Eyl.26

Hacker ve Toplum Mühendislerinin Uyguladıkları Popüler Saldırı Metotları ve Alınabilecek Önlemler – Başka Kimliklere Kurbanı Aldatmak, Üçüncü Kişi Olmak

Birisi gelip bizden e-posta şifremizi, bilgisayarımızın oturum şifresini, üyeliğimizin olduğu bir siteye ait bilgileri ve kişisel bilgilerimizi istediğinde doğal olarak böyle bir talepte bulunan kişiye güvenmez ve bilgilerimizi asla paylaşmayız. Ancak bir yakın arkadaşımız, ailemizden biri, güvendiğimiz insanlar veya o an için mutlaka güvenmemiz gereken kişiler söz konusu ise az çok tereddüt etsek bile bilgilerimizi paylaşmak zorunda kalabiliriz.

Bir hacker veya dolandırıcı (sosyal mühendis) gizli bilgilerinizi ele geçirmek istediğinde eğer bilgisayarınıza erişim sağlayamıyor ise size erişim sağlamaya çalışır. Kurbanlarını kullanır. Elinde iplerini tuttuğu bir kukla oynatıcısı gibi kurbanlarına istediklerini yaptırmayı arzular. En azından bunun için uğraşır.

Bilişim ve internet dünyası; bir sanal dünyadır. Sanal dünyada her şey ve herkes taklit edilebilir. İnternet korsanları da bu olguyu kullanarak bilgiye ulaşma yolunda çeşitli dolandırıcılık ve hack teknikleri geliştirmişlerdir.

Bu teknik ile bilgi korsanlığı yapılır iken hedef yani kurban ve kurbandan ele geçirilmek istenen bilgiler bellidir. Sadece hedefe yönelik bir saldırı metodu olduğu için programlama bilgisinden çok insanları kandırma sanatına dayanan bir yöntemdir. Hacker’lardan ziyade toplum mühendislerinin sıklıkla kullandığı bir metot olmuştur.

Öncelikle sanal dünyada kimlik kavramı ne demektir, onu öğrenelim.

Sanal kimlik; bir kişiyi veya kurumu diğer şahıslara tanıtan ve bilgilendiren öğeler (resim, metin, site, imza, e-posta, e-imza gibi…) olarak tanımlanır. Örnekler ile açıklayacak olursak; bir e-posta adresi bize kim ile yazıştığımız hakkında bilgi verebilir. E-posta adresi altında yer alan e-imza ise gerçekte o e-posta’yı kimin gönderdiğini resmi bilgiler ile destekleyebilir. Aynı şekilde bir şirket içi iç yazışma belgelerinde kullanılan kaşeler yine belgenin sahibini ortaya koyabilir.

Bir saldırgan kimlik taklidi ile bilgi korsanlığı yaparken temel olarak 5 aşama izler.

• Kurbanının iletişim kurduğu şahısları tespit etmek.
• Kurbanının iletişim kurduğu şahıslar hakkında materyaller toplamak.
• Taklit edilecek şahsa karar vermek.
• Yeri alınacak olan şahsı taklit etmek.
• Kurbana gizli kimlikle yaklaşıp, bilgi sızdırmak ve hedefe ulaşmak.

Şimdi bu aşamaları inceleyelim.

Toplum mühendisleri veya hacker’lar hedef aldıkları kurban hakkında öncelikle bir fizibilite yapar. Kurbanlarından elde etmek istediği bilgiler doğrultusunda, kurbanlarının iletişim kurduğu kişi ve kurumları tespit ederler. Sonrasında ise tespit edilen şahısları araştırır. Hangi şahısın veya kurumun hedefi ile bir irtibatı olduğunu araştırır. Sonunda da taklit edeceği kişiyi belirler. Söz konusu kişiyi nasıl taklit edebileceğini araştırır ve gerekli materyalleri temin eder. Kişi hakkında özlük bilgileri edinir ve kurbana dikkat çektirmeden yaklaşır. Ancak bu metot sadece bir seferliktir ve ne saldırgan açısından ne de kurban açısından telafisi yoktur.

Şimdi size yaşamış olduğum bir anımı anlatayım. Belki böylece konuyu daha iyi kavramış oluruz.

(Senaryo) Örnek: Domain Yönlendirme

İnternette gezinirken bir foruma denk geldim. Forumda benim yazmış olduğum makalelerin ve eğitim dokümanlarının kaynak gösterilmeden yayınlanmış olduğunu gördüm. Site yöneticilerine bu durumu bildirdim ve bana ait olan dokümanların izinsiz olarak yayınlanmasından dolayı rahatsız olduğumu bildirdim. Ancak ilerleyen günlerde beni fazla dikkate almadıklarını fark ettim ve eğer onlar silmiyorlarsa ben silerim diyip kolları sıvadım.

Peki, bunu nasıl başaracaktım?

Aklıma gelen ilk fikir, forum yöneticilerinden birinin hesabını ele geçirip forum üzerinde yetki sahibi olmaktı. Mantıklı geldi. Ama biraz zahmetliydi. Biraz daha düşündüm. Acaba forumu komple silebilir miyim? Forumun script’ini araştırdım ve açıklarını bulmaya çalıştım. Ama olmadı… Pes etmek üzereydim… Yatağıma biraz uzandım ve düşünmeye başladım. Sonunda aklıma bir fikir gelmişti, ama işe yarayıp yaramayacağından emin değildim. Öğrenmenin tek bir yolu vardı, o da denemek.

Saldırımı yapmak için ilk olarak forumun kimin adına kayıtlı olduğunu sorgu yaparak öğrendim. Bu kişiye ait e-posta adresini de öğrendim. Dahası forum için adresin nereden alındığını da basit bir sorgu ile öğrendim. Son olarak ise forum adresini alan kişinin ismine ait olan diğer web sitelerinin adreslerini de öğrendim. Elimde üç adet basit ama işe yarar bilgi vardı.

