İletişim Kariyer Site Haritası English  
Güncel Yazılım Mühendisliği Pratikleri ve Kurumsal Java Teknolojileri
WEB 2.0 + RAP
Rational Unified Process
İnnova ve İnsan Kaynakları
"Phishing" Tehlikesi
İnternet Haftası 11-24 Nisan 2005
Ümit ATALAY internet haftası makalesi
küresel gelişmeler ve internet
AAA sayısal sertifika karmaşası
    "Phishing" Tehlikesi    

Turhan Yükseliyor

İnnova Stratejik Projeler Koordinatörü,
Ankara
       
   

E-posta , 1980 li yıllardan bu yana Internet kullanımının yaygınlaşması ile günümüze kadar sürekli bir ivme kazanmış iletişim araçlarındandır. E-posta , zamanla çok sayıda avantajları ile telefon , fax, teleks ve normal posta iletişiminin yerini almıştır. Kullanıcılar gerek evlerinde gerekse ofislerinde artık e-posta ile haberleşmektedir. E-posta 'nın yaygın kullanımı, Internet saldırganları ve korsanları için daima bir ortam oluşmuştur ve oluşturmaya devam edecektir.

E-posta yolu ile yapılan ataklar başlıca 3 ana gruba ayrılır. Bunlar;

E-Posta Yolu ile Virüs, Truva Atı gibi Zararlı Kod Saldırıları: E-posta yolu ile gelen mesaj ve özellikle eklerinin açılması ile bulaşan bu tür zararlı kodlar , hedef makine ve kullanıcı üzerinde çeşitli zararlar vermektedir.

E-Posta Bombandırmanı ve SPAM Atakları: E-posta bombandırmanı , saldırganın sürekli olarak aynı e-posta mesajı belli bir e-posta adresine göndermesi ile oluşur. E-posta SPAM , E-posta bombandırmanın bir başka versiyonu olup, saldırganın bir e-posta mesajı yüz veya binlerce kullanıcıya veya geniş bir dağıtım listesine gönderilmesidir. E-posta SPAM, hedef alıcının bu e-posta mesaja yanıt vermesi durumunda , SPAM listesinde yer alan tüm alıcılara yanıt mesajı gönderileceğinden daha vahim bir durumla karşılaşılmaktadır. E-Posta bombandımanı ve SPAM 'ı , E-posta Spoof atağı ile birleştirilmesi durumunda ; Gönderen adresin gerçek kimliği değiştirildiğinden , bu tür mesajların kimden gönderildiğini tespit etmek mümkün olmamaktadır.

E-Posta Spoof Atakları: E-posta Spoof atakları değişik formlarda yapılmakta olup ancak sonuçta hedef kullanıcı/ların almış oldukları mesajların Gönderen kimlikleri gerçek dışı bir kaynağı işaret etmektedir. E-Posta Spoof 'ın amaçları, hedef alıcıya hakaret etmek / zarar verici ifadelerde bulunmak veya daha sonra kullanmak üzere hedef kullanıcıya ait özel ve gizli bilgileri elde etmektir. E-posta Spoof saldırılarına ;

• Sistem Yöneticisi adı altında gönderilen bir mesajda kullanıcının parolasını belirtilen bir düzene göre değiştirmesi ve yapılmadığı takdirde kullanıcı kimliğinin askıya alınacağı,
• Bir finans ve banka kurumu adı altında gönderilen mesajda sunulan linkteki web üzerinden kullanıcıya PIN , parola veya gizli personel bilgisini tuşlamasının istenmesi ( PHISHING)
En fazla görülen örneklerdir.

Phishing, ilk kez resmi olarak 1996 yılında bilgisayar korsanlarına ait alt.2600 habergrubunda AOL ( American On Line) kullanıcılarına ait personel ve finans gizli bilgilerini ele geçirmek amacı ile kullanılan bir terimdir. Geçmiş yıllara kadar, AOL kullanıcıların dail-up kimlik bilgilerini ele geçirmek amacı ile gerçekleştirildi. Ancak 2003 yılından bu yana dünya ve Türkiye'deki birçok önemli banka müşterilerinin Internet bankacılık hesaplarına ait gizli bilgileri ele geçirmek üzere artış gösterdi.

Phishing , yukarıda belirtildiği üzere , gerçek dışı e-posta ve buna bağlı gerçek dışı web sitesi kanalı ile kullanıcıların personel, banka ve kredi bilgilerine ele geçirmeyi hedefleyen bir e-posta spoof pasif atağıdır. The Anti-Phishing Çalışma Grubunun ( www.antiphishing.org ) tahminlerine göre her ay "Phishing" içeren e-posta sayısında %30 artış olmaktadır. Sadece Nisan 2004 ayında, Anti-Phishing Çalışma Grubuna 200 den fazla kuruluş tarafından bildirilmiş 1125 adet "Phishing" vakası vardır. Kullanılan e-posta yazılımları , Web Gözatıcı ve Web Sunucu yazılımlarının açıkları , saldırganın çok çeşitli yöntemler kullanmasına imkan vermektedir.

