Domain Phishing - Kimlik Avı Ve Diğer Güvenlik Saldırıları
02.04.2021 14:26 1085 Görüntülendi

Domain Phishing - Kimlik Avı Ve Diğer Güvenlik Saldırıları

Etki alanı internet dünyasında domain kavramının farklı bir tanımı olmakla birlikte etki alanı hırsızlığı ise yeterli dikkati göstermeyen web sayfası sahiplerinin yaşayabileceği en büyük sıkıntılar arasında bulunmaktadır. Düşünün ki çevrimiçi faaliyette bulunduğunuz bir an içerisinde sadece kısa bir süre sonrasında alan adınızın ele geçirildiğini ve değişen bir DNS ile birlikte farklı bir kayıt kuruluşunun elinde bulunduğunu görebilirsiniz. Bu durumda başka birileri şirketinizin kimliğini kullanarak, insanlara başka bir web sitesini sunabilir.

Alan adı ele geçirme gibi bir kavram ile görülen bu sıkıntı, kayıtlı bir domainin çalınması ve gerçek sahibi yerine başka biri tarafından kötü amaçlı kullanılmasıdır. Bugün internette her web sayfası için karşılaşılabilecek bir risk olmakla birlikte bu noktada koruma elde edebilmek için çok küçük adımlar atılması dahi bazen yeterli olabilir.

Kimler Saldırıya Uğrayabilir?

Domain Phishing - Kimlik Avı Ve Diğer Güvenlik Saldırıları | Atak Domain HostingBugün özellikle e-ticaret yaygın bir hale gelmiş olduğu için akla gelebilecek küçük veya büyük her işletmenin bir web sayfası bulunmaktadır. Bu durumda e-ticaret için kullanılan web sayfasının ele geçirilmesi, potansiyel bir zarar ile karşılaşmaya neden olabilir.

Eğer alan adı hırsızlığı ile karşılaşırsanız, iletişim bilgileriniz de kolaylıkla bulunabilir. İşte bu durumda Atak Domain üzerinde domain kaydı gerçekleştirirken, gizlilik koruması satın almanız yani whois gizliliği sayesinde iletişim bilgilerinizi korumanız büyük bir katkı sağlayacaktır.

İnsanlar alan adı saldırılarını mali kazanç, rekabet, müşteri verilerini çalma gibi amaçlar ile gerçekleştirmektedir. Bazen internet korsanları sadece politik nedenli olarak bazen finansal olarak bu suçları işlerken, bu konuda çevrimiçi korsanlığı durdurma yasası gibi çalışmalar da yapılmıştır.

Alan adı kaçırma ile karşılaşan şirketlerde, hassas kurumsal bilgilerin çalınması gibi sonuçlar oluşabildiği için çok hassasiyet ile eğilmesi gerekilen bir konudur. Bu açıdan bilgisayar korsanlarının bu saldırılarına maruz kalmamak için

  • Domain sağlayıcısının güvenlik hatalarını göz önüne almanız gerekir. Seçtiğiniz sağlayıcı Atak Domain gibi ICANN kayıt anlaşmasına uygun bir şekilde çalışmalı ve sözleşmelere uymalıdır.
  • Domain güvenliği sağlamak açısından güvenlik sınırını sürdürerek, kendi ihmallerinizi de ortadan kaldırmalısınız.
  • Alan adı için güçlü bir DNS seçmeli ve başlangıcından itibaren doğru ve güçlü bir DNS’nin seçilmesi ile birlikte de sürdürülebilir bir hale gelmesi ve doğal güvenlik açıklarının bulunmaması sağlanmalıdır.

 

Tüm bu bilgiler ile birlikte karşılaşabileceğiniz 5 önemli saldırıyı teker teker incelemeye geçebiliriz.

1- Typosquatting (URL Korsanlığı)

Genellikle dikkatsiz site sahiplerinin karşılaştığı bir sorun olmakla birlikte bir diğer adı URL ele geçirme olarak bilinmektedir. Genellikle bir web site adresinin tarayıcıya yanlış yazılması sonucunda bu kullanıcıları hedefleyen bir saldırıdır.

