Siber Uzay'ın Haber Platformu

H4cktimes Youtube Kanalı

Bulutta Phishing Saldırıları

0

Geçen hafta Microsoft, attığı bir tweet ile kendi kullanıcılarını uyararak, yeni bir phishing (oltalama) saldırısı yöntemini ortaya çıkardı. Bu yöntemi kullanan siber saldırganlar özel 404 hata sayfalarını kullanarak Microsoft kullanıcılarından hassas bilgilerini çalmayı hedefledi. Microsoft güvenlik araştırmacıları, siber saldırganların bir alan adı kullanarak ve Microsoft’un resmi giriş sayfasına benzeyen sahte bir giriş formu görüntülemek üzere 404 hata sayfası yapılandırdıklarını ortaya koydu. Saldırganlar, tek bir sahte giriş sayfası oluşturmak yerine 404 hata sayfası tasarlayarak sınırsız sayıda phishing açılış sayfası elde ettiler.

Bu saldırıyı düzenlerken saldırganlar geleneksel phishing saldırılarında kullandıkları yöntemi kullanmayıp kendi sunucularının dışında bu saldırıları başlattılar. Kendi sunucuları yerine Google’ın Firebase ürününü temel alan bir web barındırma hizmeti olan Google’ın web.app platformunda birkaç sunucu örneği oluşturdular.
web.app sayfasını ziyaret ettiğinizde aşağıdaki ekran görüntüsünü göreceksiniz:

Bu platformda bir web sayfası oluşturarak, Google’ın üst düzey siteden türetilmiş kendi HTTPS sertifikasıyla birlikte, Google’ın bulut ürününün bir alt alanı olan herhangi bir site adını kolayca alabilirsiniz.

Aslında, tüm (veya en azından çoğu) alt alan adları otomatik olarak DNS üzerinden çözümlenmiş gibi görünür, Firebase sunucularından varsayılan yanıtlar üretir ve ekran görüntülerinden anlaşıldığı gibi bunlar ana web.app sertifikası kapsamındadır.

Rastgele seçilen birkaç web.app alt alan adı, DNS kullanılarak bakıldığında, aynı iki IP numarasını üretir:

Bu listeden rastgele alt alan adlarından herhangi birini seçmek, bir varsayılan “tutma sayfasına” (holding page) gitmenize yol açar; bu genellikle bir barındırma sunucusunu ziyaret ettiğinizde ve henüz oluşturulmamış içeriğe veya henüz kimsenin talep etmediği alan adlarına erişmeye çalıştığınızda görülen bir durumdur.

Asma kilit tıklatıldığında ve web sertifikası ayrıntılarına bakıldığında, jargonda wildcard sertifikası olarak bilinenler ile, Google’ın web.app’in tüm alt alanlarında sorumluluk aldığını görülür.

* (yıldız), bir wildcard karakteri olarak bilinir ve genellikle dosya adlarında ve alan adlarında ‘herhangi bir yasal metnin buraya gidebileceğini’ belirtmek için kullanılır.

Web siteler üzerindeki SSL sertifikası wildcard kullanılarak verildiğinden, üretilen alt alan adlarının tümü aynı SSL sertifikası tarafından kapsanır. Diğer bir deyişle, bir web sertifikasındaki Subject Alt Name, bir alan adının sahibinin, aynı sertifikayı kullanarak bir dizi farklı alan adını kapsaması ve wildcard karakteri ile, bu farklı adlarının olası tüm alt alan adlarını kullanmasına olanak sağlar:

Saldırganlar Ne Yaptı?

Saldırganlar çok sayıda benzer ama farklı olan web.app alan adı oluşturdular.
Kullanıcıların ve araştırmacıların ve siber güvenlik endüstrisinin otomatik olarak şüpheli programları, web sitelerini ve ekleri paylaşabilecekleri bir site olan Google’ın VirusTotal hizmeti aracılığıyla bildirilen 56 farklı incelemede, bunlardan 4 alan adı HTTP 451 hatasını verdi. Bu; yasal nedenlerle engellendi anlamına gelen bir web dönüş kodudur.

Kalan 52 alan adı, “sayfa bulunamadı” anlamına gelen HTTP 404 hatasını verdi, ancak yalnızca 43‘ü (yukarıdaki ekran görüntüsünde gösterildiği gibi) bir “Site bulunamadı”‘ sayfasıydı, yani hiç bir şekilde böyle bir sayfanın olmadığı anlamına geliyordu.
52 tane “sayfa bulunamadı” alan adının 9‘u zaten ayarlanmıştı ve varsayılan “sayfa bulunamadı” içeriğinin bir phishing sayfası olması için yapılandırılmıştı:

HTTP 404 “sayfa bulunamadı” anlamına gelse de, sorunlu hata kodunu bildiren web trafiğinin kendisi zaten normal bir HTTP yanıtı olduğu için yanıt gövdesine bir web sayfası içerebilmektedir.