"Phishing" atağında; kullanıcıya güvendiği bir finans kuruluşu tarafından gönderilen ( mesajın Gönderen alanı bu finans kuruluşunun adresini içeren ) bir e-posta gelir. Bu mesajın Başlığı özellikle Gönderen alanı gerçek dışı bir adresi içermektedir. Mesajın gövdesinde; kullanıcının mesaj içindeki HTML linkindeki ( güvenilen finans kuruluşunun web sitesi ve buna bağlı uzantı link görüntülenmektedir.) giriş yapması ve gerekli işlemleri yapması bildirilmektedir. Kullanıcının bu linke giriş yapmasını zorlayıcı nedenler de mesaj için de yer almaktadır. Kullanıcı bu linke tıkladığında karşısında her zaman ziyaret ettiği finans kuruluşunun web sitesi ile karşılaşmakta ve görüntüsel olarak herhangi bir şüpheye düşmeden web sitesindeki talimatları yerine getirmektedir. Böylece saldırgan kullanıcının gizli bilgilerini elde etmektedir. Atağın ikinci sahfasında, saldırgan kullanıcı adına gerçek web sitesine bağlanarak kullanıcı adına ilgili finans hareketlerini amacı doğrultusunda gerçekleştirmektedir.

Bilgi sızdırmayı içeren Sosyal Mühendislik ve Teknolojinin birleşiminden doğan "Phishing" ataklarının büyük çoğunluğu e-posta mesajı ve buna bağlı gerçek dışı web link adresi yolu ile yapılmasına rağmen , saldırganlar son yıllarda değişik yöntemler uygulamaktadır. Bu yöntemlerden bazıları aşağıda verilmektedir.

Gerçek finans web sitesinin açığından yararlanılarak yapılan "Phishing" atakları: Bu tür ataklarda , kullanıcıya gelen mesaj ; kullanıcıyı gerçek finans web sitesine yönlendirmekte ancak finans web sitesi yazılım açığından yararlanarak kullanıcı gizli bilgileri başka bir siteye gönderilmektedir.

E-posta üzerinde script çalıştırılarak yapılan "Phishing atakları": Tespit edilmesi zor olan bu tür ataklarda kullanıcı bu konuda bilinçli olsa dahi, finans kuruluşu üzerinden gelen mesajın açılması sırasında ( ardından mesaj silinse dahi) geri planda bir "script" çalıştırılmaktadır. Bu zararlı "script" , kullanıcının daha sonra ilgili finans kuruluş web sitesini ziyaret etmesi durumunda , kullanıcı gerçek dışı bir web sitesine çekilmekte ve ilgili bilgiler elde edilmektedir.

Kullanıcı Web Gözatıcı açağından yararlanılarak yapılan "Phishing" atakları: Bu tür ataklara örnek olarak, kullanıcı Gözatıcıya yerleştirilen POP-up window aracılığı ile kullanıcıyı gerçek finans web sitesine çekilmesi ve buradan gizli bilgilerin elde edilmesi , ziyaret edilen web sitelerinden "Phishing" amaçlı Truva atları yüklenmesi gösterilebilir.

"Phishing " ile mücadele oldukça zordur. Çünkü gerek kurumsal gerekse ev kullanıcılarının bilgisayarlarını, finans kuruluşlarının kontrol etmesi ve gerekli önlemlerin alınması imkansız gibidir. Tüm bu olumsuzlara rağmen aşağıda bazı önlemlerin alınması önerilmektedir.

• Kullanıcıların "Phishing" ve yöntemleri konusunda bilinçlendirilmesi ( Finans kuruluşlarının göndereceği sürekli e-posta , web sitelerinde yayımlanan yazılar veya işlem sırasında )
• Ev kullanıcılarının web gözatıcılarında ziyaret etmiş oldukları web sitelerinin gerçek kimliğini kontrol eden ve gerçek olmaması durumunda bloklayan Gözatıcı eklenti yazılımları yüklemeleri ve yapılandırması ( Örneğin IE ve Foxfire gözatıcısı kullanan müşteriler için http://www.corestreet.com firmasına ait spoofstick eklenti yazılımı gibi)
• Finans Web yazılımları ve müşteri web gözatıcı açıklarını gideren güncel güvenlik yamalarının yapılması
• Finans - müşteri arası E-posta mesajların sayısal imza ve kriptolu olarak gerçekleştirilmesi
• Kurumsal E-posta sunucu ve istemci yazılımlarında gelen mesajların kimliğini denetleyen SMTP Kimlik Doğrulaması yapılandırma ve araçlarının kullanılması ( Sender Policy Framework ile mesajın gerçek gönderilen kimliğini tespit, Reverse DNS teknikleri, Sayısal İmza ve Kripto vs )
• Müşteri web gözatıcılarının güvenli modda yapılandırılması
• Kurumsal müşterilerin , saldırganı yanıltmaya amaçlayan Tuzak sistemleri ( honey-pot) devreye alması

 
       
       
       
Copyright ©2003, iNNOVA Bilişim Çözümleri A.Ş.