CyberFlow Logo CyberFlow BLOG
Soc L1 Tehdit Vektorleri Phishing Analizi

Credential Harvesting: Siber Tehditlere Karşı Alışkanlıklarımızı Geliştirelim

✍️ Ahmet BİRKAN 📂 Soc L1 Tehdit Vektorleri Phishing Analizi

Credential harvesting sayfalarına dair önemli bilgiler edinin. Kullanıcılarınızı bu tehlikeye karşı koruma yollarını keşfedin.

Credential Harvesting: Siber Tehditlere Karşı Alışkanlıklarımızı Geliştirelim

Credential harvesting, kimlik bilgilerini çalmaya yönelik tehlikeli bir siber saldırı yöntemidir. Bu yazıda, kullanıcıları bu tehditten korumak için neler yapabileceğinizi öğreneceksiniz.

Giriş ve Konumlandırma

Siber güvenlik alanında, kullanıcı kimlik bilgilerini (credential) ele geçirme amacı taşıyan çeşitli tehditler giderek daha yaygın hale geliyor. Bu tehditler, genellikle phishing (oltalama) yöntemleriyle tetiklenir ve kullanıcıların hassas verilerini çalma hedefini güder. "Credential harvesting" terimi, bu tür saldırıların merkezinde yer alarak kullanıcı adı, parola veya çok faktörlü kimlik doğrulama (MFA) bilgilerini çalmayı hedefleyen sahte giriş sayfalarının kullanımını ifade eder. Bu durum, her geçen gün daha kompleks ve etkili hale gelen siber saldırı teknikleriyle birleştiğinde, bireyler ve kuruluşlar için ciddi bir risk oluşturur.

Credential Kavramı

Kimlik bilgileri, çevrimiçi hesaplara erişim sağlamak için kullanılan bilgiler bütünü olarak tanımlanabilir. Örneğin, sosyal medya, bankacılık veya e-posta hizmetleri için gerekli olan kullanıcı adı ve şifre gibi bilgiler bu kategoriye girer. Credential harvesting, özellikle bu bilgilerin kötü niyetli kişiler tarafından hedef alındığı bir siber tehdit türüdür. Kullanıcılar, bu bilgileri sahte web sitelerine girdiğinde, saldırganlar bu verileri ele geçirerek yasal erişim imkânı elde ederler.

Sahte Giriş Sayfaları

Sahte giriş sayfaları, kurumsal veya marka kimliğini taklit eden web bileşenleri olarak tanımlanabilir. Bu tür sayfalar, kullanıcıların gerçek bir web sitesi ile karşılaştıklarına dair bir yanılsama yaratır. Söz konusu sayfaların hazırlanmasında, kullanıcıların dikkatini çekmek için çeşitli teknikler kullanılır. Örneğin:

<form action="https://fake-login.com/authenticate" method="post">
  <label for="username">Kullanıcı Adı:</label>
  <input type="text" id="username" name="username" required>
  
  <label for="password">Şifre:</label>
  <input type="password" id="password" name="password" required>
  
  <input type="submit" value="Giriş Yap">
</form>

Yukarıdaki örnek, sıradan bir giriş formu görünümündedir; fakat kullanıcı bilgileri bu sahte sayfaya gönderildiğinde, bu bilgiler saldırganın eline geçmektedir. Bu tür aldatmalar, yalnızca teknik anlamda değil, aynı zamanda kullanıcı farkındalığı açısından da oldukça tehlikelidir.

Neden Önemlidir?

Credential harvesting tehditleri, siber güvenlik alanında birçok sebep dolayısıyla önemli bir yere sahiptir. Öncelikle, bu tür saldırılar finansal kayıplara yol açabilir ve kullanıcıların kişisel bilgilerinin ifşasına neden olabilir. Ayrıca, kötü amaçlı kişiler ele geçirdikleri bilgileri kullanarak fidye yazılımı saldırıları veya kimlik hırsızlığı gibi diğer siber suçlara da teşvik edebilir. Kurumlar içinse, bu tür bir saldırı, itibarsal zararlara ve düzenleyici yaptırımlara da yol açabilir.

