Yemleme Saldırısı–Phishing
Attack bugün herhangi bir bilgisayar kullanıcısının
karşılaşabileceği tehlikelerden bir tanesidir. Saldırı hedef
kişi veya kişileri ait bilgileri edinmek, zararlı yazılım
barındıran bir web sitesini/sayfasını ziyaret ederek bilgisayara
bulaştırmak gibi bir çok farklı amaca hizmet edebilmektedir. Bazı
durumlarda yemleme saldırısı daha karmaşık bir saldırının
parçası da olabilmektedir.
Bir yemleme saldırısının temel
başlangıç noktası bir e-posta mesajı olmaktadır. Kullanıcı bu
mesajın geçerli olduğunu, içeriğinin de doğruluğundan emin ise
mesajdaki yönergeleri izleyip uygulayarak saldırının kurbanı
olmaktadır.
Yemleme saldırıları yaygınlaşırken
saldırılara hedef olarak seçilen e-posta hesaplarının bireysel
e-posta hesaplarından kurumsal e-posta hesaplarına doğru kaymakta
olduğunu gözlemliyoruz. Bu konuda gözlemlediğim ve edindiğim
bilgiler Ocak - Temmuz 2013 arasındaki dönemde kamu kurumlarının
hedef alınmakta olduğunu gösteriyor. Bunun son örneğini de
üniversitelerin “edu.tr” uzantılı e-posta mesajlarına gelene
yemleme saldırısı mesajlarında görüyoruz.
Saldırının ilk dalgası
Ocak – Şubat 2013 arasındaki zaman
diliminde ilk yemleme saldırısı mesajları İngilizce içerikli
bir e-posta mesajı olarak yapıldı. İngilizce olarak hazırlanan
mesajda kullanıcının e-posta hesabının aktif kalabilmesi için
doğrulanması gerektiği bildiriliyordu. Bunun için de kullanıcının
ad, osyad, kullanıcı adı ve şifresi ile adres ve telefon numarası
bilgilerinin mesajda belirtildiği gibi gelen mesajın yanıtlanarak
bildirilmesi isteniyordu.
Attention:
In order to validate your e-mail account and prevent it from being deleted, you had to supply the information required and as seen below. Please reply this e-mail and fill all fields.
E-mail Administration
Name:Surname:User name:Password:Adress:Phone:
Gelen e-posta mesajının
incelendiğinde mesajı gönderen kişi olarak görünen isim ve
soyad ile eposta adresi ile yanıt adresinin aynı olmadığı
görülüyordu. Benzer mesajlar bazı değişiklikler ile farklı
kurumlardaki e-posta hesaplarına gönderilmiş olduğunu diğer
sistem yöneticisi arkadaşlarıma konuyu açtığımda öğrenmiş
oldum. Gelen mesajların kopyaları üzerindeki bir inceleme her
e-posta mesajında mesajın göndereni olarak görünen isim ve soyad
ile e-posta adresinin farklı olduğu ortaya çıkarmış. Ancak
yanıt adresi hedef kurumdaki e-posta hesapları için aynı
kalırken, diğer hedefler için her bir hedefe özel olarak ayrılmış
olan farklı bir e-posta adresi yanıt adresi olarak kullanılmıştı.
E-posta mesajını yollayan sunucular Fransa ve İtalya faaliyet
gösteren internet servis sağlayıcılara ait e-posta sunucuları
olduğu ortaya çıkmıştı. Söz konusu servis sağlayıcılara
durumu bildirenler olduğu gibi doğrudan bu sunucuları kara listeye
alarak gelene e-posta mesajlarını engellemeyi tercih edenler de
olmuştu.
Bu olayın ardından bazı sistem
yöneticileri konu hakkında kullanıcıları bilgilendiren bir
e-posta mesajını kullanıcılara yollamışlar. Ancak yemleme
saldırısının başarılı olup olmadığının, kullanıcı
hesaplarına erişim ile ilgili şüheli bir durum olup olmadığının
kontrol edilip edilmediğini öğrenemedim.
Saldırının ikinci dalgası
Saldırının ikinci dalgası olarak
tanımladığım dönem Nisan – Mayıs 2013 arası idi.
Yukarıdakine benzer olan bir mesaj ancak bu sefer Türkçe olarak
-hem de kötü bir Türkçe ile- yollanmıştı. İlk saldırı
dalgasındaki gibi e-posta mesajlarının gönderen bölümü
bilgileri her bir tekil mesaj için farklı iken hedef alınan kuruma
ait öze bir yanıt adresi e-posta hesabının tanımlandığı
görülüyordu. E-posta mesajları bu sefer aynı ülkelerden ancak
ilk dalgada yer almayan internet servis sağlayıcılara ait e-posta
sunucularından gelmişti.
Kullanıcılara yollanan e-posta mesajı
bu sefer hesabın kotasının yükseltilmesi için kullanıcılardan
kullanıcı adı ve şifresi ile isim ve soyadın bildirilmesini
istiyordu.
Kullanıcı dikkat,
Hesabin terfi etmek icin 2GB olmak, dogrulmak gerekli su bilgileri bildirin. Kullanici adi, sifre, ad, soyad yazin ve Reply tusuna basmak yeterlidir.Adı:________________Soyad:________________Kullanici:________________Parola:________________
Bu mesajı ile ilgili bazı
arkadaşlarımın konuyı iss bildirip gerekli makamları
bilgilendirdiğini öğrendim.
