Yemleme Nedir ve Oltaya Gelmemek İçin Ne Yapmalı?

Üniversitedeki ilk yılımdı ve öncesinde değil internet, Commodore 64’ü saymazsak bilgisayar bile kullanmamıştım. İnternet büyüleyiciydi. O zamanlar birçok öğrenci gibi boş vakit ve laboratuvarda boş bilgisayar buldukça internette dolaşıyordum. Bir gün laboratuvarın kalabalık olmamasından yararlanıp sol içerikli bir siteye bakarken bir e-posta geldi. E-postada “çeteci güçlerin” peşimizde olduğu ve dikkatli olmam gerektiği yazıyordu. Kullandığım teknolojiyi yeterince tanımıyordum. Sistem yöneticilerinin kimin, ne zaman, hangi sitelere girdiğini bilebildiğini tahmin edebiliyordum ama “Zeki Müren de bizi görecek mi”de olduğu gibi ziyaret edilen sitenin sahibinin ziyaretçiye erişip erişemeyeceğini ya da ziyaretçi hakkında hangi verileri elde edebileceğini bilmiyordum. Birkaç saniyelik bir paniğin ardından, nasıl yaptığını anlamasam da e-postanın laboratuvara beraber geldiğim arkadaşım tarafından gönderilmiş olabileceğini tahmin ettim. Ona döndüğümde sırıtıyordu. E-postanın gönderen kısmını değiştirip ziyaret ettiğim siteden gönderildiği izlenimi yaratarak beni yemlemiş ama yemi yutmamıştım. Belirttiğim gibi teknik bilgim son derece sınırlıydı. Yemi yutmamamın nedeni çok uyanık olmam da değildi. Nitekim bu olaydan yıllar sonra, yemleme (phishing) saldırıları hakkında bilgim olmasına karşın yemi yuttuğum da oldu. Neyse ki hemen ardından ayılarak gerekli önlemleri aldım. İtiraf etmek gerekirse arkadaşım mesajı daha özenli yazmış olsaydı, örneğin o zamanki Susurluk haberlerinden etkilenerek yazdığı “çeteci güçler” yerine oligarşi, faşist diktatörlük vb ifadeler kullanmış olsaydı daha inandırıcı olacak ve belki oltaya gelecektim.

Arkadaşımın kötü bir amacı yoktu, sadece biraz eğlenmek istemişti. Fakat kişileri belirli bir amaç için etkilemek veya onlardan enformasyon (en başta kullanıcı adı, şifre, ve kredi kartı numarası) sızdırmak amacıyla gönderilen e-postalarla (sosyal medya mesajlarıyla) yapılan saldırılar son derece yaygın ve etkili. Yemleme (phishing) olarak adlandırılan bu saldırı yöntemi çok eski olmasına rağmen sürekli gelişmekte ve yeni biçimlerle karşımıza çıkmakta. Yemleme, kavramsal olarak ilk kez 1987’deki Interex konferansında karşımıza çıkıyor. Felix ve Hauck (1987) konferansta sundukları “Hacker’ın Perspektifinden Sistem Güvenliği” başlıklı makalelerinde üçüncü bir tarafın sunduğu güvenilir hizmetin taklit edilmesiyle gerçekleştirilebilecek bir saldırı yöntemini tartışmaktadır. Yemleme teriminin 1996 öncesinde bilgisayar korsanları arasında kullanıldığı hakkında iddialar olsa da terim asıl olarak 1996’da AOL (America On Line) kullanıcılarının hesaplarının çalınmasıyla yaygınlaşır. Phishing, phreaking (telefon şebekesine izinsiz girme) ve fishing (balık tutma) kelimelerinden türetilmiştir. Yapılan iş, gerçekten de internet denizinde balık avlamak gibidir. Önce kişiye e-posta veya sosyal medya üzerinden bir mesaj gönderilir. Mesajı alan kişiden mesajdaki eylemi gerçekleştirmesi veya ekte gönderilen bir dosyayı açması istenir. Ya da tuzak olarak hazırlanmış bir web sitesine yönlendirilir. Kişiyi etkileyebilmek için saldırganın hem toplum mühendisliği yeteneğine hem de teknik bilgiye sahip olması gerekir. Abraham Lincoln, “Herkesi bir defa, bazılarını her zaman aldatabilirsiniz. Ama herkesi her zaman aldatamazsınız.” demiş. Yazının devamında da özetlemeye çalıştığım gibi teknik olarak ne kadar bilgili olursanız olun oltaya gelebilirsiniz. Aldatma sanatının ustası Kevin Mitnick’in belirttiği gibi,

Bireyler, uzmanların önerdiği en iyi güvenlik uygulamalarını çalıştırıyor, önerilen her güvenlik ürününü bilgisayarına yüklüyor olabilirler ve uygun sistem yapılandırmasını ve güvenlik yamalarını kullanmak konularında son derece dikkatli davranabilirler.

Bu bireyler yine de tamamen savunmasızdır (Mitnick ve Simon, 2006).

APWG’ye (Anti-Phishing Working Group – Yemlemeye Karşı Çalışma Grubu) iletilen raporlara göre her yıl çok sayıda yemleme saldırısı gerçekleştiriliyor (http://www.apwg.org/resources/apwg-reports/):

2016’nın ilk altı ayında ise 873488 yemleme saldırısı bildirilmiş. Haziran ayında 158782 yemleme sitesi tespit edilmiş. Sayılardaki bu artış yemleme saldırılarındaki artışın yanı sıra saldırıları tespitteki başarıyı da gösteriyor olabilir. Ama sosyal medya kullanımının yaygınlaşmasıyla bu saldırıların arttığını da gözlemleyebiliyoruz. RedHack’in yaptığı açıklamaya göre Berat Albayrak’ın e-posta hesabı böyle ele geçirilmiş (http://www.birgun.net/haber-detay/redhack-berat-albayrak-in-hesabini-nasil-ele-gecirdi-129887.html). Son zamanlarda çok sayıda muhalifin de oltaya geldiğini ve sosyal medya hesaplarını kaptırdıklarını görüyoruz. Saldırganlar, Gmail, Twitter veya Facebook’un şifresini kırmakla uğraşmıyor (bu olanaksız olmasa da çok zordur), güvenliğin en zayıf halkası insana odaklanıyorlar.

Hadnagy ve Fincher (2015), yemleme saldırılarını dört düzeyde inceliyor. Her bir düzeydeki saldırının stratejisinin yanında hedef kitlesi de farklı. Birinci düzey saldırı genelde toplumun geneliyle vakit kaybetmektense en saflarıyla ilgileniyor. İkinci düzeydeki saldırı oltayı internet denizine sallıyor, çok saf olmasalar da teknik bilgisi yetersiz olanları yakalıyor. Üçüncü düzey saldırı ise çoğunlukla bir bankanın müşterileri, telefon aboneleri, bir gruba üye olanlar gibi belirli bir gruba yönelik oluyor. Dördüncü ve en etkili olanı ise kişiye özel olan ve diğerlerine göre çok daha tehlikeli bir saldırı.

Birinci Düzey Yemleme: Nijeryalı Prens

İnternetteki en ünlü yemleme saldırılarından biri Nijeryalı Prens veya onu taklit eden hikayelerdir. Mesajı atan kişi kendisini varlıklı bir diplomat veya kraliyet ailesinin bir üyesi olarak tanıtır. Zor durumdadır ve milyonlarca doları önce sizin hesabınıza, daha sonra da başka bir hesaba aktarmak istemektedir. Bunun için ilgili kişiye sadece banka hesap numaranızı göndermeniz gerekmektedir. Dolayısıyla vereceğiniz bilgiyle hesabınızdan para çekilmeyecek tam tersine para yatırılacaktır. “Kaybedeceğim bir şey yok” diye düşünüp e-postayı yanıtladığınızda bir süre sonra size vadedilen miktarla karşılaştırılamayacak (birkaç bin dolar!) para talepleri gelir. Ters giden (bürokratik işlemler, memurlara verilecek rüşvetler) ve ancak parayla çözülebilecek sorunlar vardır. Milyon dolarlar için 5000, 10000 dolar gibi küçük miktarlarda para karşı tarafın hesabına yatırılır ve kurban uyanana kadar bu devam eder.

