Konu Başlıkları Gizle

  1. 1 Phishing Nedir?
  2. 2 1. E-posta Phishing
  3. 3 2. Spear Phishing
  4. 4 3. Vishing (Voice Phishing)
  5. 5 4. Smishing (SMS Phishing)
  6. 6 5. Clone Phishing
  7. 7 6. Whaling
  8. 8 ÖRNEK SALDIRI VEKTÖRÜ
LGoVOru.png


Phishing Nedir?​

Phishing, kötü niyetli kişilerin, kullanıcıları kandırarak gizli bilgilerini (örneğin şifreler, kredi kartı bilgileri, banka hesap numaraları) ele geçirmeye yönelik gerçekleştirdiği sosyal mühendislik temelli bir saldırıdır. Saldırganlar, genellikle bir güvenlik açığına dayanmak yerine, kurbanın güvenini kazanmaya çalışır. Phishing saldırılarında çoğu zaman sahte e-posta, web sitesi veya sosyal medya hesapları kullanılarak, kurbanın güvenliği tehlikeye atılır.

Phishing Saldırı Yöntemleri

1. E-posta Phishing​

E-posta phishing, en yaygın phishing türüdür. Saldırganlar, kurbanlarına güvenilir bir kaynaktan geliyormuş gibi görünen sahte bir e-posta gönderir. E-postada genellikle, tıklanması gereken bir bağlantı bulunur. Bu bağlantıya tıklayan kullanıcı, sahte bir web sitesine yönlendirilir ve burada kişisel bilgilerini girmesi istenir.

2. Spear Phishing​

Spear phishing, daha hedefli bir saldırıdır. Burada, saldırgan belirli bir kişi veya kurumu hedef alır ve o kişinin ilgisini çekecek sahte bir ileti gönderir. Genellikle kişisel veriler toplanarak, kurbanın güvenini kazanmak için daha fazla bilgi elde edilmeye çalışılır.

3. Vishing (Voice Phishing)​

Vishing, telefonla yapılan phishing türüdür. Saldırganlar, telefon aramaları ile kurbanlarına kendilerini bir banka görevlisi, devlet yetkilisi veya başka bir güvenilir kişi gibi tanıtarak, bilgilerini çalmaya çalışır. Bu tür saldırılarda genellikle, kurbanı paniğe sevk eden bir hikaye kullanılır.

4. Smishing (SMS Phishing)​

Smishing, SMS (kısa mesaj) yoluyla yapılan phishing saldırılarıdır. Saldırganlar, kurbanlara sahte mesajlar gönderir ve genellikle bir bağlantıya tıklamaları istenir. Bu bağlantılar, sahte web sitelerine yönlendirir.

5. Clone Phishing​

Clone phishing, daha sofistike bir phishing türüdür. Bu saldırıda, saldırgan, önceden gönderilmiş bir e-postayı "kopyalar" ve aynı içeriği ancak zararlı bir bağlantı ile değiştirir. Kurban, e-postayı orijinal bir mesaj olarak kabul ederek, bağlantıya tıklar.

6. Whaling​

Whaling, "balina avlama" olarak adlandırılır ve büyük kurumları hedef alır. Bu saldırılar, üst düzey yöneticiler veya büyük şirketlerin CEO'ları gibi kişileri hedef alır. Saldırganlar, genellikle iş dünyası ile ilgili çok özgül ve profesyonel içerikler kullanarak kurbanın güvenini kazanmaya çalışır.

ÖRNEK SALDIRI VEKTÖRÜ​


Yukarıda, phishing hakkında daha önce hiç duymamış olanlar için kısa bir özet sundum. Ancak asıl amacım, gerçek bir phishing saldırısını detaylı bir şekilde incelemek ve bu saldırıyı kapsam analizi açısından ele almaktır. Bu çalışma, siber güvenlikteki tehditleri anlamak ve bunlara karşı nasıl önlemler alabileceğimizi görmek için yapılacak kısa bir inceleme olacaktır.


McN5J7x.png


Yukarıdaki görselde, phishing saldırılarının en yaygın yöntemlerinden biri olan E-posta Phishing üzerinden gerçekleştirilen 3 farklı gerçek saldırı örneğini görebilirsiniz. Bu tür saldırılarda, saldırganlar hedef aldıkları kişilere yönelik senaryoları özenle hazırlayarak, kişisel bilgilerinizi, çalıştığınız kurumu, kullandığınız bankayı veya yakın zamanda yaptığınız alışverişleri gibi pek çok detayı OSINT (Open Source Intelligence - Açık Kaynak İstihbaratı) sayesinde, yüzeysel bir bilgi edinerek ikna kabiliyetlerini artırırlar. Şimdi görsel de yer alan bir saldırı raporunu ele alalım.

OrFvg2x.png


Yukarıda ki görselde saldırgan E-Posta aracılığıyla bir pdf dosyası iletmiş. Çok profesyonel düzeyde bir yaklaşım sunmasa da "Bu e-posta mesajı gizlidir, ayrıcalıklı olabilir
ve muhatabın özel kullanımına yöneliktir. Başka herhangi bir kişinin bunu ifşa etmesi, dağıtması veya çoğaltması kesinlikle yasaktır." şeklinde bir açıklamayla oltalamaya çalışmış. Pdf'i açmaya çalışan kişi yönlendirmeye tabi tutularak bir web adresine ulaşmış:

u2lECrf.jpeg


Basit bir yaklaşımla kurbanın MS hesabını oltalamak istemiş. Çoğunuz "ben zaten buna ikna olmazdım" deseniz bile bu sadece basit bir örnek. İsterseniz ilk görselde yer alan zip dosyalı saldırıyı orta düzey bir teknikle ele alalım. Senaryomuz şu şekilde olsun:
Advanced MySQL Exploits (SQLİ) olarak açtığım konu bazında bilgisi olan bir saldırgan olduğunu farz edelim. Bu kişi temel veya ileri düzey teknik bilgisiyle dijital ürün satışı yapan x bir siteyi hedef aldığını düşünelim. Örneğin:

joKj9yS.png


Saldırgan tarafından dump edilen data örneği:

PaHkHQp.png



Dijital ürün satışı yapan küçük ya da büyük her işletme için veritabanı yönetimi hayati bir öneme sahiptir. Veritabanının bir saldırgan tarafından ele geçirilmesi ve tüm içeriğinin sızdırılması, markanın itibarına ve geleceğine ciddi zarar verebilir. Böyle bir durumda, saldırgan yalnızca phishing gibi yöntemlerle değil, doğrudan sistem sahibine şantaj yaparak fidye talebinde de bulunabilir. Fakat konu bazında ilerleyerek saldırganın phishing yaptığını farz edelim ve sistem adminine, edindiği data bilgileriyle ikna edici bir mail attığını düşünelim.

wAA1zQV.png


Saldırgan, kurbana bir e-posta göndererek içerisinde bir ZIP dosyasının yer aldığı kötü amaçlı bir dosyayı açtırmış ve bu şekilde sistemin bütününe yönetici (admin) yetkileriyle erişim sağlamıştır. Bu tür saldırılarda, özellikle büyük ölçekli firmalar hedef alındığında, kullanılan yöntem Ransomware (fidye yazılımı) olarak adlandırılır.

Ransomware, sistemlere, dosyalara veya cihazlara erişimi engelleyerek kurbanın operasyonlarını durma noktasına getirir. Ardından saldırgan, şifrelenen verilerin veya engellenen sistemlerin kontrolünü geri vermek için yönetimden genellikle çok yüksek miktarda fidye talep eder. Bu fidye, çoğunlukla izlenmesi zor olan kripto para birimleriyle ödenmek üzere talep edilir.

Bu tür saldırılar, sistem güvenliğindeki zafiyetlerden yararlanır ve özellikle yedekleme yapılmayan ya da güvenlik protokollerine yeterince uyulmayan durumlarda ciddi sonuçlar doğurabilir.

Analist

u7DBes5.png


Gelelim analiz kısmına yukarıda gelen mailin hangi ip adresinden ve hangi domain adresinden yetkili veya yetkisiz şekilde gönderilmiş olacağına. Mail kaynağında bu mailin" 121.111.26.177" ip adresinden "aslfrosinone.it" domain adıyla gönderildiğini görüyoruz. Gönderilen mailin kurumunun yetkili adresinden atılıp atılmadığını SPF (Sender Policy Framework) kaydıyla doğrulamaya çalışalım.

Bqpc3VI.png


Yetkili IP adresimizin "31.11.36.16" olduğunu belirledik, ancak yapılan incelemede e-postanın orijinal göndericiden gelmediği açıkça görüldü. Bu, e-postanın başka bir IP adresinden veya yetkisiz bir kaynaktan gönderildiğini işaret ediyor. Bu tür durumlar genellikle e-posta sahteciliği (spoofing) ya da kötü amaçlı bir saldırının habercisidir. Özellikle e-postanın başlık bilgileri (header) incelendiğinde, "Received" ve "From" satırlarında uyuşmazlıklar tespit edilmesi, mesajın yetkilendirilmiş bir sunucu yerine başka bir kaynaktan gönderildiğini net bir şekilde ortaya koyar.

Gönderilen e-posta ile ilişkili dosyanın detaylı analizi sırasında birden fazla ağ aktivitesi tespit edilmesi de şüpheleri artırmaktadır. Şüpheli dosya açıldığında, normal olmayan bir şekilde çeşitli IP adreslerine ve domainlere bağlantılar kurmaya çalıştığı görülmektedir. Bu tür aktiviteler, genellikle kötü amaçlı yazılımların (malware) davranışlarıyla tutarlıdır. Özellikle, dosyanın farklı sunucularla bağlantı kurmaya çalışması, bir komut ve kontrol (C2) sunucusuna veri göndermeye çalıştığını veya yeni saldırı talimatları almayı hedeflediğini gösterebilir.

Bu durum, sistemde daha fazla güvenlik açığı yaratabilecek ya da verileri şifreleyip fidye talep etmeye yönelik bir saldırının (ransomware) parçası olabilir. Ayrıca, dosyanın sistemde arka plan işlemleri başlatması, kayıt defterinde (registry) değişiklikler yapması veya yeni dosyalar oluşturması gibi davranışlar gözlemlenmişse, bunun sistem üzerinde kalıcı bir tehdit yaratabileceği anlamına gelir.

Elde edilen bulgular, gönderici kaynağının doğrulanması gerektiğini ve e-posta başlık bilgilerinin derinlemesine analiz edilmesi gerektiğini göstermektedir. SPF kaydı, DKIM ve DMARC doğrulamalarının incelenmesi, bu saldırının kaynağını belirlemede önemli ipuçları sağlayabilir. Ayrıca, şüpheli dosya izole edilmeli ve herhangi bir zarar yaratmadan önce derhal bir sandbox ortamında test edilmelidir. Ağ aktivitelerinin Wireshark gibi analiz araçlarıyla izlenmesi, dosyanın iletişim kurmaya çalıştığı sunucuların tespit edilmesi ve gerekirse bu sunucuların engellenmesi önerilir.

Sonuç olarak, tespit edilen bu durum, yetkisiz bir e-posta gönderimi ve kötü amaçlı bir dosya dağıtımıyla karşı karşıya olunduğunu açıkça ortaya koymaktadır. Bu nedenle, hem sistemdeki hem de ağdaki güvenlik önlemlerinin gözden geçirilmesi, güncellenmesi ve tehdit unsurlarının tamamen ortadan kaldırılması için gerekli adımların atılması kritik önem taşımaktadır.

Ar6a0Jf.png


E-posta ile gelen veya bir dosya üzerinden iletişime geçen bir domainin zararlı bir aktivitesi olup olmadığını kontrol etmek için VirusTotal gibi bir analiz aracını kullanabiliriz. Öncelikle, e-posta başlıklarından veya şüpheli dosyanın içeriğinden bu domaini veya IP adresini tespit etmemiz gerekecek. Domaini belirledikten sonra, VirusTotal üzerinde bu domaini sorgulayıp zararlı bir aktiviteye sahip olup olmadığını görebiliriz. VirusTotal, bir domain, IP adresi veya URL'yi birçok güvenlik aracından geçirerek bu tür zararlı aktiviteleri tespit eder.

Örneğin, e-posta başlığında yer alan "Received" satırlarında, göndericinin kullandığı domaini bulabiliriz. Ardından, bu domaini VirusTotal'e girerek analiz edebiliriz. Eğer domain, kötü amaçlı yazılımlar veya sahtecilik ile ilişkilendirilmişse, VirusTotal bunu raporlar ve zararlı bir aktivite olduğunu belirtebilir. Bu sayede, domainin güvenliği hakkında bilgi sahibi olabiliriz.

clbL5gT.png


VirusTotal'da bir domain, IP adresi veya URL temiz çıkmış olsa bile, bu durum saldırganın gönderilen adresi veya siteyi ele geçirmediği anlamına gelmez. VirusTotal, güvenlik yazılımlarını ve antivirüs motorlarını kullanarak mevcut tehditleri tespit etmeye çalışır, ancak zararlı bir aktivite henüz tespit edilmemiş olabilir veya daha yeni bir saldırı tipi henüz antivirüs veritabanlarına eklenmemiş olabilir.

Bir saldırgan, bir domaini ele geçirmiş ve geçici olarak temiz görünmesini sağlamak için tüm gerekli önlemleri almış olabilir. Örneğin, sahte bir domain, başlangıçta güvenliymiş gibi görünebilir, fakat saldırgan, sadece zamanla devreye girecek kötü amaçlı yazılımlar veya phishing siteleri yerleştirmiş olabilir. Ayrıca, bazı durumlarda, saldırgan, domaini ya da siteyi kullanarak kullanıcıları kötü amaçlı yazılımları indirmeye yönlendirebilir veya kimlik avı (phishing) saldırıları yapabilir.

Bundan dolayı, VirusTotal'dan alınan "temiz" sonuçlar yalnızca o anki durumu yansıtır ve uzun vadeli bir değerlendirme yapılması gerektiğini unutmamak önemlidir. Ayrıca, saldırganın domaini kontrol altında tutarak ilerleyen zamanlarda zararlı faaliyetlere başlaması da mümkündür. Yani, bir domain veya site başlangıçta temiz görünebilir, ancak saldırgan tarafından kontrol edilmesi, zamanla zararlı bir kaynağa dönüşmesine yol açabilir. Bu tür durumlar, sürekli izleme ve proaktif güvenlik önlemleri gerektirir.

 
Son düzenleyen: Moderatör:
Genişletmek için tıkla...

Benzer konular

6
Dijital ortamda güvende kalmak için hangi programları kullanıyorsunuz?
2
Mesaj
10
Görüntüleme
191
dmgj
D
Borz
Telefona gelen SMS Phishing SMS'i mi?
Mesaj
5
Görüntüleme
149
Quezzy
Quezzy
Ceasar128
  • Makale Makale
Antivirüslere karşı geliştirilmiş Obfuscated Ransomware saldırı testi
Mesaj
8
Görüntüleme
352
Hydra
Hydra
winball501
Fidye yazilimi ile birlikte antivirusleri atlatmak
2
Mesaj
18
Görüntüleme
591
Hydra
Hydra

Yeni konular

Yeni mesajlar