7.12.2011

Phishing (olta/yemleme) saldırıları hakkında

Tüm spam korumalarına rağmen her hafta bir phishing saldırısının işareti olan mesajlar almaya devam ediyorum. Örnek olarak aşağıda ekran görüntüsü yer alan mesaj var.


Şimdi, bu saldırının amacı çok yüksek sayıda insana bu mesajı göndererek, aralarından bazılarının bu "oltaya" gelmesini ve akabinde hazırladıkları bankanın kopyası olan web sayfasındaki forma kişilerin özel bilgilerini girmesini sağlamak. Giderek artan bilinçli kullanıcı sayısı düşünülürse herkes bu oltaya gelmeyecektir. Öncelikle bu mesajın inandırıcı bir görünüme sahip olması gerek. Bu kadar rezil bir Türkçe ile yazılmış bir mesaj karşısında eminim birçok "çaylak" bile bu mesaja itibar etmeyecektir. Daha işin başında çuvalladılar. Hiç anlamıyorum, oturup o kadar İş Bankasının sitesinin kopyasını yaratmaya çalış, ondan sonra bir Türkçe bilen bulamayıp felaket ötesi bir mesajla herşeyi berbat et! Neyse, bu kadar başarısız olmaları iyi bişey elbette :)

Mesajı biraz inceleyelim. Mesaj info@isbank.com.tr adresinden gönderilmiş gözükse de aslında buradan gelmiyor (zaten İş Bankası mesajlarını musteri.hizmetleri@ileti.isbank.com.tr adresinden gönderiyor). Gönderen IP adresi 24.158.11.214 ki bu da DNS kayıtlarına göre isbank.com.tr'nin MX sunucularından biri değil. IP adresi Charter Communications (St.Louis, Missouri, US) adlı bir hizmet sağlayıcıya kayıtlı. IP adresinin coğrafi konumu ise Kiel, Wisconsin, US olarak geçiyor. Yani gönderen IP adresi ABD'de. Mesajın içinde https://www.isbank.com.tr/Internet olarak görünen bağlantılar ise (aslında SSL falan yok, düz http) farenin okunu biraz üzerine getirip bekleyince görülüyor ki aslında http://cust.static.84-253-30-221.cybernet.ch/www.isbank.com.tr/index.php gibi bir adres. Sitenin adındaki .ch soneki, alan adının İsviçre'ye kayıtlı olduğunu gösteriyor. Yani tıkladığınızda göreceğiniz İş Bankasının kopyası site Cybernet'in statik IP'sine sahip bir sunucusunda. Mesajı aldıktan bir süre sonra bu IP adresi ulaşılamaz oldu. Nasıl bir bilgi sistemine sahipler bilemiyorum, ama internet hizmet sağlayıcı olarak kendi ağlarındaki bir IP adresinin böyle bir saldırıda kullanılması sonucunda bu adrese erişimi engellediklerini düşünüyorum.

Yeni tarayıcıların zaten phishing saldırıları için bir korumaları var. Bir süre sonra bu adreslere erişilmek istendiğinde bu korumalar etkinse "erişmeye çalıştığınız adres sakıncalı" tipinde bir mesaj görüntüleniyor. Bu ekranın görüntüsünü almak isterdim, ama şu anda öyle bir görüntü alamıyorum.

En iyisi bu bağlantılara hiç tıklamamak. Tıklandığında uzaktaki sunucu bilgisayarınızdaki muhtemel açıklardan faydalanarak kötü amaçlı bir kod çalıştırmayı deneyebilir. Bu olmazsa sizi gerçek bankacılık sitesi olduğuna ikna ederek müşteri numaranızı ve şifrenizi girmeniz konusunda ikna etmeyi deneyecek.

Bu tür saldırıların kurbanı olmuş bir sürü insan olduğunu biliyorum. Bu insanların hesaplarından paralar şüpheli bir şekilde başka birisinin hesabına aktarılıyor. Yurt dışından başlatılan bu saldırılarda paranın aktarıldığı hesap maalesef ki bir Türk'ün hesabı oluyor. Söz konusu kişi bu olayda bir piyon olarak kullanılıyor. O da kendi hesabına aktarılan paraları yurt dışındaki bir adrese posta yoluyla (Western Union gibi) göndermek konusunda ikna edilmiş bir kişi oluyor. Daha sonra paranın gönderildiği bu adrese yönelik bir adli takip başlatlıyor ki o da tahmin ediyorum ki bir sonuca ulaşamıyor.

Göründüğü gibi bu tip bir saldırıda bilgisayarınıza kurduğunuz antivirüsün, güvenlik duvarının veya tüm yamaların, service pack'lerin hiçbir önemi yok. Önemli olan sizi ikna etmeleri. Yapılabilecek en iyi şey, bir süre sonra mesajın içindeki bağlantılara erişimi engellemek. Ama zaten bu mesajın acil önemine inanan kullanıcılar bu süreyi beklemeden işlem yaptıkları için bazıları için bu süre çok geç olabiliyor.

Önemle hatırlanması gereken birkaç nokta var ki, şöyle özetleyebiliriz,
  1. Bankacılık siteleri size hiçbir zaman "Hesabınıza erişildi, güvenliğiniz tehlikede, hemen aşağıdaki bağlantıya tıklayın ve giriş yapın" türünde mesajlar göndermez. Benzer durum telefonda da geçerli. Size telefon eden ve önemli bilgilerinizi isteyen kişilerin banka yetkilisi olmasını beklememelisiniz.
  2. İnternet bankacılığı gibi hassas veri iletişiminin söz konusu olduğu durumlarda, bankanızın adresini mutlaka elinizle girin. Bir linki, kısayolu, sık kullanılanlar bağlantısını vs. tıklamayın, Google'a yazmayın. Üşenmeden www.banka-adi.com.tr gibi bir adresi tarayıcınızın adres çubuğuna girin.
  3. Bu zayıf bir ihtimal ama, ağ ayarlarınızın olması gerektiği gibi yapılandırıldığından emin olun. Örneğin DNS sunucunuz şüpheli bir IP adresiyse, www.isbank.com.tr çözümlemesini doğru yapmayabilir ve sizi sahte bir siteye gönderebilir. Bir yerel ağda çalışan kullanıcıların o ağa güvenmeleri de gerek.
  4. Bankacılık siteleri gibi güvenli iletişim gereken durumlarda bağlantınızın https (SSL şifrelemesi ile) üzerinden gerçekleştiğinden emin olun. Tüm yeni tarayıcılar, SSL sertifikalarının geçerliliğini kontrol ederek, gerekli durumlarda kullanıcıları uyaracak şekilde yapılandırılmıştır.
  5. Bu tür işlemleri gerçekleştireceğiniz bilgisayar(lar)ın güvendiğiniz bilgisayarlar olması gerek. Bir internet cafe'nin bilgisayarına hiçbir zaman güvenmemelisiniz. Kendi bilgisayarınız bile olsa üzerine hoş olmayan işlemler yapılmışsa (örneğin herhangi bir yazılımı crack'lemek için bir program çalıştırılmışsa) bu bilgisayar (en azından bu işlemin yapıldığı işletim sistemi) artık güvenli işlemler için uygun değildir. Temel olarak güvenmediğiniz kişilerin sizin bilgisayarınızı kullanması bile bu amaca göre nahoş bir durum teşkil eder.
Nihayetinde bu işi yapanlar da elbet daha iyi bir Türkçe ile bu mesajları gönderecek, daha iyi hazırlanacaklar. Bu saldırının hedefi olan kullanıcıların da bu tip tekniklere karşı daha bilinçli olması gerek.

09.12.2011'de ek:
İş Bankası'ndan gönderilen mesajda bu konuya değinilmiş ve kopyalanmış sahte İş Bankası sitesinin bir ekran görüntüsüne yer verilmiş.

Bu da asıl site:

Hiç yorum yok: