AliExpress kullanıcılarını hedef alan oltaya dikkat

AliExpress kullanıcılarını hedef alan oltaya dikkat
Kasım 24 07:11 2017 Yazıyı Yazdır

Black Friday haftasında güvenlik araştırmacıları, Alibaba‘ya ait popüler bir çevrimiçi perakende hizmeti olan ve dünya çapında 100 milyondan fazla müşterisi olan AliExpress.com‘da bir güvenlik açığı bulunduğunu duyurdu. Çevrimiçi alışveriş portalında bir yönlendirme açığı (open redirection) keşfedildi. Saldırganlar, alışveriş yapmak isteyen kişilere kimlik avı yapmak için tasarlanmış sahte bir alışveriş kuponu gönderdiler.

Hackerlar, AliExpress kullanıcılarını kötü amaçlı JavaScript kodu içeren bir AliExpress web sayfasına yönlendirerek, onları hedefleyen kodun, web tarayıcısında çalışmasını sağlıyorlar. Bu yönlendirmeyle, AliExpress’in XSS saldırılarına karşı korumasını atlatabiliyorlar. Ana ekranda müşterilerin kredi kartı bilgilerini isteyen sahte bir pop-up açılıyor. Saldırganlar, bu sahte açılır pencere sayesinde alışveriş yapmak isteyen kullanıcıların kredi kartı bilgilerini çalabiliyorlar.

Güvenlik açığı için bir exploiting tekniği geliştiren güvenlik araştırmacıları, AliExpress’in bu gibi saldırıları durdurmak için basit bir yöntem kullandığını belirtti. Bu yöntem, kullanıcıya ait bilgi talep eden sayfanın üst bilgisini (header) kontrol etmekten geçiyor.

Araştırmacılar kurbanlarına onaylanmış ve güvenilir bir AliExpress URL’sinden yönlendirilebilecekleri kötü amaçlı bir bağlantı gönderdiler. Bunun başarılı olabilmesi için, araştırmacılar, AliExpress’te, kötü amaçlı bağlantı yerine geçebilecek ikinci bir bağlantıya yönlendiren link gönderdiler. Araştırmacılar tarafından seçilen bağlantı kısaltılmıştı, bu nedenle şüpheli görünmüyordu. Bağlantıya tıklayan müşteriler, daha sonra JavaScript’i çalıştıracak sayfaya yönlendirilecek ve sahte kupon yayınlayacak olan bir AliExpress giriş ekranı göreceklerdi.

Kimlik avı saldırılarına karşı savunma yöntemleri

Alışveriş mevsimi yaklaştıkça, saldırganlar avantajlardan acele yararlanmanız için kendi kimlik avı taktiklerini oluştururlar. Bir kimlik avı aldatmacasına kurban gittiğinizden şüpheleniyorsanız, hemen tüm hesaplarınızdaki parolaları ve PIN’leri değiştirin.

İşte size kimlik avı dolandırıcılığından korunmayla ilgili diğer ipuçları:

  • Güvenilir alışveriş sitelerinin doğru adreslerini yer imlerinize ekleyin. İyi fırsatlar bulmak için arama motorlarını kullanmaktan kaçının. Aramalarınızın güvenilir, güvenli alışveriş siteleri ile sınırlandırılması, sahte bir siteye inme şansınızı azaltabilir.
  • Her zaman linkleri kontrol edin. URL adresinin meşruluğunu doğrulamak için, imlecinizi tıklamadan önce gömülü bağlantı üzerine getirin. HTTPS başlıklı siteleri tercih edin.
  • Sahte e-postalar genellikle genel bir tebrik içerir. Kullanıcının e-posta adresi, alıcıya doğrudan kendi adıyla hitap etmek yerine kullanılabilir ve bu dikkat edilmesi gereken bir durumdur.
  • Zayıf dil bilgisi veya yazım hatalarına dikkat edin. Doğru e-postalarda göze çarpan hatalar yoktur.
  • Zararsız tasarlanmış e-postaları tanıyın. Yanlış veya yerinde olmayan logolar ve düzenler, bir mesajın güvenilir bir kaynaktan olmadığını gösteren işaretlerdir.
  • Parolanızı isteyen web sitelerine dikkat edin. Güvenilmeyen veya üçüncü taraflara ait sitelere asla parolalarınızı veya hassas bilgileri vermeyin.
  • Acil eylem isteyen e-postalardan veya sitelerden uzak durun. Bazı mesajlar, bazı bağlantıları tıklamak veya kişisel bilgileri ifşa etmek gibi harekete geçirici çağrıları içerecektir.
  • Gerçekten çok iyi olan tekliflere karşı dikkatli olun. “Bir şey gerçek olmak için fazla iyiyse o şey yalandır.” diye bir söz vardır ve online alışveriş için de geçerlidir. Çok düşük fiyatlarla sunulan eşyalara dikkat edin.
  • Kart ekstrelerinizi düzenli olarak kontrol edin. Yetkisiz işlemler için uyanık olun.

 

Gönderen: Hakan E. Deniz

daha fazla yazı

Yazar Hakkında

Konuk Yazar
Konuk Yazar

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.