Sonrasında da şu yolları izledim.

İlk olarak forum adresinin alındığı web sitesinde yeni bir üyelik açtım. Rast gele bir isim ile kendime bir domain siparişi verdim. Ancak ödemeyi yapmadım. Aldığım domain’in Name Server yönlendirmelerini yine rast gele bir hosting firmasına yaptım. İşlemin hemen sonrasında birkaç e-posta adresime bildiri geldi. İşlem kayıtlarımın raporları, işlemlerimin gerçekleştirilebilmesi için ödeme yapmam gerektiği belirten bildiri e-postaları. Web adresi için ödeme yapmak o an için beni ilgilendirmeyen bir konuydu. Beni ilgilendiren kısım, domain satışı gerçekleştiren firmanın göndermiş olduğu e-posta formatıydı. Yani e-posta konu başlığı, e-postayı gönderen kurumun resmi adı, reply edilecek e-posta adresi, e-posta içeriğindeki html şablonu, elektronik imzalar, font biçimleri, renkleri v.s. Artık hepsi elimdeydi.

İkinci aşamada kendime bir domain satın almak zorunda kaldım. Domain alırken isim taklit ettim. Orijinal olan godaddy şirketine benzer olarak gocladdy.com adresini satın aldım. Sonrasında ise bu sitenin birebir kopyasını oluşturdum ve kendi sunucumda yayınlandım. Artık sahte bir domain satan şirketim vardı.

Hazırladığım web sitesinde üye giriş formunu kendi e-posta adresime yönlendirdim. Artık kurbanım bu sitede giriş yapacağı zaman bilgileri direkt olarak benim e-posta adresime gelecekti. Aynı zamanda üye girişi sırasında kurbanıma şüphe uyandırmak istemiyordum. Buna çözüm olarak post metodunu kullanarak kendi sahte web sitemden aldığım kullanıcı adı ve şifre bilgisini asıl sitedeki forma yönlendirip giriş yaptırmak istiyordum.. Kurbanım benim sitemden giriş yaparak hem şifrelerini bana gönderdi hem de asıl sitede giriş yapabilecekti.

Üçüncü aşamada kendi web sitem altında bir form hazırlamak vardı. Bu form aslında hack için kullandığım bir formdu. Form aracılığı ile sahte e-posta’lar gönderebiliyordum. Yani gönderenin e-posta adresini dilediğim gibi belirleyebiliyor ve istediğim kişiye e-posta atabiliyordum.

Hazırladığım web formunu kullanarak hack etmek istediğim forumun domain’ini alan kişinin e-posta adresine, domain aldığı firmanın adı ve e-posta adresini kullanarak şöyle bir mesaj attım.

Name Server yönlendirme işleminiz başarı olmuştur… Devamında detaylı bilgiler, şirket logosu, imzalar ve en son web sitesinin adresi. Ancak bu adrese tıklandığında benim sahte siteme yönlendirilecek.

Kurbanım bu e-posta ile web sitesinin hack edildiğini, web sitesinin bir başka sunucuya yönlendirdiğini düşünmesini istiyordum. Gerçi e-posta’da yazanlar olacak ama henüz değil.

Çok vakit geçmeden bir e-posta geldi. İletiyi açtım, baktım ve karşımda hack etmek istediğim forumun domain adresinin barındırıldığı domain satış sitesine giriş yapabilmek ve forumu başka bir adrese yönlendirebilmek için gerekli olan kullanıcı adı ve şifre. Her şey istediğim gibi gidiyordu. Ancak biraz daha sabırlı olmam gerekiyordu.

Sabaha karşı 4 gibi domain satış sitesine giriş yaptım. Kurbanımın hesabında yer alan bütün domain adreslerini kendi sunucumda bir sayfaya yönlendirdim. Sayfada sadece basit bir kuru kafa resmi vardı. Böylece web sitelerinin hack edilmiş olduğunu anlayabileceklerdi.

Son olarak forum yöneticisine e-posta attım. Sizi yormak istemedim, kendi mesajlarımı kendim sildim!

Hikayeyi inceleyecek olursak burada dikkat edilmesi gereken husus çok fazladır. Özellikle de taklit metotlarında ne kadar dikkat etseniz de bazı detayları normal kullanıcılar olarak göremezsiniz. Örnekteki saldırıda dikkat edilmesi gereken iki temel nokta vardı. Birincisi, giriş yaptığınız web sitelerini kontrol etmeniz. İkincisi de e-posta taklitlerine karşı önlem almanız. Bunu da ancak e-posta’ları gönderen kişilerin IP adreslerini görüntüleyerek yapabilirsiniz. E-posta hesabınızı aldığınız sunuculardaki ayarlamalarınızı düzenleyerek IP görüntülemeyi sağlayabilirsiniz. Ancak bu saldırı metodunda en önemli kriter; kişiyi korkutmaktır.

Senaryoda görüldüğü üzere e-posta gönderdiğim zaman kişiye web sitesinin yönlendirildiğini söyledim. Kurbanım o an için ister istemez panikleyecek ve panik hali ile hızlı ve düşünmeden hareket edecektir. Psikomotor davranışlar ile ezbere işlemler yapacaktır. Asla giriş yaptığı sitenin güvenilirliğini kontrol etmeyecektir. Öyle de oldu. Kurbanım e-posta iletisindeki link’e tıkladı ve benim hazırladığım sahte siteye yönlendirildi ve kullanıcı adı ve şifre bilgilerini bana göndermiş oldu.

İçeriği paylaş:
  • facebook
  • twitter