Bu saldırı yöntemi, ön ödeme dolandırıcılığı ya da bu suçun Nijerya Ceza Kanunu’nunda 419. maddede yer almasından dolayı 419 dolandırıcılığı olarak da adlandırılmaktadır (https://en.wikipedia.org/wiki/Advance-fee_scam). Ancak adı yanıltmasın, saldırganlar her zaman Nijeryalı değildir. 2007’deki bir habere göre bu saldırganların izi sürüldüğünde %61’inin ABD’de, %16’sının Birleşik Krallık’ta ve sadece %6’sının Nijerya’da olduğu tespit edilmiştir (http://www.sfgate.com/crime/article/U-S-Internet-fraud-at-all-time-high-Nigerian-2576989.php). Bunun yanında farklı biçimlerde de (örneğin hiç katılmadığınız bir çekilişten para kazanmak, yüksek ücretli iş teklifi vb) karşımıza çıkabilmektedir. Ama tema hep aynıdır: kişiyi bekleyen büyük bir para vardır ve kişi açgözlülük içinde bu paraya ulaşmak için saldırganın hesabına para yatırmaktadır. Bu bağlamda, 419 dolandırıcılığı yeni değildir. İnternet öncesinde de farklı iletişim araçlarıyla gerçekleştirilmiş örnekleri olan bir dolandırıcılıktır (http://www.cbc.ca/newsblogs/yourcommunity/2013/11/nigerian-prince-email-scam-actually-200-years-old.html). Hadnagy ve Fincher (2015) bu dolandırıcılığın daha gelişmiş biçimleri olduğunu da ekliyorlar. Örneğin inandırıcılığı artırmak için (kendileri için daha riskli olmasına rağmen) senaryoya yüz yüze veya telefonla görüşmeyi ekleyen dolandırıcılar vardır.

Bu saldırılar, insanın zaafları üzerine kuruludur. Mesajlar, kişinin aç gözlülüğünü, korkusunu ve “ya doğruysa” merakını tetikler. Kişi tuzağa düşmüş ve saldırganın hesabına para yatırmışsa yapılan araştırmalar kurbanın, saldırganın sonraki taleplerine de olumlu yanıt vereceğini göstermektedir. Kurban ilk başta 5000 dolar para yatırmışsa, büyük olasılıkla sonraki talebe de olumlu yanıt verecektir. Bu nedenle saldırgan ilk vurgundan sonra parayı alıp kaybolmaz, kurban dolandırıldığının farkına varana kadar şansını tekrar tekrar dener.

Bu saldırı düzeyinde yer alan mesajlar incelendiğinde mesajlarda,

  • kişiye özel bir hitabın olmadığı (Sayın Ali Külyutmaz yerine sadece Hi, Hello vb yazması)
  • yazım ve gramer hatalarının olduğu
  • kolay anlaşılır ve beklenmedik haberlerin olduğu (“Lotodan milyonlar kazandınız.” gibi)
  • e-posta’yı gönderen adresin yanlış olduğu ya da hiç olmadığı

görülecektir. Her şeyden önce tanımadığınız birinden bir mesaj aldığınızda bu belirtilere dikkat etmekte fayda var. Elbette en başta da “tanımadığım biri bana neden para veriyor?” sorusu sorulmalı.

Çok basit bir saldırı. Ama atılan milyonlarca e-postadan Nijeryalı prenslere yardım etmeye istekli olan birileri kesinlikle bulunuyor.

İkinci Düzey Yemleme: Tıklayınız

Bu düzeydeki yemleme saldırıları da birinci düzeyle benzerlikler taşıyor. Bu düzeydeki yemleme mesajlarının ortak özellikleri ise şunlardır:

  • Kişiye özel bir hitap yoktur
  • Yazım hatası olmamasına rağmen dilbilgisi hataları olabilir
  • Birinci düzeye göre daha karmaşık ama yine basittir
  • E-posta, bilinmeyen bir adresten gelmiştir.
  • Örneğin aşağıdaki gibi bir mesaj gönderilebilir.

Sayın Ahmet Yılmaz,

Laboratuvarımızda yaptırdığınız AIDS testinin sonucunu görmek için tıklayınız.

İstanbul Zührevi Hastalıklar Laboratuvarı

E-postayı alan kişinin adı Ahmet Yılmaz değildir ve kişi belirtilen hastaneye hiç gitmemiştir. Ama yemleme saldırıları hakkında bilgisi olmayan bir çok insan sadece meraktan belirtilen bağlantıya tıklayacaktır. Aşağıdaki mesaj ise kişiyi korkutacak ve mesajdaki bağlantıya tıklamasını sağlayacaktır:

Hakkınızda bazı kişilerce bir araştırma yürütüldüğü, banka hesaplarınız hakkında bankalardan bilgi istendiği tespit edilmiştir. Daha fazla bilgi için tıklayınız.