Siber Güvenlik Bağlamında

Pentest (penetrasyon testleri) çalışmaları, credential harvesting risklerini değerlendirip güvenlik açıklarını belirlemede önemli bir yer tutar. Bu testler sayesinde, kurumlar zayıf noktalarını tespit ederek gerekli önlemleri alabilirler. Ayrıca, savunma mekanizmalarının güçlendirilmesi için kullanıcı eğitimleri düzenlemek ve farkındalık artırmak da son derece kritik bir adımdır.

Siber güvenlikte başarılı olmak için sadece teknik çözümler değil, aynı zamanda kullanıcıların bireysel davranış ve alışkanlıklarını geliştirmesi de önemlidir. Kullanıcıların sahte sayfalara karşı daha dikkatli olmaları, güçlü parolalar kullanmaları ve şüpheli bağlantılara tıklamaktan kaçınmaları gerektiği vurgulanmalıdır.

Bu bağlamda, “Credential Harvesting” konusunda daha fazla bilgi edinmek, bireylerin ve kuruluşların savunmalarını güçlendirmeleri adına büyük bir öneme sahiptir. Bilgi güvenliği alanında proaktif bir yaklaşım benimsemek, siber tehditlere karşı daha dayanıklı bir yapı kurmak için zorunludur.

Teknik Analiz ve Uygulama

Credential Kavramı

Credential harvesting, siber saldırganların kullanıcı adı, parola ve çok faktörlü kimlik doğrulama (MFA) bilgilerini çalmayı hedefleyen tekniklerdir. Bu temelde, saldırganlar, kullanıcıların bu bilgilerini, genellikle sahte web siteleri aracılığıyla toplamaktadır. Bu tür bilgilerin ele geçirilmesi, potansiyel olarak kötü niyetli amaçlar için kullanılabilir ve hedeflenen kuruma ciddi zararlar verebilir.

Sahte Giriş Sayfaları

Saldırganlar, genellikle Microsoft 365, bankacılık ve sosyal medya platformlarına ait giriş ekranlarını taklit eden sahte giriş sayfaları oluştururlar. Bu tür sayfalar, potansiyel kurbanların dikkatini çekmek ve onlardan kimlik bilgilerini güvenli bir ortamda toplamaya çalışmak için tasarlanmıştır.

Fake Login Form

Sahte giriş alanı olarak bilinen bu web bileşenleri, kullanıcılardan kimlik bilgilerini toplamaktadır. Gerçek bir giriş ekranı gibi görünse de, aslında bunlar kullanıcıların bilgilerini nakit gibi çalmak üzere tasarlanmıştır. Kullanıcılar bu formları doldurduklarında, bilgileri saldırgana doğrudan ulaşır.

Örnek sahte bir giriş formu oluşturmak için HTML kullanarak basit bir form örneği:

<form action="https://fake-website.com/login" method="post">
  <label for="username">Kullanıcı Adı:</label><br>
  <input type="text" id="username" name="username"><br>
  <label for="password">Parola:</label><br>
  <input type="password" id="password" name="password"><br>
  <input type="submit" value="Giriş Yap">
</form>

Buradaki action nitelikleri, sahte web sitelerindeki hedef URL'ye yönlendirme yapmaktadır. Bu tür formları analiz etmek, sahte giriş sayfalarını tespit etmenin ilk adımlarından biridir.

Teknik Tespit

Credential harvesting saldırılarını tespit etmek için çeşitli teknikleri ve araçları kullanmak kritik öneme sahiptir. Domain analizi, SSL kontrolü ve sayfa davranışı özelliği, saldırıların tespitinde önemli unsurlar olarak ön plana çıkmaktadır. Özellikle, sahte sitelerin SSL sertifikaları gerçekte güvenilir olmayabilir. Bu nedenle, https:// ile başlayan adreslerin geçerli olup olmadığını doğrulamak, kullanıcıların dikkat etmesi gereken bir konudur.