Bu saldırı türünde yazım hataları sonucunda kötü amaçlı farklı tasarlanmış alternatif bir sayfaya ulaşan kullanıcı, kimlik avına yakalanabilir. Yazım hataları yaratıcı bir özelliğe sahip olduğu için marka trafiğinizi çalmayı amaçlar ve tüm yazım yanlışları kayıt altında tutularak, tekil ve çoğul alan adı sürümleriniz ile yaygın farklı uzantıları da hedef altında tutar.

Karşılaştığımız bu saldırıyı önceden engelleyebilmek açısından alan adı yazım hatalarını kayıt altına almanız gerekir. Bu kapsamda;

  • Bariz yazım hataları ile birlikte alan adınızın benzerlerini, fonetik olarak hatalar ile birlikte benzerlerini ve bazen 1 rakamı yerine I-İ gibi harflerin kullanıldığı veya O yerine 0 gibi alternatiflerin yer aldığı alan adlarını satın alabilirsiniz. 
  • Tekil ve çoğul versiyonları tercih ederek, yani örneğin ankarasepetci.com gibi bir domain ile birlikte ankarasepetciler.com gibi bir domain kaydını da yapabilirsiniz.
  • Adresinizin içerisinde tire (- veya _) gibi eklentiler yer almasa da bulunan eklentileri de seçerek yani ankarasepetci.com ve ankara-sepetci.com gibi domainleri seçerek satın alımlar yapabilirsiniz.
  • Genellikle “.com”, “.org” ve “.net” gibi alan adı uzantıları bir arada seçilerek, alım yapılması ideal bir tercihtir. 

 

Bu şekilde yazım hataları alternatiflerinin tümüyle alan adı kayıtlarını sağladıktan sonra tüm bu domainleri tek bir çekirdek domain üzerine yönlendirdiğinizde, web sitesi yazım hatası trafiklerinde saldırılar ile karşılaşma ihtimaliniz çok düşük olacaktır.

2- Registrar Hacking (Kayıt Şirketi Hacklenmesi)

Bir diğer adı kayıt şirketi hacklemesi olan bu korsanlık faaliyeti, çok yaygın olmasa da yine de önemli bir tehlike oluşturmaktadır. Genellikle alan adı uzantıları bir kayıt şirketi vasıtasıyla kaydedilirken, bazı şirketler başarısız yapılara sahip olduğu için saldırıya uğradıklarında, sizin de büyük bir zarar ile karşılaşmanıza neden olurlar. 

Bir korsan domain girişinizi ele geçirirse, ayrıntılarını ve uzantılarını değiştirerek müşterilerinin bilgilerine ulaşabilir, kötü amaçlı yazılımlar sunarak, klon sitelere yönlendirme yapabilir. Bu gibi durumlarda DNS güncellemesi hafif geciktiğinde, bir kaç saat fark edilmeden bu aktif korsanlık sürebilir.

Bu gibi durumlarda kayıt şirketi etkinliği fark ettiği zaman tüm oturum açma bilgilerini değiştirmesi vasıtasıyla yapılan bu korsan değişikliklerinin tümünü geri alabilir. Fakat birkaç saatlik bir işlem sonucunda bu çözüm elde edilebilir. Bu açıdan karşılaşabileceğiniz bu hack saldırısına karşı da yapabilecekleriniz arasında;

  • Aktif bir şekilde DNS trafiğini kontrol edebilir,
  • IP sahtekarlık karşısında güvenlik duvarı kullanabilir,
  • Atak Domain gibi alan adı tescil kuruluşları üzerinden DNSSEC talebi yapabilir,
  • Alan adı uzantısı kayıt defteri başvurusunu yapabilir,
  • Sağlam bir aktarım güvenliğini tarayıcıya önceden yükleyerek, ziyaretçi güvenliği sağlayabilirsiniz.

 

Aslında bu saldırıya karşı seçtiğiniz kayıt şirketi bazı özelliklere de sahip olmalıdır. Örneğin, Atak Domain üzerinden domain kayıt işlemi gerçekleştirdiğinizde, hesabınızın korsanların eline geçmesi riskine karşı

  • 1. İki faktörlü kimlik doğrulama
  • 2. Hesap kilidi
  • 3. Kayıt kilidi gibi avantajlar sağlanır.