Bu tuzaklara düşebilecek çok sayıda bilgisayar kullanıcısı vardır. Tıklama sonrasında zararlı bir dosya kullanıcının bilgisayarına indirilebilir. Örneğin bu mesaj, 1000 çalışanı olan bir kuruma atıldığında sadece bir kişi tuzağa düşse bile bu kurum ağına sızmak veya bu kişiyi başka bir hedefe saldırı için kullanmak mümkün olabilmektedir.

Birinci düzeye göre daha karmaşıktır. Çünkü ilk düzeydeki yemleme örnekleri birçok insanın ciddiye almayacağı türdendir. İnsanlar kimsenin durup dururken bir başkasına para vermeyeceğini veya katılmadığı bir çekilişten para kazanamayacağını bilirler. Bu düzeydeki saldırılarda oltaya takılmak ise daha olasıdır. Hadnagy ve Fincher’in (2015) vurguladığı gibi insanlar her zaman rasyonel kararlar veren canlılar değildir. Çeşitli etkenler kararlarını etkileyebilir. Örneğin, bir araştırmaya göre uykusuzlukta, beynin iyimserlikten sorumlu bölümlerinde daha fazla etkinlik tespit edilirken olumsuzlukları hesaplamadan sorumlu alanlarında tam tersi gerçekleşmektedir. Bir diğer deyişle, insanlar uykusuz olduklarında risk almaya daha meyillidirler. Hadnagy ve Fincher (2015) Las Vegas gazinolarında bundan yararlanıldığını belirtmektedir. Parlak ışıklar altında, penceresiz ve saatsiz bir ortamda insanlar zamanın nasıl geçtiğini anlamadan kumar masasında riskli kararlar almaktadır. Aynı durum açlıkta da söz konusudur. İnsanlar ve hayvanlar üzerinde yapılan çalışmalar insanların açken daha çok risk aldığını göstermektedir. Ayrıca havanın sıcak ya da soğuk olması gibi dışsal etkenler de insanların kararlarını etkileyebilmektedir.

Saldırganların bu etkenleri kontrol ederek kişiyi gönderilen dosyayı indirme ya da bağlantıya tıklama yönünde etkilemesi pek olanaklı değildir. Tuzağa düşürmek için kişiyi aç ve uykusuz bırakamaz, içinde bulunduğu ortamın koşullarını etkileyemez. Fakat kişinin mesajı aldığında belirtilen koşullar altında olabileceği (aç, uykusuz, sıcaktan bunalmış vb) ve bunun tuzağa düşme olasılığını artıracağı da göz ardı edilmemelidir.

Ayrıca saldırganlar insanlardaki otoriteye boyun eğme, yakınlık duyduğu (ortak ilgi alanına veya inanca sahip, sempatik) insanların isteklerini yerine getirmeye daha istekli olma, yapılan bir iyiliğe iyilikle karşılık verme, kıtlık karşısında aceleci davranma vb eğilimlerden ustaca yararlanabilmektedir (Mitnick ve Simon, 2006). Saldırganların kişide korku ve panik yaratarak, merak uyandırarak veya var olan koşulları iyi değerlendirerek beynin karar alma süreçlerine kısa devre yaptırabilir. Örneğin yukarıdaki laboratuvar örneği insandaki merak duygusunu tetiklemiştir. Aşağıdaki mesaj ise korku ve panik yaratabilir:

Kan değerleriniz aşağıdadır. Yapılan değerlendirmede, yaşınız ve çalışma koşullarınız göz önünde bulundurulduğunda kanser başlangıcından şüpheleniyoruz. Ayrıntılı raporu indirmek için tıklayınız.

Olağanüstü durumlarda bu tip saldırılar daha etkili olabilmektedir. Bir terör saldırısı veya doğal felaket sonrasında son dakika haberleri ve sıradışı görüntüler yem olarak oltanın ucuna takılabilmektedir. Kısacası, birinci düzeye göre teknolojin daha çok işin içine katılması yemlemeyi daha etkili yapmaktadır. Üçüncü ve dördüncü düzeyde ise teknolojinin daha ileri bir kullanımı söz konusudur.