Aşağıdaki komut ile bir domainin SSL sertifikasını kontrol etmek mümkündür:

openssl s_client -connect fake-website.com:443

Bu komut, domainin SSL sertifikasını alacak ve kullanıcıya sertifika detaylarını gösterecektir. Geçersiz veya sahte sertifikalar, kimlik avı sayfalarının belirti olabilir.

Brand Impersonation

Marka kimliği taklidi, hapdüarak siber tehditlerinin önemli bir bileşenidir. Saldırganlar, kullanıcıların güvenini kazanmak amacıyla popüler markaların logosu ve tasarımlarını taklit ederler. Bu durum, kullanıcıların sahte sayfalara yönelmesine ve bilgilerini paylaşmasına zemin hazırlar.

SOC Credential Harvesting Araçları

Gelişmiş güvenlik operasyon merkezlerinde (SOC), credential harvesting analizi için özel araçlar kullanılmaktadır. URL tarayıcıları bağlantı güvenliğini kontrol etmede ve bilinen kimlik avı kampanyalarını takip etme amacında kullanılabilir. Sandbox sistemleri ise sayfa davranışlarını analiz ederek, sahte sayfaları tespit edebilmek için kritik öneme sahiptir.

Aşağıda, kullanım amacıyla eşleştirilebilecek bazı araçların listesi bulunmaktadır:

  • URL Tarayıcı: Bağlantı güvenliğini kontrol eder.
  • Sandbox: Sayfa davranışını analiz eder.
  • Threat Intel: Bilinen phishing kampanyalarını takip eder.

Session Hijacking

Credential harvesting sonrası saldırganlar, kullanıcıların oturum bilgilerini ele geçirerek, oturum ele geçirme (session hijacking) süreçleri başlatabilirler. Bu, kullanıcıların oturum bilgilerini kullanarak onların hesaplarına yetkisiz erişim sağlamalarına neden olur. Bu tür saldırılardan korunmak için güçlü bir MFA kullanımı ve kullanıcı farkındalığı sağlanması kritik öneme sahiptir.

Savunma Önceliği

Credential harvesting saldırılarına karşı etkin savunmalar geliştirmek için, URL analizi, MFA entegrasyonu ve kullanıcı eğitimleri gibi çok katmanlı savunma stratejileri benimsenmelidir. Kullanıcıların sahte giriş sayfalarını tanıyabilmesi için dikkatli olmaları ve yalnızca bilinen, güvenilir web siteleri üzerinden kimlik bilgileri girmeleri teşvik edilmelidir.

Bu tür önlemler, kimlik bilgileri çalınsa bile ek savunma katmanları ile saldırganların etkisini minimize edebilir. Bunun yanı sıra, düzenli güvenlik eğitimleri ile kullanıcıların farkındalığı artırılmalıdır.

Risk, Yorumlama ve Savunma

Siber güvenlikte credential harvesting, kullanıcı adı, parola ya da çok faktörlü kimlik doğrulama (MFA) bilgilerini çalmayı amaçlayan bir saldırı biçimidir. Bu tür saldırılar, genellikle hedef alınan kurumsal veya bireysel kullanıcıların üzerinde bulunan sahte giriş sayfaları aracılığıyla gerçekleştirilir. Burada, credential harvesting saldırılarının risklerini değerlendirmek ve bu tehditlere karşı nasıl bir savunma mekanizması oluşturulabileceğini inceleyeceğiz.

Elde Edilen Bulguların Güvenlik Anlamı

Credential harvesting saldırıları sonucunda elde edilen veriler, saldırganların eline geçtiğinde büyük bir güvenlik riski oluşturur. Örneğin, Microsoft 365, bankacılık ve sosyal medya giriş ekranları sıkça hedef alınmaktadır. Kullanıcıların giriş bilgileri başarıyla çalındığında, saldırganlar bu bilgileri kullanarak hesaplara erişim sağlama şansı elde ederler. Dolayısıyla, elde edilen her bir kullanıcı bilgisi yalnızca bireysel bir kişiye değil, aynı zamanda tüm kuruma ait büyük riskler taşır.