Saldırının üçüncü dalgası
Saldırının üçüncü dalgası
olarak tanımlayabileceğim dönem benzer e-posta mesajlarının yine
aynı ülkelerden ve yine farklı servis sağlayıcılara ait e-posta
sunucularından gelen e-posta mesajları ile yapılmıştı. Bu sefer
saldırıda kullanıcıdan istenen bilgiler e-posta mesajı ile değil
web sayfaları üzerinden girilmesi isteniyordu. Kullanıcılara HTML
formatlı e-posta mesajları yollanmıştı. Kullanıcıların
e-posta hesaplarının kotasının yükseltileceği ancak bu işlemin
sadece isteyen kullanıcıların hesaplarına uygulanacağı
belirtiliyordu. Kullanıcıların kota arttırımı için kullanıcı
adı ve şifresini girerek işlemi onaylamaları yeterliydi. Bunu
niçin de aşağıda belirtilen adrese gidip işlemi başlatılabilmesi
için onay verilmesi gerekiyordu.
Söz konusu web adresi hedef kurum için
tasarlanmıştı. Kurumun e-posta sunucusunun web mail erişimi veren
sayfasının birebir kopyası oluşturulmuş ve kullanıcı adı ve
şifresi ekranın aynını hazırlanıp altına da onaylamak için
tıklayınız yazan bir bağlantı verilmişti.
Son gelen mesajdaki bağlantıya
tıklanıldığında ücrestsiz web alanı veren bir siteye
yönlendiriliyordunuz. Sitede her bir hedef kurum için
“webmail.kurum_adı” ile başlayan ve sonuda alanı veren sitenin
adı ile biten alan adı üzerinde bir sayfa hazırlanmıştı.
Hizmeti veren siteyi doğrudan ziyaret
edildiğinde ise hizmetin içeriği ile ilgili bilgi veren bir sayfa
ile karşılaşıyordunuz. Bireysel hesaplar standart özelliklere
sahip olurken arama motorlarına kayıt ettirilmiyordu. Profesyonel
ve kurumsal hesaplar standart özelliklerden farklı ek özelliklere
sahip iken arama motorlarına kayıt ediliyordu. Saldırgan veya saldırganların geride iz bırakmamak için bu siteyi tercih ettikleri anlaşılıyor.
Saldırıyı planlayanlar bu sitede bir
sayfa oluşturup arama motorlarında kayıt edilmeyeceği için
tercih etmiş olmalıydılar. Sayfada belirtilen formu rastgele harf
ve sayılardan oluşan bir kullanıcı adı ve 111111111111 şifresi
ile bir çok giriş yaptım. Hatta aynı kullanıcı adını farklı
şifreler ile tekrar giriş yaptım. Sitedeki sayfa sadece kullanıcı
adı ve şifrelerini edinmek için tasarlanmıştı. Aynı kullanıcı
adına ait farklı şifreleri de kabul etmesi bunu gösteriyordu. Her
işlemin sonucunda aynı sayfada “isteğiniz işleme alınmıştır”
mesajı döndürülüyordu.
Bu saldırının başarılı olup
olmadığını bilemiyorum. İkinci dalga da konunun idari makamlara
iletilmiş olduğu gerekçesi ile bir çok kişi bilgi vermek
istemedi. Arkadaşlarımdan bazıları konuyu özel olarak takip
ettiği için benzer e-posta mesajlarının kullanıcılara gelmesi
üzerine önlem aldıklarını ve kullanıcıları bilgilendirip
eğitim verdiklerini bildirmişti. Bir arkadaşım ise bir diğer
arkadaşının sorumluluğunda olan bir e-posta sunucusuna benzer
yemleme mesajlarının geldiğini ve izleyen günlerde ise Bolivya,
İspanya ve Bangladeş ait IP adreslerinden web mail sayfalarına
erişilip giriş yapılmaya çalışıldığını tespit ettiklerini
belirtmişti. Bu girişlerden 23 tanesinin başarılı olduğu yani
kullanıcı adı ve şifresinin doğru girildiğini belirlemişler.
Bu olayı izleyen gelişmeler hakkında ise bilgim yok.
Saldırının hedefi olurken aynı
zamanda sistem tarafında yer alan kişilerden gelen bilgileri bir
araya getirince saldırının kullanıcıların tuzağa düştükleri
noktanın İngilizce veya bozuk Türkçe ile yazılmış mesajlar
olmadığını düşünüyorum. Türkçe olarak ama doğru biçimde
yazılmış HTML mesajlar ile web mail sayfalarının birleştirilmesi
kullanıcıların bu tuzağa düşmesini sağlamış olabilir.
Gözlemlediğim kullanıcıların kurumsal web sitelerindeki
sayfaların tasarımındaki sürekliliğe dikkat ettikleri ama
sayfaların adresine dikkat etmedikleridir. Kullanıcı için
sayfanın tasarımında veya içeriğindeki bir farklılık ortaya
çıkması durumunda bile sayfa adresine bakmak son yapılan iştir.
Sosyal mühendislik ile desteklenen bir
saldırının başarılı olma olasılığın yüksek olduğunu bir
kez daha görüyoruz.
Hiç yorum yok:
Yorum Gönder