Üçüncü Düzey Yemleme: Her şey öylesine gerçekti ki

Bu düzeyde saldırı daha gerçekçidir ve profesyoneller için bile aldatıcı olabilmektedir. Bu düzeydeki saldırıların başlıca ortak özellikleri şunlardır:

  • Kişiye özel hitap vardır.
  • Yazım yanlışları ve dilbilgisi hataları yoktur.
  • Çoğunlukla korku veya merak duygusu uyandırırlar.
  • Bazen gönderenin adresi geçerli olmasına karşın aldatıcıdır (Örneğin editor@bi1imvegelecek.com)
  • E-posta içeriğinde yer alan bağlantıların neredeyse tamamı doğru olsa da kişinin yönlendirileceği bir tuzak bağlantı içerirler.
  • E-postaya meşruluk katmak için markaların isim ve logolarından faydalanırlar.

Örneğin Bilim ve Gelecek’ten aşağıdaki gibi bir mesaj aldınız:

From: Bilim ve Gelecek Dergisi <editor@bi1imvegelecek.com>

Sevgili Okurumuz,

Bilim ve Gelecek Dergisi’nin Aralık ayı çekilişinden Yaman Örs’ün Evrim Kuramının Dayanılmaz Bilimselliği kitabını kazandınız. Ayrıntılar için Facebook sayfamıza tıklayınız.

Burada kişiye özel bir hitap olmasa da mesaj belirli bir gruba gönderilir. Örneğin mesajı alan kişiler sosyal medyadan dergiyi takip eden isimlerdir. Gönderen kişinin e-posta adresi sahtedir ama sahteliğin fark edilmesi zordur. Mesaja tıklandığında Facebook’un giriş sayfasının birebir aynısı olan bir web sitesi açılır ve kişiden Facebook hesabına ulaşıp ayrıntıları öğrenebilmesi için kullanıcı adını ve şifresini girmesi istenir. Ama adres çubuğunda http://www.facebook.com değil http://login-secure.facebook.sahtesite.com/ yazmaktadır. Girilen kullanıcı adı ve şifre doğrudan saldırgana iletilecektir. İnternette bu saldırının teknik olarak nasıl yapıldığının adım adım açıklayan çok sayıda rehber vardır (bkz. http://www.techtechnik.com/how-to-make-phishing-page-for-facebook/).

Kredi kartı bilgilerini, sosyal ağ veya e-posta hesaplarını ele geçirmek için kolay ve etkili bir yöntemdir. Mesaj özel bir hitap ve kurumsal bir logo içerdiğinde daha inandırıcı olabilmektedir. Elbette bunun yanında kişinin beynine kısa devre yaptıran ifadeler de olmalıdır: “Hesabınız ele geçirilmiş olabilir. Lütfen kullanıcı adı ve şifrenizi yenileyiniz.”, “XXXX numaralı kredi kartınızın dönem borcu 12845 TL’dir. Hesap özetinizi ekli dosyada bulabilirsiniz.”, “Şirketimiz sosyal medya politikasını güncellemiştir. Hesabınızın kapanmaması için 48 saat içinde kullanıcı bilgilerinizi güncelleyiniz.”

Dördüncü Düzey: Mızrakla Avlanma

En gelişmiş ve etkili yemleme tekniğidir. Tamamen kişiye özeldir ve titiz bir araştırmayla hazırlandığında başarı şansı çok yüksektir. Kişiye özel bir hitap, marka ve düzgün bir dilbilgisi ile ustaca yazılmış olabilir. Ama mesaj aşağıdaki gibi aşırı basit de olabilir:

Ekteki ihale teklifini inceleyebilir misin?

E-posta’yı alan kişi dosyayı indirir, açmaya çalışır ve bir truva atını bilgisayarına kurar. Bu kadar basit bir mesaj nasıl etkili olabilir? Çünkü saldırgan daha önce hedeflediği kişi hakkında bir araştırma yapmış ve kişinin böyle bir dosya bekleyebileceğini tahmin etmiştir. Coca Cola da Beyaz Saray da bu tuzağa düşmüş ve dosyayı açmak için tıklamıştır!

