|
Oltaya Gelmeyin (Phishing Saldırıları)
Siz siz olun; Internet’in uyanık ve art niyetli kullanıcıları olan bilgisayar korsanlarının yemlerini yutup da oltaya gelmeyin. Aksi taktirde, kişisel bilgileriniz, çeşitli online hizmetlere erişim için kullandığınız şifre ve parolalarınız, e-posta hesaplarınız ve online bankacılık bilgileriniz başkalarının eline geçecek, büyük zararlar ile karşı karşıya geleceksiniz. Bu yazıda uluslar arası alanda Phishing Attacks diye tabir edilen Olta Saldırıları’nın nasıl gerçekleştirildiği ve tehlikeleri hakkında bilgi vereceğim. Nedir peki bu Olta (Phishing) saldırısı? Bu konuda en güzel tanımı; Phishing saldırılarına karşı mücadele amacıyla oluşturulmuş ve İnternet kullanıcılarını bilgilendirerek yeni saldırıları raporlama hizmeti sunan Anti Phishing Çalışma gurubu yapmıştır diyebiliriz. Bu tanıma göre Olta Saldırıları (Phishig Attacks); internet kullanıcıların kişisel tanımlama bilgilerini (şifreler, kullanıcı adları vs.) ve finansal hesap erişim bilgilerini (online bankacılık ve kredi kartı numarası vs.) sosyal mühendislik ve teknik hileler kullanarak elde etmeyi hedefleyen saldırılardır. http://www.antiphishing.org/ (Anti-Phishing Working Group)
Bilgisayar korsanları tarafından günümüzde oldukça yaygın olarak kullanılan olta atma saldırıları ile genellikle hedeflenen; şahısların kişisel bilgilerini, internet üzerindeki gerek e-posta hesaplarının gerekse de online bankacılık hizmetlerinin şifreleri ile kullanıcı adlarını elde ederek kazanç sağlamaktır. Özellikle son yıllarda internet bankacılığının yaygınlaşmasıyla birlikte çoğu internet kullanıcısı bankacılık işlemlerini bankalarının online sayfaları üzerinden gerçekleştirmektedir. Çoğunlukla sıkı güvenlik önlemleri ile desteklenmiş online bankacılık hizmetlerinde bankanın güvenlik zafiyeti olmaksızın, bankanın adı ve uygulama sayfasının bir benzeri kullanılarak art niyetli faaliyetler bilgisayar korsanları tarafından yürütülebilmekte ve kazanç sağlanmaktadır. Bunun yanında bilgisayar korsanları hedef olarak seçtikleri kişilerin e-posta hesaplarının veya online üyelik gerektiren hizmetlerinin şifrelerini elde etmek amacıyla bahse konu online hizmetin iyileştirilebilmesi veya şifre doğrulaması adı altında olta saldırılarını sıklıkla kullanmakta ve kullanıcı adları ile şifrelerini kolaylıkla elde edebilmektedirler. Gerçekleştirilen herhangi bir olta saldırısında, ortada kesin suretle içeriği sosyal mühendislik yöntemiyle alıcısını kandırmaya yönelik olarak ustaca hazırlanmış bir sahte e-posta iletisi bulunmaktadır. Bilindiği gibi Balık yakalamanın bir yolu da oltaya yem takarak denize atmaktır. Internet ortamı da birçok balığın yani kullanıcının bulunduğu bir denizdir ve bilgisayar korsanları tarafından sıklıkla internet denizine olta sarkıtılmaktadır. Bu olta sarkıtma işlemi, içeriği ustaca kandırmaya yönelik hazırlanmış ve sanki gerçek sahibinden geliyormuş gibi görünen sahte e-posta iletisi yeminin binlerce e-posta adresine gönderilmesi ve sonucun beklenmesi suretiyle gerçekleşmektedir. Olta (Phishing) saldırılarının tehlikesinden ve yöntemlerinden habersiz kullanıcılar bu e-posta yemlerini amiyane bir tabirle yutmakta ve e-posta iletisindeki belirli bir link’i tıklayarak girilen başka bir sayfadan ya da gelen e-posta iletisinde bulunan bilgi giriş formlarından istenilen bilgileri bilgisayar korsanlarına rahatlıkla verebilmektedirler. Bazı durumlarda ise bilgisayar korsanları istenilen bilgileri elde edebilmek amacı ile e-posta iletisini alan kullanıcıyı başka bir siteye yönlendirmeyi gerçekleştirmeden bir hizmet telefonunu verebilmektedirler. Bu gibi durumlarda korsanlar kendilerini arayan kişilerden istedikleri bilgileri sosyal mühendislik yöntemi ile güven telkin ederek rahatlıkla öğrenebilmektedirler. Ancak bu durum korsanın kimliğinin rahatlıkla saptanabilmesi ihtimalini doğurduğu için nadiren kullanılmaktadır. Çünkü ortada bir iletişim numarası mevcuttur. Bazı durumlarda da; bilgisayar korsanları gönderdikleri e-posta iletisindeki link’in kurban tarafından tıklanmasını sağlayarak kurbanların bilgisayarlarına bir casus yazılımın indirilmesi sağlamaktadırlar. İndirilmesi sağlanan bu casus yazılımlar, genellikle kurban kullanıcının bilgisayarındaki klavye tuş vuruşlarını kaydederek kritik bilgileri (şifreler ve parolalar, banka kullanıcı bilgileri vs) karşı tarafa yani bilgisayar korsanına iletmektedirler. Olta saldırısına bir örnek vermek gerekirse; bunun en güzel örneğini ülkemizde 2005 yılı içerisinde gerçekleşen Merkez Bankasından geliyormuş gibi gözüken sahte bir olta saldırısı mailidir. Bu olta saldırısı YTL para birimine geçişi fırsat bilerek bilgisayar korsanları tarafından hazırlanmış ve bir çok bankanın online bankacılık müşterilerini kandırarak mağduriyetlere sebebiyet vermiştir. Olta saldırısında kullanılan mailin bir örneği aşağıdadır.  YTL para birimine geçişin sağlandığı dönemde, yukarıdaki sahte olta saldırısı amacıyla düzenlenmiş mailin içeriği çoğu bilgisayar kullanıcısını ikna edici mahiyette idi. Olta saldırılarının tehlikesinden haberdar olmayan bir çok bilgisayar kullanıcısı online bankacılık işlemlerindeki YTL değişikliğini yapabileceği düşüncesi ile; gönderen Başlık kısmında “T.C. Merkez Bankası” yazan ve gönderen e-posta adresi olarak da “
Bu mail adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır
” e-posta adresli bu e-posta’nın tuzağına düşerek mağdur olmuşlardır. E-Posta iletisinin içeriğine dikkat edilirse; ileti YTL para birimine yeni geçildiği ve herkesin kafasında birçok sorunun bulunduğu bir dönemde oldukça inandırıcı gözükmektedir. Sosyal mühendisliğin ikna ediciliği ve yanıltıcılığının iyi bir şekilde kullanıldığı bu e-postada açıkça görülmektedir. E-Posta iletisinde öncelikle iletiyi alana, iletide geçen bankaların YTL güncelleme işlemi olduğu vurgusu yapılmaktadır. Böylece insanların kafasında böyle bir güncellemenin varlığı konusunda karmaşıklık yaratılarak sosyal mühendisliğin ilk adımı başlatılmaktadır. Sosyal mühendislikte ilk önce sorun varmış gibi gösterip sonra çözüm yöntemi sunmak iyi ve her zaman tutarlılığı yüksek bir taktiktir. Sonrasında ise YTL güncelleme işlemlerinin ücretsiz olarak yapıldığı, bu işlemin iletide belirtilen internet adreslerinden veya Merkez Bankası Ankara şubesinden yapılabileceği vurgusu yapılmaktadır. Bu vurgu sosyal mühendislik açısından yine bir taktik olmakla birlikte, saldırgan çoğu insanın Merkez Bankası’nın Ankara Şubesi ile iletişim haline geçmesinin zor olacağını bilmekte ve bu yüzden de iletide geçen linkleri vurgulayarak insanların kafasında bir kolay yol olduğu kanaatini uyandırmaktadır. Nasıl olsa her şey bu linkler vasıtası ile otomatik olarak gerçekleşecek ve kurbanın hesap bilgilerine işlenecektir.  Yukarıdaki gibi bir formu dolduran bilgisayar kullanıcısı kritik bilgilerini bilgisayar korsanının eline vermiş demektir. İnternet ortamında çok çeşitli varyasyonlar da olta saldırılarına rastlamak mümkün olmaktadır. Olta (Phishing) saldırıları; internet suçları arasında en yaygın ve tehlikeli olanlarından biridir. Yapısı itibari ile saldırının yapılmasının e-posta aracılığı ile kolay olması ve arzu edilen bilgileri verebilecek kullanıcıların internet denizinde rahatlıkla bulunabilecek olması bu saldırının yaygın olmasını sağlamaktadır.
Olta (Phishing) metodu ile yapılan online sahtekarlıklarda çoğunlukla; - Kredi, Debit/ATM Kart Numaraları/CVV2
- Online Bankacılık Şifre ve Kullanıcı adları
- Finansal Hesap numaraları ve bilgileri
- Finansal Sistemlerin Şifreleri ve Parolaları (Borsa, Yatırım vs.)
- E-Posta ve E-Hizmetlerin Şifre ve Parolaları
- Şahsi Kimlik bilgileri
- ……………………….
Ve daha birçok sayılabilecek kişisel bilgiler çalınabilmektedir. Uluslararası bir organizasyon olan Anti-Phishing Çalışma Grubunun, Aralık 2004 – Aralık 2005 tarihleri arasındaki bir senelik Olta saldırıları içerikli web siteleri istatistik şeması aşağıda yer almakla birlikte, şemaya bakıldığı zaman devamlı bir artış gözlenmektedir. Özelikle yeni yıl olan 2006 yılına geçilen ve 2005 yılının son ayı olan aralık ayında olta saldırıları sitelerinde büyük artışlar dikkati çekmektedir. Bunun sebebi ise saldırganların yeni bir finansal yılın devreye girmesini fırsat bilmesi ve gün geçtikçe olta saldırılarının bilgisayar korsanları tarafından popüler olarak kullanılmasıdır.  Olta saldırıları hakkındaki bu yazıda son olarak da, bu tip saldırıları fark etme ve oltacı bilgisayar korsanlarının tuzağına düşerek mağdur olmamak için bilgisayar kullanıcılarının dikkat etmesi gereken hususlardan bahsetmek istiyorum. Bilindiği üzere olta saldırılarında saldırganın en büyük kozu sosyal mühendislik kullanarak attığı yem mahiyetindeki e-posta iletileridir. Önemle akılda tutulmadır ki; günümüzde hiçbir finansal kuruluş ya da banka sundukları online hizmetler ile ilgili kesinlikle kullanıcılardan bilgi talebinde bulunmamaktadır. Bu kuruluşlar sadece bilgi mahiyetinde e-posta iletisi göndermektedirler ve gönderdikleri iletilerde herhangi bir telefonun aranmasını, iletilerinde belirli bir adrese link vererek bilgi doğrulaması ile bilgi girişini veya sistemlerinin işleyişleri ile ilgili herhangi bir yazılımın indirilmesini talep etmemektedirler. Erişim denetimli internet sitelerinde ve e-posta hizmetlerinde de aynı durum söz konusudur. Aynı zamanda hiçbir kamu kuruluşu da güvenlik sebebiyle internet üzerinden güvenli bir yol olmayan e-posta ilesi