Phishing Saldırıları: Kötü Niyetli Kişilerin Oyunlarından Korunmak İçin İpuçları ve Taktikler

PHISHING SALDIRILARI

Phishing olarak adlandırılan “Oltalama Saldırıları” kullanıcılara e-posta yolu ile bağlantı göndererek veya sahte web siteleri, diğer sahte iletişim araçları kullanarak  bu bağlantılar ile hedef kullanıcıların bilgisayarlarında kötü amaçlı dosyaları çalıştırarak kişisel verileri çalmayı amaçlar.

Kullanıcılar, mesajın gerçek olduğunu düşünerek, sahte web sitelerine veya sahte e-postalara yanıt verir veya kişisel bilgilerini girerler. Sonrasında saldırganlar, bu kişisel bilgileri kullanarak kimlik hırsızlığı veya finansal dolandırıcılık yapabilirler.

Daha önceki “ Cyber Kill Chain” yazımızdaki anlatılan aşamalarda “Delivery” yani teslim etme aşaması oltalama saldırılarının iletildiği adımdır.

Hangi Postalara Dikkat Etmeliyiz?

• Posta kutusunda “ Büyük İndirimi Kaçırmayın”, “100. Müşteri Ödülünü Siz Kazandınız” v.b gibi mailler ile hedef kullanıcıya zararlı linkler gönderilir. Bu linkler gönderilirken hedefin insani duyguları hedef alınır.
• E-postada verilen linkleri tıklamadan önce, adres çubuğunda URL'nin doğru olduğundan emin olun. Sahte e-postalar genellikle, bir şirketin gerçek web sitesine benzeyen sahte web sitelerine yönlendiren linkler içerir.
• E-posta yoluyla asla kişisel bilgilerinizi, şifrelerinizi veya finansal bilgilerinizi paylaşmayın. Gerçek bir şirket asla bu tür bilgileri istemez.

E postalar gönderilirken en sık karşılaşılan bir durum söz konusudur. Bu “ Kimlik Sahtekarlığıdır”. Saldırgan seçtiği hedefe e-postanın güvenli olduğuna inandırmak için başkası adına e-posta gönderebilir. Siber dünyada buna “Email Spoofing” denir.

Gönderilen mailin gerçek olup olmadığını anlamak için çeşitli protokoller oluşturulmuştur. Bunlar;

• SPF (Sender Policy Framework): SPF, bir e-postanın doğru bir şekilde kim tarafından gönderildiğini doğrulamak için kullanılan bir güvenlik protokolüdür. SPF, e-posta sunucusuna gelen e-postanın kaynağı hakkında bilgi veren bir DNS kaydıdır.

• DKIM (DomainKeys Identified Mail): DKIM, e-postanın bütünlüğünü korumak ve gönderen kimliğini doğrulamak için kullanılan bir teknolojidir. DKIM, e-posta sunucusu tarafından gönderilen e-postanın bir dijital imzasını oluşturur ve imzayı, e-postanın alıcıya ulaştığı sunucu tarafından doğrulanabilir hale getirir.

• DMARC, alıcı sunucuların SPF ve DKIM doğrulamasını yapmasını ve e-postanın sahte olup olmadığını belirlemesini sağlar. Ayrıca, DMARC, sahte e-postaları tespit etmek ve engellemek için alıcı sunuculara raporlama mekanizmaları sağlar.

Gerçekleştirilen saldırının boyutunu  ve hedefi bilmek, kendini koruma aşamasında çok önemli rol oynar. Analiz yaparken;

• Gönderici adresi, alıcı adresi, SMTP adresi, Ip adresi, konu içeriği, zamansal bilgileri öğrenmek gerekir.

Bir E-Postanın Analizi:Uygulamalı Anlatım

1-) Örnekler üzerinde anlatmak için kendi mail hesabıma bir mesaj gönderdim. Mesaj sonunda bir ek ilave ederek şüpheli durumunu arttırdım. Ayrıca kötü amaçlı yazılımın hızlı ilerlemesi için zaman kavramı ekleyerek hedefimi hızlandırdım.

2-) Gelen mailden şüpheleniyorum çünkü yakın zamanda bir iş başvurusu yapmamıştım.  Analiz etmek için mailimi indirerek Outlook 2016 ile açtım.İletiyi indirmek için görseldeki 3 nokta alan butona basıp indiriyoruz.Daha detaylı incelemek için özelliklere tıklıyorum.

3-)İlk önce İnternet üst bilgileri kısmındaki bilgileri kopyalayıp bir notepad yardımıyla açarak daha bilgileri daha net okuyorum.

Analiz  yaparken dikkat edilmesi gereken ilk kısım “FROM” VE “TO” kısımlarıdır. Postanın kimden kime gittiğini gördüğümüz alanlardır.  Bir diğer dikkat edilmesi gereken kısım “DATE” zamansal bilgilerin olduğu kısımdır. Genellikle Gmail zaman biçimini “ gün ay yıl x:x:x” olarak verir.

Subject gönderilen e-postanın konusunu gösterir.

Message-ID, gönderilen postanın benzersiz bir ID değeri vardır. Aynı değere sahip 2 posta olamaz buradan postanın kimliğine ulaşılır. 

Not: Gelen posta yanıtladığı zaman postanın, FROM ve REPLY-TO  bilgilerinin aynı olması gerekmektedir. Aksi halde şüpheli bir durum söz konusu olabilir.

Son olarak postalarda gönderilen dosya, url gibi eklerin dikkatli bir şekilde incelenmesi gerekir. Ayrıca mail içerisinde yer alan web adreslerinden şüpheleniyorsanız “Browserling” gibi online tarayıcılar ile siteye bakabilirsiniz. Browserling gibi tarayıcıların avantajı olası güvenlik açıklarından etkilenmenizi önlemektir.

 Bu tarz tarayıcılar için aşağıdaki sanal alanları kullanabilirsiniz;

• VMRay
• Cuckoo Sandbox 
• JoeSandbox
• AnyRun
• Hybrid Analysis(Falcon Sandbox)

Kendimi Nasıl Korurum?

• Şüpheli e-postaları engelleyin: Şüpheli e-postalar, sahte bağlantılar ve ekleri içerirler. Güvenmediğiniz kişilerden ve tanımadığınız e-posta adreslerinden gelen e-postaları açmayın ve silin. 

• Bağlantılara dikkat edin: E-postalarda veya sosyal medyada paylaşılan bağlantılar, phishing saldırganlarının sizi sahte web sitelerine yönlendirmesinde kullanılabilir. Bağlantılara tıklamadan önce, bağlantının gerçekten doğru bir web sitesine yönlendirdiğinden emin olmak için tarayıcınızın adres çubuğundaki URL'yi kontrol edin.

• Güçlü parolalar kullanın: Güçlü, karmaşık ve benzersiz parolalar kullanın

• İki faktörlü kimlik doğrulama kullanın: İki faktörlü kimlik doğrulama, hesabınıza erişim sağlamak için ek bir güvenlik katmanı sağlar. Bu nedenle, mümkün olduğunda hesaplarınızda iki faktörlü kimlik doğrulama özelliğini etkinleştirin.

• Kişisel bilgilerinizi paylaşmayın: Kimlik avı saldırıları, kişisel bilgilerinizi ele geçirmek için tasarlanmıştır. Bu nedenle, kimliğinizi korumak için kişisel bilgilerinizi paylaşmaktan kaçının. Kişisel bilgilerinizi paylaşmanız gerektiğinde, yalnızca güvenilir siteleri kullanın.

• Düzenli olarak güncellemeleri yapın: İşletim sistemi, antivirüs programı ve diğer yazılımlarınızı düzenli olarak güncelleyin. Bu, bilgisayarınızın ve kişisel verilerinizin güvenliğini sağlar.

Yazımı okuduğunuz için teşekkür ederim. Umarım faydalı olmuştur. :) Unutmayın "Bir tıklama, tüm bilgilerinizi tehlikeye atabilir."