10 Ağustos 2013 Cumartesi

Bir yemleme saldırısı

Yemleme Saldırısı–Phishing Attack bugün herhangi bir bilgisayar kullanıcısının karşılaşabileceği tehlikelerden bir tanesidir. Saldırı hedef kişi veya kişileri ait bilgileri edinmek, zararlı yazılım barındıran bir web sitesini/sayfasını ziyaret ederek bilgisayara bulaştırmak gibi bir çok farklı amaca hizmet edebilmektedir. Bazı durumlarda yemleme saldırısı daha karmaşık bir saldırının parçası da olabilmektedir. 



Bir yemleme saldırısının temel başlangıç noktası bir e-posta mesajı olmaktadır. Kullanıcı bu mesajın geçerli olduğunu, içeriğinin de doğruluğundan emin ise mesajdaki yönergeleri izleyip uygulayarak saldırının kurbanı olmaktadır.

Yemleme saldırıları yaygınlaşırken saldırılara hedef olarak seçilen e-posta hesaplarının bireysel e-posta hesaplarından kurumsal e-posta hesaplarına doğru kaymakta olduğunu gözlemliyoruz. Bu konuda gözlemlediğim ve edindiğim bilgiler Ocak - Temmuz 2013 arasındaki dönemde kamu kurumlarının hedef alınmakta olduğunu gösteriyor. Bunun son örneğini de üniversitelerin “edu.tr” uzantılı e-posta mesajlarına gelene yemleme saldırısı mesajlarında görüyoruz.

Saldırının ilk dalgası

Ocak – Şubat 2013 arasındaki zaman diliminde ilk yemleme saldırısı mesajları İngilizce içerikli bir e-posta mesajı olarak yapıldı. İngilizce olarak hazırlanan mesajda kullanıcının e-posta hesabının aktif kalabilmesi için doğrulanması gerektiği bildiriliyordu. Bunun için de kullanıcının ad, osyad, kullanıcı adı ve şifresi ile adres ve telefon numarası bilgilerinin mesajda belirtildiği gibi gelen mesajın yanıtlanarak bildirilmesi isteniyordu.

Attention:

In order to validate your e-mail account and prevent it from being deleted, you had to supply the information required and as seen below. Please reply this e-mail and fill all fields.

E-mail Administration

Name:
Surname:
User name:
Password:
Adress:
Phone:

Gelen e-posta mesajının incelendiğinde mesajı gönderen kişi olarak görünen isim ve soyad ile eposta adresi ile yanıt adresinin aynı olmadığı görülüyordu. Benzer mesajlar bazı değişiklikler ile farklı kurumlardaki e-posta hesaplarına gönderilmiş olduğunu diğer sistem yöneticisi arkadaşlarıma konuyu açtığımda öğrenmiş oldum. Gelen mesajların kopyaları üzerindeki bir inceleme her e-posta mesajında mesajın göndereni olarak görünen isim ve soyad ile e-posta adresinin farklı olduğu ortaya çıkarmış. Ancak yanıt adresi hedef kurumdaki e-posta hesapları için aynı kalırken, diğer hedefler için her bir hedefe özel olarak ayrılmış olan farklı bir e-posta adresi yanıt adresi olarak kullanılmıştı. E-posta mesajını yollayan sunucular Fransa ve İtalya faaliyet gösteren internet servis sağlayıcılara ait e-posta sunucuları olduğu ortaya çıkmıştı. Söz konusu servis sağlayıcılara durumu bildirenler olduğu gibi doğrudan bu sunucuları kara listeye alarak gelene e-posta mesajlarını engellemeyi tercih edenler de olmuştu.

Bu olayın ardından bazı sistem yöneticileri konu hakkında kullanıcıları bilgilendiren bir e-posta mesajını kullanıcılara yollamışlar. Ancak yemleme saldırısının başarılı olup olmadığının, kullanıcı hesaplarına erişim ile ilgili şüheli bir durum olup olmadığının kontrol edilip edilmediğini öğrenemedim.

Saldırının ikinci dalgası

Saldırının ikinci dalgası olarak tanımladığım dönem Nisan – Mayıs 2013 arası idi. Yukarıdakine benzer olan bir mesaj ancak bu sefer Türkçe olarak -hem de kötü bir Türkçe ile- yollanmıştı. İlk saldırı dalgasındaki gibi e-posta mesajlarının gönderen bölümü bilgileri her bir tekil mesaj için farklı iken hedef alınan kuruma ait öze bir yanıt adresi e-posta hesabının tanımlandığı görülüyordu. E-posta mesajları bu sefer aynı ülkelerden ancak ilk dalgada yer almayan internet servis sağlayıcılara ait e-posta sunucularından gelmişti.

Kullanıcılara yollanan e-posta mesajı bu sefer hesabın kotasının yükseltilmesi için kullanıcılardan kullanıcı adı ve şifresi ile isim ve soyadın bildirilmesini istiyordu.

Kullanıcı dikkat,

Hesabin terfi etmek icin 2GB olmak, dogrulmak gerekli su bilgileri bildirin. Kullanici adi, sifre, ad, soyad yazin ve Reply tusuna basmak yeterlidir.

Adı:________________
Soyad:________________
Kullanici:________________
Parola:________________

Bu mesajı ile ilgili bazı arkadaşlarımın konuyı iss bildirip gerekli makamları bilgilendirdiğini öğrendim.

Saldırının üçüncü dalgası

Saldırının üçüncü dalgası olarak tanımlayabileceğim dönem benzer e-posta mesajlarının yine aynı ülkelerden ve yine farklı servis sağlayıcılara ait e-posta sunucularından gelen e-posta mesajları ile yapılmıştı. Bu sefer saldırıda kullanıcıdan istenen bilgiler e-posta mesajı ile değil web sayfaları üzerinden girilmesi isteniyordu. Kullanıcılara HTML formatlı e-posta mesajları yollanmıştı. Kullanıcıların e-posta hesaplarının kotasının yükseltileceği ancak bu işlemin sadece isteyen kullanıcıların hesaplarına uygulanacağı belirtiliyordu. Kullanıcıların kota arttırımı için kullanıcı adı ve şifresini girerek işlemi onaylamaları yeterliydi. Bunu niçin de aşağıda belirtilen adrese gidip işlemi başlatılabilmesi için onay verilmesi gerekiyordu.

Söz konusu web adresi hedef kurum için tasarlanmıştı. Kurumun e-posta sunucusunun web mail erişimi veren sayfasının birebir kopyası oluşturulmuş ve kullanıcı adı ve şifresi ekranın aynını hazırlanıp altına da onaylamak için tıklayınız yazan bir bağlantı verilmişti.

Son gelen mesajdaki bağlantıya tıklanıldığında ücrestsiz web alanı veren bir siteye yönlendiriliyordunuz. Sitede her bir hedef kurum için “webmail.kurum_adı” ile başlayan ve sonuda alanı veren sitenin adı ile biten alan adı üzerinde bir sayfa hazırlanmıştı.

Hizmeti veren siteyi doğrudan ziyaret edildiğinde ise hizmetin içeriği ile ilgili bilgi veren bir sayfa ile karşılaşıyordunuz. Bireysel hesaplar standart özelliklere sahip olurken arama motorlarına kayıt ettirilmiyordu. Profesyonel ve kurumsal hesaplar standart özelliklerden farklı ek özelliklere sahip iken arama motorlarına kayıt ediliyordu. Saldırgan veya saldırganların geride iz bırakmamak için bu siteyi tercih ettikleri anlaşılıyor.

Saldırıyı planlayanlar bu sitede bir sayfa oluşturup arama motorlarında kayıt edilmeyeceği için tercih etmiş olmalıydılar. Sayfada belirtilen formu rastgele harf ve sayılardan oluşan bir kullanıcı adı ve 111111111111 şifresi ile bir çok giriş yaptım. Hatta aynı kullanıcı adını farklı şifreler ile tekrar giriş yaptım. Sitedeki sayfa sadece kullanıcı adı ve şifrelerini edinmek için tasarlanmıştı. Aynı kullanıcı adına ait farklı şifreleri de kabul etmesi bunu gösteriyordu. Her işlemin sonucunda aynı sayfada “isteğiniz işleme alınmıştır” mesajı döndürülüyordu.

Bu saldırının başarılı olup olmadığını bilemiyorum. İkinci dalga da konunun idari makamlara iletilmiş olduğu gerekçesi ile bir çok kişi bilgi vermek istemedi. Arkadaşlarımdan bazıları konuyu özel olarak takip ettiği için benzer e-posta mesajlarının kullanıcılara gelmesi üzerine önlem aldıklarını ve kullanıcıları bilgilendirip eğitim verdiklerini bildirmişti. Bir arkadaşım ise bir diğer arkadaşının sorumluluğunda olan bir e-posta sunucusuna benzer yemleme mesajlarının geldiğini ve izleyen günlerde ise Bolivya, İspanya ve Bangladeş ait IP adreslerinden web mail sayfalarına erişilip giriş yapılmaya çalışıldığını tespit ettiklerini belirtmişti. Bu girişlerden 23 tanesinin başarılı olduğu yani kullanıcı adı ve şifresinin doğru girildiğini belirlemişler. Bu olayı izleyen gelişmeler hakkında ise bilgim yok.

Saldırının hedefi olurken aynı zamanda sistem tarafında yer alan kişilerden gelen bilgileri bir araya getirince saldırının kullanıcıların tuzağa düştükleri noktanın İngilizce veya bozuk Türkçe ile yazılmış mesajlar olmadığını düşünüyorum. Türkçe olarak ama doğru biçimde yazılmış HTML mesajlar ile web mail sayfalarının birleştirilmesi kullanıcıların bu tuzağa düşmesini sağlamış olabilir. Gözlemlediğim kullanıcıların kurumsal web sitelerindeki sayfaların tasarımındaki sürekliliğe dikkat ettikleri ama sayfaların adresine dikkat etmedikleridir. Kullanıcı için sayfanın tasarımında veya içeriğindeki bir farklılık ortaya çıkması durumunda bile sayfa adresine bakmak son yapılan iştir.

Sosyal mühendislik ile desteklenen bir saldırının başarılı olma olasılığın yüksek olduğunu bir kez daha görüyoruz.