 

3- Etki Alanı (Domain) Hırsızlığı

Online dünyada gerçek bir hırsızlık türü olmakla birlikte domain korsanlığı yani etki alanı korsanlığı, tescil sahibinin izni olmadan bir alana erişim gerçekleştirilmesi ile sağlanır. Bu durumda önlem alınabilmesi için hem sizin yapabilecekleriniz hem de bağlı olduğunuz barındırma şirketinin yapabileceği işlemler bulunur. Çünkü bu sorun her iki taraftaki güvenlik açıklarından dolayı ortaya çıkabilir.

Bazen korsanlar bir web sitesini çalmaya çalıştıklarında;

  • Kötü amaçlar için kullanabilir,
  • Erişilmez bir hale getirebilir,
  • Size geri vermek için zorla para talep edebilir,
  • Bilinmeyen ziyaretçilerden değerli bilgileri çalabilir
  • Bu alan adının başkasına dahi satabilir.

 

Bu durum sonraki süreçlerde görülecek bir kimlik avına da ortaya çıkarabilir.

Domain Phishing - Kimlik Avı Ve Diğer Güvenlik Saldırıları | Atak Domain HostingBazı durumlarda ise bilgisayar korsanları domain kaydını başka birinin üzerine aktarır ve bu gibi durumlarda alan adını geri almak gerçekten çok zor olacaktır. Bazen korsanlar alan adı kayıt kuruluşları ile bağlantı kurarak başka bir hesaba aktarma talep ederek, sizi tamamen eksiksiz bir şekilde taklit edebilir ya bu durumda yasal yardım yapılmadan alan adı kayıt kuruluşundan geri adım atılması neredeyse mümkün olmayacaktır.

Eğer bir alan adı ele geçirilirse; saldırgan bu alan adının kontrol paneline ulaşabilir. Çünkü bu saldırı ile birlikte kayıt kuruluşunun adına ve istenilen domain için gereken parola ve yönetici e-postası bilgilerine erişmiş olacaktır. Zira bu durumda bazen şifre kırma yöntemleri ile birlikte kaba kuvvet kullanarak bu bilgilere ulaşabilirler.

Aslında bazen korsanlar whois veritabanı üzerinde basit bir arama sayesinde bir e-posta bilgisine ulaştığında dahi hiç dolaşmadan direkt olarak basit korsanlık faaliyetleri sayesinde bir alan adının sahibine, parolasına ve e-mail adresleri gibi tüm bilgilerine ulaşabilir.

Domain ele geçirme sorununa karşı korunmak için

  1. Bir domain kaydı yaptığınızda Atak Domain gibi firmalar size bir kontrol paneli erişim hakkı sunar. Sonrasında panel üzerinde domainin ayarlarında değişiklik yapabilirsiniz. Bu sayede whois kayıtları üzerinde de domain gizliliği kullanabilirsiniz.
  2. Seçtiğiniz alan adı sağlayıcısı mutlaka en yüksek güvenlik önlemlerine sahip olmalı ve ICANN onaylı bir şekilde yönetmeliklere bağlı olarak çalışmalıdır.
  3. Bazen domain süresi dolduğunda başkası tarafından kayıt yapılabilir ve bu durum tamamen yasaldır. Buna karşı bir işlem yapamayacağınız için domain kaybı yaşamamak adına otomatik domain yenileme aktif hale getirilerek veya daha uzun süreli bir kayıt yapılarak, örneğin 10 yıl gibi bir sürede domain tescili sağlanabilir. 

Eğer bazı güvenlik adımlarını atlar ve alan adı hırsızlığı ile karşılaşırsanız bu durumda domain kurtarma işlemi bazı ihtimaller ile yapılabilir. Bu noktada;

  • İlk olarak Atak Domain gibi bir nokta üzerinden domain kaydı yapmış iseniz, bizimle iletişime geçebilirsiniz. Durumu destek ekibine anlattığınızda tüm ayrıntılar incelenerek ve gerekli evraklar sağlanarak işleme başlanabilir.
  • Yaşanan bu saldırıda domain başka bir kayıt kuruluşuna aktarıldığı için eğer bu kayıt kuruluşu yardımda bulunmazsa, yasal süreç başlatabilirsiniz. Bu noktada öncelikle bu domainin sahibi olduğunuzu kanıtlamak için gereken belgeleri hazırlamanız, ele geçirilen domain ile ilgili kayıt kopyalarını ve şirketten gelen yazışmaları sunmanız ve finansal işlemlerin takibini yaparak kuruluşa başvurmanız gerekir.
  • Her iki tarafta yaptığınız iletişimlere rağmen sonuç elde edememeniz durumunda, ICANN ile iletişim kurulabilir. Kurum anlaşmazlıkları durumunda kapsamlı belgeler ile birlikte saldırıya uğrayan web sayfanız için size kurtarıcı bir yardım sunabilir.

 

4- Alan Adı Kimlik Avı

Mail adreslerinizde gördüğünüz spam e-postalar aslında sadece istemeyeceğiniz e-postalardan çok daha fazla ve zararlı olabilir. Çünkü korsanlar bazen spam e-postalar sayesinde kötü amaçlı yazılımları yaymayı, güvenlik tehditleri oluşturmayı ve kimlik avı gerçekleştirmeyi hedefler.

Alan adı kimlik avı üzerinde durmadığınız yani şüphe duymadığınız bir e-posta alıcısının hesap ayrıntılarını ele geçirmesi vasıtasıyla yaptığı bir dolandırıcılıktır. Genellikle kayıt akreditasyon şirketi taklit edilerek size bir eposta gönderilir ve hesabınızda oturum açmanız istenir. Kopya bir site üzerinde yaptığınız bu işlem ile birlikte bilgileriniz çalınabilir.

Kimlik hırsızlarının karşısında durabilmek için posta iletilerinde her zaman dikkatli olmak gerekir. Bazen dolandırıcılar başka bir kimlik avı e-mail yöntemi ile adınıza olan şikayetleri indirmek için bir bağlantı üzerinden dosya indirmenizi isteyebilir. Alan adı sahibi bu yazılımı indirdiğinde, kötü amaçlı bir yazılım nedeniyle sadece birkaç saniye sonrasında bilgilerinin çalınmasına neden olabilir.

Kimlik avı ile karşılaşılmasının altında aslında çok da basit nedenler bulunmaktadır. Bu nedenlere bakıldığında;

  • Bazen kayıt şirketi çalışanlarının e-postalarda uygulama takipleri yapmaması ile karşılaşılabilir. Çünkü korsanlar postalardaki verileri bir araya getirmekte gayet zorlanacaktır. Aslında bir kayıt şirketi size mail gönderirken, sadece adınızı kullanmak yerine korsanların tahmin edemeyeceği bilgileri de kullanmalıdır. Ancak kayıt şirketleri çok basit ve sadece adınız ile hitap eden postalar kullandığında, korsanlar da bu yöntemi tercih ederek sizi kolaylıkla kandırabilir. 
  • Ucuz whois verileri satışı karşılaşılan sorunların başında her zaman yer almaktadır. Bazı güvenilir olmayan kayıt akreditasyon kuruluşları, kullanıcıların whois verilerini korsanlara satmayı seçmektedir.
  • Whois doğrulama ihtiyaçları 2013 yılından bu yana RAA itibarıyla ortaya çıkan yeni ihtiyaçlar bağlamında kayıt şirketleri whois bilgi doğrulamaları yapmalıdır. Zira çoğu zaman kayıt sahiplerine gönderilen bir e-posta sayesinde bir bağlantıya tıklamaları talep edilerek, kimlik avı yapılmaktadır. Bu bağlantılarda genellikle bir oturum açılması yerine sadece doğal bir dolandırıcılık yöntemi kullanılmaktadır.

 

Spam özelliğine sahip olan bu e-posta hırsızlıklarından kendinizi korumak için farklı yöntemler kullanabilirsiniz. 

  1. Gelen e-postanın mutlaka özgün bir yapıya sahip olması, yani gerçek bir şirket üzerinden gönderildiği anlaşılmalıdır.
  2. Gelen mesajda kullanılan URL mutlaka kayıt şirketinin URL’si ile aynı olmalıdır.
  3. Saygın bir kuruluş mutlaka yazım bilgisi kurallarına dikkat eder ve yasal çerçevede doğru dilbilgisi ile e-posta gönderir.
  4. Güvenilir bir e-posta kişisel bilgi talep etmez, resmi olsa dahi sizden şifre ya da güvenlik sorusu istemez.
  5. Eğer e-posta size doğru görünmüyorsa, bu durumda mutlaka kayıt şirketi ile iletişim kurarak onay isteyebilirsiniz.
  6. Eğer daha önce kimlik saldırısı yaşadıysanız, iyi bir savunma için iki faktörlü kimlik doğrulaması kullanabilirsiniz.
  7. Dolandırıcılardan gelecek e-postaların posta kutunuza gelmesini engellemek için whois gizliliği tercih edebilirsiniz.
  8. Kullandığınız tarayıcının virüsten koruma yazılımı içermesi size büyük bir fayda sağlar. İyi bir yazılım sayesinde kimlik avı saldırılarında uyarılar alabilir ve antivirüs katkısıyla da yanlış dosyaları indirmekten kaçınabilirsiniz.

5- DNS Saldırıları Ve Önbellek Zehirlenmesi

Bugün hem Türkiye'de hem de dünyanın birçok farklı ülkesinde DNS saldırıları her gün gazete manşetlerine çıkmaktadır. Bu durumdan banka kullanıcıları, herhangi bir alışveriş sitesinin üyeleri veya uygulama üyeleri etkilenebilmektedir.

İnternetin tasarlanmasında ilk aşamada DNS hizmetleri güvenlik amacıyla tasarlandı. Çünkü DNS arızalarında ağa bağlı cihazların hepsinden kapanma yaşanır. Bugün DNS saldırılarının artışının altında da DNS tehditlerinin umursamaması ve koruma sağlanmaması bulunmaktadır. Düşünün ki daha öncesinde Microsoft ve Twitter gibi devler dahi kayıt şirketleri üzerinden sağlanan erişim ile birlikte DNS sunucularının değiştirilmesi sonucunda büyük sorunlar yaşadılar.

Domain Saldırıları: Geçerlilik Süresi

Domain Phishing - Kimlik Avı Ve Diğer Güvenlik Saldırıları | Atak Domain HostingYaşanan bu çeşit alan adı saldırılarında korsanlar sadece domain kaydında bir tehlike oluşturur ve aslında geri alınması çok zor olan saldırılardan birisidir. Çünkü saldırganlar bununla birlikte kendilerine atanan DNS sunucularında değişiklik yapabilir. Bu saldırılara en büyük tehlike yaşama zamanı yani TTL denilen kavram ile ortaya çıkar. Bu tarz değişikliklerin yaşanması sonucunda dünya genelinde yenilenen DNS sunucularında her birkaç saniyede veya tam bir gün içerisinde ön bellekleme sağlanır. Bu durumda operatörlerin önbellekleri temizlemesi bazen bir günden daha uzun sürebilir.

Farkındalık elde etmek açısından birincil DNS saldırısı çeşitleri teker tekel incelenebilir.

  • Birinci saldırı türü; DNS sahtekarlığı olmak ile birlikte bu tür DNS önbellek zehirlenmesi şeklinde de adlandırılır. Bir bilgisayar üzerinden sahte bir bilgisayara trafik yönlendirmesi yapılırken, kullanıcı tarayıcıya bir alan adı girdiğinde, yanlış bir web sayfasına yönlendirilir. Bu noktada kullanıcı alan adını doğru yazdığı için sahte bir sayfaya girdiğini fark etmez. Önbellek zehirlenmesinin çözümü ve tespiti zor olmakla birlikte saldırı süresince korsanlar oturum açma kimlik bilgileri, bankacılık bilgileri gibi birçok farklı bilgiyi elde edebilir.
  • İkinci saldırı türü; DDoS için DNS amplifikasyonu olmak ile birlikte DNS güçlendirme saldırısından çok daha farklı bir yapısı bulunmaktadır. Çünkü bu saldırıda korsanlar DNS sistemlerini tehdit etmez, DNS hizmetlerinin açık doğasından faydalanır. Hedef bir web sayfasına tek bir kurban gönderilmesi yerine DNS istekleri diğer sistemlere yönlendirilir. Bu güçlü saldırı sonucunda DNS sunucularından gelen trafik hacmi artarken, bu trafik bir kurban web sayfasının üzerine yönlendirilerek çökme sağlanabilir.
  • Üçüncü saldırı türü; önbellek zehirlenmesi olarak adlandırılırken DNS önbellek verilerinin bozulması sonucunda oluşur. Aslında kullanıcılar bir web sayfasına girerken, e-posta gönderirken veya sayfaları ziyaret ederken genellikle bilgisayarlarında DNS ağında bir yerden önbelleğe alınmış DNS verilerini kullanır. Bu işlem kullanım hızı sağlasa da bu ön bellekler bir güvenlik açığı oluşturabilir.

 

Zehirlenme saldırılarında saldırgan sunucusundaki bu açıklardan yararlanır ve onları hedef alarak, adresleme bilgilerini değiştirir. Bu durumda kullanıcı bir sayfayı ziyaret ederken saldırgan kontrollü bir sunucu üzerinden yedek bir siteye yönlendirme sağlar. Fakat kullanıcı bu çok iyi kopya edilmiş sitenin doğru olmadığını hiç fark etmez. Çünkü öyle ki tarayıcı açılan bu sayfanın istedikleri doğru site yani resmi site olduğunu ifade eder.

Bu tarz saldırılar sonucunda oturum bilgileri, parolalar, kredi kartı bilgileri gibi birçok kayıp yaşanabilir. Önbellek zehirlenmesini önlemenin en iyi yollarından birisi, düzenli program güncellemesi yaparak, gelen makine ve ağ sistemlerinin önbelleklerinde düzenli temizleme sağlamaktır.

  • Dördüncü saldırı türü; hizmet reddi ve DDoS olarak bilinirken, korsanlar bir adrese tahmin edilecek noktadan fazla trafik gönderirler. Bu noktada sunucu gibi bir hedef göz önünde bulundurularak, büyük trafik gönderildiğinde genellikle kötü amaçlı yazılım bulunan bilgisayar birleşimleri ile kurulmuş bir ağ tercih edilir. Bunun sonucunda hedef talepleri çözülmeyecek bir noktaya ulaşır.

 

DDoS Türkçe karşılığı ile dağıtılmış hizmet reddi saldırısı olmakla birlikte saldırgan bir IP adresine çok yüksek çözüm isteği ulaştırırken, aşırı yükleme ile birlikte sayfanın çökmesini sağlar. Çünkü sayfa daha önce ne kadar isteği sağlamış olursa olsun, DNS altyapısı gelen istek sayısını karşılayamadığında site performansı düşüş gösterir veya devre dışı kalabilir. DNS server üzerinde mantıksal bir tıkanma noktasını temsil eder. Bu nedenle bu tarz saldırılar karşısında savunmasız kalırken, çözüm olarak kayıt otoritelerinin sıklıkla kullandığı DNSSEC tercih edilmelidir.

DNS saldırıların önlenmesi için ICANN tarafından DNSSEC üzerinde önemli bir teknoloji yatırım yapılmıştır. DNSSEC sayesinde sunucularda sahte istekler ayıklanırken, DNS istekleri üzerinde bir özgünlük imzası eklenir. Fakat bu sistemin dezavantajlarından birisi, çalışma sağlanması için DNS protokolünün her aşamasında uygulanabilir olmasıdır. Bu uygulama ise çoğu zaman uzun bir süre almaktadır.

DDoS saldırılarına karşı alınabilecek güvenlik önlemleri arasında;

  1. Güncel DNS’ler kullanmak,
  2. Alan adını birden çok sunucuda bulundurmak,
  3. Geniş çaplı ve yüksek oranda yedekli en iyi DNS sunucuları kullanan bir DNS sağlayıcısı seçmek,
  4. UTM güvenlik duvarları ile yön değiştirmek,
  5. Sisteminizi birden daha fazla DNS sunucusu üzerinden güvenli bir şekilde yapılandırmak bulunmaktadır.