Bir tarayıcı penceresine bakan bir kullanıcı için, “sayfa bulunamadı” sayfası, bir HTTP 200 koduyla işaretlenen bir yanıt gibi gösterilir, bu “Tamam” anlamına gelir.  Başka bir deyişle, bulunan bir sayfa aracılığıyla bir “sayfa bulunamadı” bildirimi gerçekleştirilir.  Apache web sunucusu da özel bir 404 sayfasına sahiptir ve ziyaretçilere resmi 404 “sayfanız bulunamadı” diye uyarı verir. “Sayfa bulunamadı” sayfasının kendisinde “sayfa bulunamadı” hatası varsa ne olacağını bilinmemektedir.

Saldırganların phishing sitelerini tasarlarken oluşturdukları görüntü şaşırtıcı bir şekilde gerçeğe yakındır.

Microsoft’un belirttiği gibi, bir HTTP 404’ü orijinal sayfa olarak kullanmak siber saldırganlar için kolay ve temiz bir yöntemdir. Bu şekilde phishing sitesine giren kullanıcılar için saldırganlar, böylece farklı web.app hesaplarında her bir phishing (oltalama) kampanyası için farklı bir URL ayarlamak zorunda kalmayacaktır.

URL yapılarından bir kaç örnek:
https://outlookloffice365userxxxxxxxx.example/ue10kfsuja8ur/hee8rjmn1il5ngeg159
https://outlookloffice365userxxxxxxxx.example/t7f95d225an169lousbhfk1ocp72vigg
https://outlookloffice365userxxxxxxxx.example/2019/08/19/important-note.html
https://outlookloffice365userxxxxxxxx.example/v5a5eflkm6vhglru
https://outlookloffice365userxxxxxxxx.example/login.aspx
https://outlookloffice365userxxxxxxxx.example/reactivate-your-account?user=dpk6n69

Sonuç

Özetle anlatmak gerekirse, siber saldırganlar, programlama veya karmaşık bir yapılandırma komut dosyası gerektirmeden, istedikleri kadar farklı phishing URL’si sunmak için karmaşık olmayan bir web barındırma platformu kullanmanın bir yolunu bulmuştur.

Sahte giriş sayfası doldurulup gönderildiğinde, kullanıcı adı ve parolayı içeren web formu, Doğu Afrika’daki bir otelin hacklenen web sitesindeki bir sayfa aracılığıyla yüklenecektir. Otelin sunucusu beklediğiniz gibi HTTPS kullanıyor, bu nedenle tarayıcınız güvenli olmayan HTTP üzerinden bir parola göndermek istediğinizde sizi uyardığı gibi, bu sefer uyarmayacaktır.
Hem web.app açılış sayfasının hem de otelin veri çıkarma sayfasının şifrelenmiş bağlantılarını kullanan siber saldırganlar, sertifikaya başvurma gereği duymaksızın kendileri için HTTPS sunucularını elde etmişlerdir; bunu basit bir şekilde bulutta kalarak ve zaten şifreli olan sunucuları kullanarak yapmışlardır.
Siber saldırganlar, phishing bağlantıları için farklı alan adı hazırlamış ve bu 52 alanın her birinde kullanılacak pratikte sınırsız URL kaynağına sahip olmuşlardır.

Bu Saldırılara Karşı Ne Yapmalı?
  • E-posta üzerinden ya da farklı iletişim programlarından mesajlaşma ile gelen giriş (login) bağlantılarından kaçının. Çevrimiçi hesaplarınızdan birine giriş yapmanız gerekiyorsa, linki tıklamak yerine her zaman girdiğiniz yöntemi kullanarak web sitesine erişim sağlayın. Gerçek servisler sizden giriş yapmanızı isteyebilir, ancak genellikle bir bağlantı göndermekten kaçınırlar, çünkü tıklamanızı beklemeyeceklerdir ve kesinlikle yapmamanızı tavsiye ederler.
  • Bir parola yöneticisi kullanarak, bu tür saldırılardan kurtulabilirsiniz. Farklı bir web sitesinde parola yöneticiniz parolanızı girmeyecektir.
  • Her hesabınızda çok faktörlü doğrulama seçeneğini kullanın. Çok faktörlü doğrulama sistemi, her oturum açtığınızda kodları telefonunuza veya mail adresinize gönderir. Phishing saldırılarından bu seçenekle kurtulabilirsiniz.
  • İnsan, Süreç ve Teknoloji unsurlarını kapsayan yeni nesil güvenlik çözümlerinden faydalanın. (Örnek: Keepnet Labs)
  • E-posta üzerinden ya da farklı iletişim programlarından gelen herhangi bir linke tıklamadan önce bunun gerçek olup olmadığını kontrol edin. İmla hataları, yazım yanlışları gibi işaretleri arayın. İçerisinde linkler varsa dolandırıcılar sizi sahte bir sayfaya yönlendiriyor olabilir, bunlara dikkat edin. Phishing simülasyon araçları ile gerçek saldırıları deneyimleyin ve bunları kolayca tanıyarak her zaman bir adım önde olun.
  • Kullanıcılarınızı eğitin. Phishing simülasyon araçları ve siber güvenlik farkındalık eğitimleri ile kullanıcılarınızı test edin ve eğitin.

 

Referanslar:

Twitter, Microsoft. https://twitter.com/MsftSecIntel/status/1161426693795414016
Keepnet Labs. Three holistic solution. https://www.keepnetlabs.com/

Yorum Bırak

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.