Doğru zamanda, doğru kişiye, doğru mesajı gönderebilmesi için saldırgan, hedefindeki kişi hakkında istihbarat yapmalıdır. Google’da veya https://pipl.com/’da bir araştırma yapmak ve kişinin sosyal medya paylaşımlarını incelemek bile çok yararlı olabilmektedir. Hadnagy ve Fincher’in (2015) verdiği örnekler her bilgi kırıntısının ne kadar önemli olduğunu göstermektedir:

  • Evini satışa çıkarmayı planlayan birine evinin değerini belirlemek için ücretsiz bir teklif sunmak.
  • Tatilde Paris’e gitmeyi hedefleyen birine Paris’te indirimli tatil reklamları göndermek.
  • Askeri okuldan 24 yıl 10 ay önce mezun olmuş birine 25. yıl mezunlarının açılış konuşmasını yapmak için davetiye göndermek.
  • Kızıyla ilgili sorunlar yaşayan bir yöneticiye okul idaresinden konuyla ilgili bir rapor göndermek.

Hatta “çöpünüz, düşmanınızın hazinesi olabilir”. Çöpe şifrenizi ya da kredi kartı numaralarınızı atmasanız bile kararlı bir saldırgan hazırlığını çöplerinizden elde edebileceği ve tamamen ilgisiz görünen bilgi kırıntılarını bir yapboz gibi birleştirerek yapmaktadır (Mitnick ve Simon, 2006).

Bu saldırılara karşı ne yapılabilir?

Hadnagy ve Fincher (2015) yemleme saldırılarına karşı önerdiği aşağıdaki yöntemlerle tamamını değil ama büyük bir kısmını kolayca savuşturabiliriz:

  • Eleştirel Düşünme
  • Fareyi bağlantının üzerinde tutma
  • URL’yi çözme
  • e-Posta üst bilgisini analiz etme

Eleştirel Düşünme

Tuzağa düşmemek için en başta eleştirel düşünebilmek ve internetin tehlikelerle dolu olduğunu kabul etmek gerekir. Yoğun olabilirsiniz veya posta kutunuzda okumayı bekleyen yüzlerce e-posta olabilir. Ama e-postayla gelen dosyayı indirmeden ya da belirtilen bağlantıya tıklamadan aşağıdaki soruları sorup düşünmenizde fayda vardır:

  • E-posta tanıdığım birinden mi geliyor?
  • Bu e-postayı bekliyor muydum?
  • İstekler akla uygun mu?
  • E-posta korku, aç gözlülük ve merak gibi duygular uyandıran bir içeriğe sahip mi, daha da önemlisi acilen harekete geçmemi mi istiyor?

Hadnagy ve Fincher (2015) bunların sorulmasının çok yararlı olduğunu ve birçok saldırıyı önleyebileceğini belirtiyor. FBI da aynı görüşte (https://www.fbi.gov/scams-and-safety/common-fraud-schemes). Bu soruları sormak sadece birkaç saniyenizi alacaktır. Ancak sorulardan herhangi birine yanıtınız olumluysa aşağıda belirtilen ipuçlarından faydalanmanız gerekiyor. Tanımadığınız birinden duygularınıza yönelik ve sizi harekete geçirmeye çalışan bir e-posta alırsanız tehlike çanları çalmalıdır. Ancak e-postanın daha önce ele geçirilen tanıdık bir sunucudan veya adres defterinizdeki birinin hesabından gönderiliyor olabileceğini de göz önünde bulundurmanız gerekir.

Fareyi Bağlantının Üzerinde Tutma

Bir bağlantıya tıklamakta acele etmeyin. Fare imlecini, tıklamanız istenen bağlantının üzerine getirin (ama kesinlikle tıklamayın!) ve aşağıda gösterildiği gibi tarayıcınızın sol alt köşesine bakın. Görünen bağlantı adresiyle sol alt köşede görünen adres uyumlu mu? Uyumsuzsa kesinlikle tıklamayın.

Eğer bağlantıya yanlışlıkla tıklayıp kullanıcı adı ve şifrenizi yönlendirildiğiniz sayfaya girdiyseniz (çok geç olmamışsa!) hatanızı fark eder etmez asıl web sitesine giderek şifrenizi değiştirmelisiniz. Aynı kullanıcı adı ve şifreyi başka yerlerde kullanıyorsanız onları da değiştirmelisiniz. Eğer bağlantıya yanlışlıkla tıkladıktan sonra bir dosyayı çalıştırdıysanız mutlaka yetkin birinden destek almanız gerekmektedir.