yönlendirmesi ile kişisel bilgi talep etmeyecektir. Genel hatlarıyla bu mantık çerçevesinde dikkat edilmesi gereken hususlar aşağıda listelenmektedir. E-Posta adresinize gelip sizden şifre ve parolalarınızı doğrulama amacı adı altında talep eden e-posta iletilerine kulak asmayın. Hiçbir banka veya finansal kurumun e-posta iletisi aracılığı ile bilgi talebinde bulunmayacağını aklınızdan çıkarmayın.Daha iyi hizmet alabilmek için şu veya bu işlemleri internet üzerinden gerçekleştirmeniz gerekmektedir ve bu adresi ziyaret ederek işlemlerinizi yapabilirsiniz şeklinde bir içerikle gelen e-posta iletilerinin kandırmaca olabileceğini unutmayınız. E-Posta adresinize gelen iletilerin doğruluğunu iyi tartın ve tanımadığınız kişilerden gelen şüpheli mailleri değerlendirin ve kesinlikle cevap vermeyin. Virüs olabileceğini düşünerek dikkatli olun. Tarafınıza gelen e-posta iletilerinden yönlendirilerek (gerek açılır pencereler vasıtası ile gerek iletideki linkler vasıtası ile) herhangi bir banka, finansal kuruluş, online alışveriş veya şifreli hizmet veren internet sayfalarına bağlanmayın, bu sayfalarda işlem gerçekleştirmeyin. E-Posta adresinize direk olarak sizden bilgi talep eden form tabanlı bir ileti gelirse bu formları doldurmadan silin. Bilgisayar sisteminizi sürekli olarak güncel tutun, güvenlik yükseltmelerini sıklıkla takip edip yapın. Virüs ve casus yazılımlara karşı muhakkak suretle ek bir yazılım kullanın (anti-virus ve anti-spy yazılımları). Bu yazılımların güncellemelerini sıklıkla gerçekleştirin.
E-Postanızda olta saldırısı amacı taşıdığından şüphelendiğiniz bir ileti varsa ve bu konuda mücadele amacıyla bir şeyler yapmak istiyorsanız öncelikle size gelen ileti hakkında bilgi toplamaya çalışın.
E-Posta iletisinin (header) başlık bilgilerini inceleyin gerekirse bu bilgilerdeki IP adreslerinden yola çıkarak e-postanın gerçekten bahse konu kuruluştan gelip gelmediğini teyit edin. Bunu yapmak için ripe.net gibi whois veritabanlarından IP adresinin tahsis bilgilerini kontrol edebilirsiniz. Büyük olasılıkla iletinin geldiği iddia edilen kuruluşun IP adres tahsis bilgilerinden farklı bir IP adres tahsis bilgisi ile karşılaşacaksınızdır.
İletinin gönderildiği iddia edilen kurum veya kuruluşla temasa geçerek bu durumu rapor edin. Konu ile ilgili bilgi işlem departmanınız çalışanlarına da haber verebilirsiniz.
Anti-Phishing Çalışma grubuna konu hakkında rapor sunmanız durumunda, bu grup gerekli merciler ile temasa geçip bahse konu olta saldırısına karşı önlem alma ve deşire etme işlemleri için harekete geçecektir.
Sakın Haaa oltaya gelmeyin…. A.Hakan Ekizer. Kaynaklar.
http://www.antiphishing.org Anti-Phishing Working Group
http://en.wikipedia.org/wiki/Phishing Wikipedia, the free encyclopedia
http://www.microsoft.com/turkiye/athome/security/email/phishing.mspx Microsoft Turkiye
http://www.olympos.org/article/articleview/1403/1/10/turkiye_de_phishing Tacettin Karadeniz
The Hackers Handbook, Susan YOUNG – Dave AITEL / CRC Press 2004
Phishing Exposed, Lance JAMES / Syngress 2005
The Art of Deception: Controlling the Human Element of Security, Kevin MITNICK / Wiley 2002
|