Gerçek dünyadaki bir örnek vermek gerekirse, bir bankanın sahte bir giriş sayfasına yönlendirilmesi durumunda, kullanıcılar farkında olmadan kimlik bilgilerini bu sayfaya girebilir. Bu tür durumlarda, kullanıcıların bilinçlendirilmesi ve sahte sayfalara karşı dikkatli olmaları sağlanmalıdır.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Kurumsal altyapılardaki yanlış yapılandırmalar ya da sistem zafiyetleri, credential harvesting tehditlerinin etkisini artırır. Örneğin, bir zincirleme yanlış yapılandırma sonucu, kullanıcıların bilgileri kasıtlı olarak ya da bilinçsizce korunmayan ortamlarda depolanıyorsa, bu durum saldırganların işini oldukça kolaylaştırır. Özellikle SSL sertifikalarının kullanımında yapılan hatalar, yani HTTPS üzerinden sahte bir güven algısı yaratılması, kullanıcıların dikkatini çekmeden bilgilerini çalmaktır.

Bir saldırganın kullanabileceği basit bir teknik de brand impersonation'dır. Yani, tanınmış bir markanın kimliğinin taklit edilmesi ile kullanıcıların güvenilir bir platformda olduğunu düşünmesi sağlanır. Bunun sonucunda kullanıcı, sahte bir giriş formuna bilgilerini girer ve bu bilgiler saldırgana ulaşır.

Sızan Veri, Topoloji ve Servis Tespiti

Sızan verilerin analizi, saldırının etkilerini değerlendirirken kritik öneme sahiptir. Credential harvesting saldırılarında, genellikle kullanıcı adı ve şifreler öncelikli hedef olur. Ancak, saldırganların eline geçebilecek veriler sınırlı değildir; IP adresleri, cihaz bilgileri gibi çeşitli sistem bilgilerinin de kapsamda olduğunu unutmamak gerekir.

Örneğin, bir "Fake Login Form" üzerinden elde edilen kullanıcı bilgileri, sadece bireysel bir kullanıcının güvenliğini tehdit etmekle kalmaz; aynı zamanda şirket intranetine veya diğer hizmetlere erişim sağlanmasına da olanak tanır. Bu durum, bir "Session Hijacking" olayı olarak nitelendirilir ve doğrudan sistem güvenliğini tehdit eden bir unsurdur.

Profesyonel Önlemler ve Hardening Önerileri

Credential harvesting'e karşı alınacak önlemler arasında şunlar yer alır:

  1. URL Analizi: Kullanıcıların yönlendirildiği bağlantıların güvenliğini kontrol etmek için URL tarayıcıları kullanılmalıdır. Bu araçlar, sahte web sitelerini tespit etmede kritik rol oynar.
  2. MFA Kullanımı: Çok faktörlü kimlik doğrulama uygulamaları, saldırganların kimlik bilgilerini ele geçirmiş olsa bile, ek bir güvenlik katmanı sağlar.
  3. Kullanıcı Farkındalığı: Eğitim programları ile çalışanların sahte giriş sayfaları konusunda bilinçlendirilmesi, phishing saldırılarının etkisini azaltacaktır.
  4. SSL Kontrolleri: HTTPS bağlantılarının geçerliliğinin doğrulanması, sahte sayfaların tespitinde kritik bir unsurdur. Güvenli bağlantılar, kullanıcıların verilerinin şifrelenerek gönderilmesini sağlar.

Sonuç Özeti

Credential harvesting, sürekli olarak gelişmekte olan bir siber tehdit olarak önümüzde durmaktadır. Kullanıcı bilgilerini çalmayı hedefleyen bu saldırılar, yanlış yapılandırmalar ve zafiyetlerle birleştiğinde, büyük bir risk oluşturabilir. Yapılan exempler saldırıların doğrudan sonuçlarını değerlendirerek ve etkili savunma stratejileri geliştirerek, bu tehditlere karşı daha güçlü bir duruş sergilememiz mümkündür. Uygun güvenlik önlemlerinin alınması, kullanıcı farkındalığının artırılması ve güvenlik uygulamalarının güçlendirilmesi, bu tür tehditlere karşı alacağımız en etkili önlemlerdir.