URL’yi Çözme

Günümüzde bir çok internet kullanıcısı adres çubuğuna gideceği sitenin adresini yazmaya üşeniyor. Google’ın arama alanına ya da bir arama motoru ile ilişkilendirilmiş tarayıcının adres çubuğuna, Facebook, sendika.org, bilim ve gelecek vs yazıyor. Sendika.org’da olduğu gibi haber sitelerinin adı sürekli değişiyorsa sendika1.org, sendika2.org, sendika12.org vs oluyorsa bu yöntem kullanışlı. Ama çoğu kullanıcı bunu bilinçsizce, sanki bir siteye erişmenin yolu buymuş gibi yapıyor. Bunun güvenlik açısından çeşitli sakıncaları olmakla beraber konumuz açısından en büyük sakıncası beraberinde URL’nin ne olduğu hakkındaki cahilliği artırması. 10 yıl önceki kullanıcılar sanırım bu konuda daha bilgiliydiler.

URL (Uniform Resource Locator – Birörnek Kaynak Konumlayıcı) basitçe internet adreslerine verilen isimdir. Linux Kullanıcıları Derneği’nin (LKD) web sitesindeki bir dosyayı ele alaım:

http://www.lkd.org.tr/wp-content/uploads/tlkdlogo.pdf

http, ziyaret ettiğimiz web sitesine protokolünü gösterir. Farklı protokoller vardır ama gündelik hayatta en sık kullanılan http ve SSL (Secure Sockets Layer – Güvenli Soket Katmanı) içeren https’tir.

www, sunucunun alt alanıdır. www yerine dergi veya uye gibi başka alt alanlar da olabilirdi.

lkd.org.tr’deki tr sunucunun Türkiye’de olduğunu, org bir örgüte ait olduğunu, lkd de sunucunun adını gösterir.

wp-content/uploads/tlkdlogo.pdf ise web kaynaklarının olduğu yerde, wp-content dizini içinde, uploads dizininin olduğunu ve bu dizinin içinde de tlkdlogo.pdf dosyasının olduğunu gösterir.

Buna göre aşağıdakilerden hiçbiri LKD’ye ait bir URL değildir.

  • http://www.lkd.org/wp-content/uploads/tlkdlogo.pdf (tr uzantısı yok)
  • http://www.lkd.com.tr/wp-content/uploads/tlkdlogo.pdf (LKD sitesi org uzantılı, com değil)
  • http://www.Ikd.org.tr/wp-content/uploads/tlkdlogo.pdf (lkd’de le harfi yerine 1 (bir) kullanılmış)
  • http://secure-lkd.org.tr/wp-content/uploads/tlkdlogo.pdf (secure-lkd alt alan değil, secure-lkd.org.tr tamamen farklı bir adres. Eğer http://secure.lkd.org.tr olsaydı doğru bir adres olabilirdi.)

Saldırganlar adresleri görünen bağlantıya yakın yapmaya çalışmaktadır. Küçük l (le harfi) yerine 1 (bir) kullanmak, eksik harfli alan adları kullanmak, başka bir siteyi taklit edilen sitenin alt alanı gibi göstermek çok sık başvurulan hilelerdir.

E-Posta Üst Bilgisini Analiz Etme

Gönderen adresinde yer alan bilgiyi değiştirmek çok kolaydır. Göndereni Keloğlan <keloglan@devlerulkesi.net> olan bir kullanıcıdan e-posta aldınız. Bu mesajın gönderen kısmında belirtilen kişiden mi yoksa başka birinden mi geliyor? Bunu nasıl anlayabiliriz?

Her e-posta istemcisinde (Mozillla Thunderbirds, Outlook, Gmail vb) bu bilgiye erişmek farklı olabilir ama içerik aynıdır. Gmail kullandığımızı varsayalım. Aşağıda belirtildiği gibi Orjinali Göster’e tıklayın. Mozilla Thunderbird’de aynı bilgiye Mesaj Kaynağı’ndan erişilebilir:

Gönderen kısmında keloglan@devlerulkesi.net yazmasına rağmen e-postanın detayında aşağıdaki bilgiler yer almaktadır:

Delivered-To: biradresg@gmail.com
Received: by 10.103.108.1 with SMTP id h1csp350277vsc;
Sat, 12 Nov 2016 11:34:46 -0800 (PST)
X-Received: by 10.98.24.136 with SMTP id 130mr20065503pfy.73.1478979286745;
Sat, 12 Nov 2016 11:34:46 -0800 (PST)
Return-Path: <biradres@gozukeles.net>
Received: from outbound-ss-1685.hostmonster.com (outbound-ss-1685.hostmonster.com. [74.220.202.132])
by mx.google.com with SMTP id q4si16141902pgc.52.2016.11.12.11.34.46
for <biradresg@gmail.com>;
Sat, 12 Nov 2016 11:34:46 -0800 (PST)
Received-SPF: pass (google.com: domain of biradres@gozukeles.net designates 74.220.202.132 as permitted sender) client-ip=74.220.202.132;
Authentication-Results: mx.google.com;
dkim=policy (weak key) header.i=@gozukeles.net;
spf=pass (google.com: domain of biradres@gozukeles.net designates 74.220.202.132 as permitted sender) smtp.mailfrom=biradres@gozukeles.net
Received: (qmail 26003 invoked by uid 0); 12 Nov 2016 19:34:46 -0000

Return-Path, Received ve Authentication-Results yazan yerler mesajın aslında başka bir e-posta adresi (biradres@gozukeles.net) ve alan adından (gozukeles.net) atıldığını göstermektedir.
Tüm kontrolleri yaptınız; e-posta gerçekten de bir arkadaşınızdan geliyor. Yine de bir gariplik olduğundan şüpheleniyorsunuz ve e-postanın ekindeki dosyadan emin değilsiniz. Arkadaşınızın e-posta hesabı ele geçirilmiş de olabilir. Bu durumda yüz yüze veya telefonla görüşerek e-postayı doğrulamak işe yarayabilir. Bunu yapamıyorsanız en azından dosyayı kişisel ve önemli bilgilerin yer almadığı, ağınızdaki diğer bilgisayarlardan yalıtılmış bir bilgisayarda açmayı deneyebilirsiniz. Fakat saldırganın kararlılığına ve ustalığına göre bunun da bir risk içerdiğini unutmamak gerekiyor.

***

Mitnick ve Simon (2006), Aldatma Sanatı adlı kitaplarının başında toplum mühendisliğini şöyle tanımlıyorlar:

Toplum mühendisliğinde, insanları kandırmak için karşı tarafı yönlendiren ya da toplum mühendisini başka birinin yerine koyan etkileme ve ikna yöntemleri kullanılır. Sonuç olarak toplum mühendisi teknolojiyi kullanarak ya da kullanmadan bilgi edinmek için insanlardan faydalanır

Kitapta yer alan öyküleri okuyunca insan kendini çaresiz hissedebiliyor. Öykülerde yalnız sıradan insanların değil, profesyonellerin hatta dünyaca ünlü bilgisayar şirketlerinin bile tuzağa düşebildiği anlatılıyor.

Yemleme saldırılarına karşı tamamen savunmasız değiliz ama hiçbir zaman yüzde yüz güvende olamayacağımızın da bilincinde olmak gerekiyor. Kapımıza hangi kilidi ve alarmı takarsak takalım evimiz soyulabilir. Fakat yine de kapımızı kilitleyerek evimizin soyulma olasılığını azaltırız. Yukarıda da belirttiğim gibi internette yemleme sayfası yapmak çok zor değildir. İnternet, bu sayfaları okuyan ve okuduklarından feyiz alan, kendilerine “hacker” diyen saldırganlarla doludur. Hadnagy ve Fincher (2015)’in önerileriyle en azından bu yeniyetmelerden korunabiliriz. Dördüncü düzey saldırılarda işimiz daha zordur. Ama bu önerilere uyduğumuzda en azından kolayca teslim olmamış oluruz ve bizim dikkatimiz ile saldırganın yeteneklerinin karşı karşıya geldiği bir savaş başlar.
Kaynaklar

Felix, J., Hauck, C. (1987). System security: a hacker’s perspective. Interex Proceedings, 1, 6-6.

Hadnagy, C., Fincher, M. (2015). Phishing Dark Waters: The Offensive and Defensive Sides of Malicious Emails. John Wiley & Sons.

Mitnick, K. D., Simon, W. L. (2006). Aldatma Sanatı. ODTÜ Geliştirme Vakfı Yayıncılık.

1 Yorum

  1. Merhaba;
    Dün akşam bir konu araştırırken siteye ulaştım ve sabahtan tekrar açarak tüm konuları satır satır okudum.

    Hangi konunun altına tebrik mesajı yazayım diye düşünürken tüm siteyi okumuş oldum ve son kayıt olan bu konuya yazmaya karar verdim.

    Muhteşemsiniz.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir