phishing saldırısı, karşı tarafın maili dikkatle inceleme süresini azaltabiliyor. Veya öğle molası sonrası, rehavete kapılan ve bu sırada mail kutusunu kontrol eden personeller hedef alınabiliyor. Hedef kurumdaki personellerin yapısına göre senaryo değişebilir. Ancak phishing saldırıları öncesinde bilgi toplama kısmı da oldukça önemli. Her personelin zayıf anını ve zaaflarını bilmek, saldırının başarı oranını arttıracaktır.

Söz konusu URL’ler taklit edilen güven kazanmış kuruluşun URL’lerine oldukça benzetilir. Bunun için birden fazla yöntem kullanılır.

Orijinal domainimiz domainbank.com olsun.

  • Domaindeki harflerden birinin, şekil olarak benzer bir harfle yer değiştirmesi ile bir domain oluşturulabilir.

clomainbank.com/loginpanel.php

  • Saldırıda kullanılacak olan bir domaine, hedef domainin adının geçtiği bir subdomain açılabilir.

domainbank.com.phishingdomain.com/loginpanel.php

  • Saldırgan zaman zaman gerçek domainden de bir saldırı gerçekleştirebilir. Örneğin hedef kuruluşta reflected XSS zafiyeti elde etmesi halinde zafiyetli URL’e, zararlı kod parçacığını ekler. oluşan bu zararlı URL’i kuruluştaki tüm personellere gönderir. Personeller, çalıştığı kuruluşa ait bu URL’e güvenerek tıkladığında oturumunu saldırgana kaptırır. Aynı yöntem, farklı web uygulama zafiyetleri ile de birleştirilebilir.
  • Sık rastlanmamakla beraber oldukça riskli olan bir başka yöntem ise IDN aracılığı ile görünürde IDN domain ile bire bir aynı olan domainler alınan saldırılardır. Eskiden Türkçe, Çince karakterler gibi ASCII karakterlerin dışındaki domainler alınamıyordu. Ancak artık unicode domainler de alınabiliyor. Bu sayede farklı unicodelara sahip fakat aynı görünen harfler kullanılarak domain alınıyor. Saldırganlar da hedeflediği güvenilir kuruluşun domainini taklit eden domainler alıyor. Örneğin:

Buradaki yöntemde saldırı için şu URL kullanılır:  https://www.аррӏе.com/

Ancak linke tıklandığında Apple’ın orijinal sayfası değil, başka bir sayfa karşınıza çıkar. Çünkü tıkladığınız URL Apple’a ait olan apple.com değil, xn--80ak6aa92e.com adresidir. Birçok tarayıcı bunun için önlem alır ve bu linklere tıklandığında phishing riskine karşı uyarır. Ancak kullanıcının gözle ayırt etmesi neredeyse imkansızdır.

  • Mailde yalnızca giriş paneli veya linkler yer almayabilir. Zaman zaman bu saldırılarda dosya eki de kullanılabilir. Zararlı yazılım bulunan bu dosyalar, ilgi çekici bir şekilde gönderilerek karşı tarafa gönderilir. Karşı taraf bu dosyayı açtığında, cihazı saldırgan tarafından ele geçirilir. Daha sonrasında saldırgan, ağdaki diğer cihazlara bulaşabilir, pivoting yaparak diğer ağlara atlayabilir, ransomware saldırısı ile fidye isteyebilir veya aylarca sessiz kalarak kuruluşta olan biten tüm hareketleri izleyebilir, veri çekebilir.
  • Kurum içerisinden bir personel hesabını ele geçiren saldırgan, o kişinin mailinden de phishing saldırısı gerçekleştirebilir. Yani kurum içerisinden veya tanıdığınız birisinden gelen bir mail kesinlikle güvenilirdir diyemeyiz.

Önlemler

Antivirüs ve firewall

Antivirüs veya firewall kullanmanız phishing saldırılarını belli oranda azaltacaktır. Bu tip yazılımlar, veri tabanlarında yer alan domainleri otomatik olarak engelleyecektir. Aynı zamanda belli mail adreslerinden gelen mailleri de personellere ulaşmadan engellemek mümkün.

Güvenlik politikaları

Kurumların belirlediği güvenlik politikaları da oldukça önemli. Bu politikalar, bir saldırı yaşanmadan belirlenmeli ve kurumdaki herkesin anlayıp uygulayabileceği düzeyde olmalıdır.

Eğitimler

Personellerin bilgi güvenliği noktasında eğitim alması da bu saldırılardan korunmaları için gerekli. Personeller, mailleri açmadan önce gönderenin mail adresi, mail eklerinde yer alan dosya ekleri ve içerikteki linklerin kontrol edilmesine yönelik uyarılmalıdır. Herhangi bir phishing saldırısına rastlaması halinde kurumda bilgi güvenliğinden sorumlu ekibe iletmesi gerektiği belirtilmelidir. Personeller, bu durumlar için daima tetikle olmalı ve şüpheci yaklaşmalıdır.

Loglama ve Beyaz Liste

Kurum içerisinde loglama sistemi doğru biçimde kullanılmalıdır. Aynı zamanda phishing domainleri sürekli olarak tespit edilmeli ve bu domainlerden gelen mailler sürekli olarak engellenmeli, ağdan bu domainlere çıkışlar engellenmelidir. Zararlı yazılım bulaşabilecek birçok dosya formatı bulunmaktadır. Gmail’in engellediği bazı dosya uzantıları şunlardır: .ade, .adp, .bat, .chm, .cmd, .com, .cpl, .dll, .dmg, .exe, .hta, .ins, .isp, .jar, .js, .jse, .lib, .lnk,.mde, .msc, .msi, .msp, .mst, .nsh .pif, .scr, .sct,.shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf, .wsh

Bunların yanı sıra pdf ve office dosyalarından da zararlı yazılım bulaşması mümkün. Bu dosyalar için de önlemler alınması gerekir. Eğer ihtiyaç yoksa dosya ekleri tamamen engellenebilir.

Kategoriler
Ivır Zıvır Siber Güvenlik

Siber Kimlik ile Hedefe Sızma

Siber alanda bireyleri kandırmak, gruplara dahil olmak ve istediğinizi elde etmek için yapacağınız ilk evredir siber kimlik. İnsanların güvenini kazanmanız ve kendinize inandırmanız için ilk izleniminiz her zaman önemlidir. Başlangıçta yaptığınız hataların telafisini sonradan yapmak çok daha zor olabiliyor.

Image
Toplum mühendisliğinin temel ilkesidir benim gözümde siber kimlik.
Bunu bir roman yazmak gibi düşünün. Hikaye gibi, edebiyat gibi… Çok okuyanlar bu noktada avantajlı olacaktır. Bir hikaye karakteri oluşturun. Ancak hikayeye öyle güzel entegre olsun ki kimse aslında içinde gizli bir casus barındığını anlamasın. Hikayenizin sıradan objeleri gibi…Öncelikle bir isim belirlemeli. Örneğin,* “Ahmet, Mehmet, Ali, Ayşe, Fadime…”* bunlar en çok kullanılan isimler. Soy isim konusunda da “Yılmaz, Çelik” gibi soy isimler Türkiye de en çok kullanılanlardır.İsim seçiminde yaşadığı il de önemli karakterinizin. Hangi ilde hangi isim en çok onun listesini de aşağıda bulabilirsiniz.İstatistikler : İsim İstatistikleriBu sayede karşı taraf sizin gerçek kimliğinizi araştıracak olursa sizin isminizin ve şehrinizden çok kayıt bulacak ve kafası karışacak.

Nereli olduğunu seçmek olaya ve size kalmış. Ancak hiçbir memleket şiveli yazmaz. Trabzonlular klavyeden “uyyy, uşağum” demez. Bu tip saçma oyunlara girmeyin.

Daha sonrası ise olaya ve duruma göre aşağıdaki şablona göre seçilmeli.

İsim Soyisim :
Memleket :
İkametgah :
Irk :
Meslek :
Yaş :
Din :
Siyasi görüş :
Aile : (Kaç kardeş, ana baba ismi mesleği, yaşı… )
Eğitim durumu ve okuduğu okullar :
Sevdiği şeyler : Ajdar dinlemeyi sever
Nefret ettiği şeyler ve takıntıları : Simetri takıntısı
Fiziksel özellikleri : 1.20 boylarında, kırmızı gözlü, 5 ayaklı, elf….
Psikolojik Özellikler : Biraz asosyal, yardımsever, çok kitap okuyan, meraklı melahat

Bu bilgileri siz olaya göre değiştirebilirsiniz. Karşı tarafla iletişim halindeyken bu bilgilerden taviz vermeyin. Bir sosyal ağ veya web sitesi üyeliğiniz varsa sahte hesaplarınızın hepsine bu bilgileri girin ve konuşurken* pot kırmayın. Hesaplarınızda çelişen bilgiler olmamalı.

Karşı taraf kanıt isterse sahte kimlik atabilirsiniz. Ya da sahte sosyal ağ hesapları. Ancak bunlar görünüm açısından sahteliği ortaya koyabilir. Örneğin sosyal ağ hesapları yeni açılmasıyla dikkat çekebilir.

Siz bu karakterinizin inandırıcı olması adına bir dostunuzla anlaşabilirsiniz fakat bu son çaredir ve nadir kullanılmalıdır. Durumu izah edip arkadaşınıza sosyal ağ hesabından biriyle konuşmanız gerektiğini söyleyerek onu ikna edebilir ve onun kimlik bilgilerini bir şekilde alarak karşı tarafa verebilirsiniz. Aynı zamanda bilgileri de onun bilgilerinden seçersiniz. Bu durumda inandırıcılık durumu %90 lı oranlara çıkacaktır. Çünkü bilgiler var olan birine aittir. Fakat pot kırarsanız sizin ortaya çıkma ihtimaliniz de artar. Risk bir parça artar ancak iş kolaylaşır.

Gelelim diğer noktaya, cinsiyetin bu konuda kullanımına karşıyım ve acımasız buluyorum. Fakat kullanmayın desem de kullanacaksınız. Bu durumda her sohbette ve ortamda cinsiyetinizi öne koymanız göze batacaktır. İnandırıcılık düşecektir.

Aşırıya kaçmamalı. Diğer bilgileriniz de uç noktada olmamalı. Aksine hedef kitle ile ortak olmalı, sıradan kalmalı ki göze batmasın. Arada kaynayıp gidin.
Sahte isim ve siber kimliğinizi kullanmaya başladığınız an kendinizi unutun. O kimliğe bürünün.Siz artık “Ahmet, Mehmet, Ali, Ayşe” siniz. Siz, siz olmaktan çıktınız. Yeni bir kimlik…

Tüm bunları seçerken geçmişinizden izler de bırakabilirsiniz. Bunlar inandırıcılığı arttıran önemli unsurlardır. Ancak yakayı ele vermeniz bir adım daha yaklaşır.

Örneğin, karakterinizin yaşadığı şehri seçerken kendi gerçek memleketimizi veya önceden çok iyi bildiğiniz bir şehri yazabilirsiniz. Konuşmalarda şayet bu şehri bilen biri ile konuşuyorsanız siz de ayak uydurursunuz. Ancak bilmiyorsanız bu da ciddi sıkıntıdır.

Ya da meslek ve okul seçiminde size ait olmasa dahi bildiğiniz yerleri yazabilirsiniz. Anlatırken rahat anlatmalısınız. Ancak geçmişten iz bırakmayı da çok abartmayın. Yoksa yine ele verirsiniz kendinizi.
Psikolojik bilgiler ise en önemlisi fakat bu da tam olarak size kalmış. Fakat o bilgilere uymak,sadık kalmak çok önemli. Soyut bir durum olduğundan ele alamıyorum tam anlamıyla fakat dengesiz davranmamanızı sağlar bu kimlik. Dün şen şakrak bugün karamsar olursanız hop dedik şaban sen ne ayak derler iki güne.

Son olarak kimseyi hafife almayın. Kısa bir süre dahi olsa plan belirleyin, rotanızı çizin, hikayenizi kusursuz olay örgüsü ile tamamlayın. Öyle ki hikaye bittiğinde dahi gerçeklerden ayırt edilemesin.