URL Kimlik Avı Saldırılarının Büyüyen Tehlikesi

Şu anda gezindiğiniz web sitesinde asma kilit simgesinin bulunduğunu bilmek kendinizi çok daha güvende hissetmiyor musunuz? Şimdilik böyle düşünebilirsiniz, ancak siber suçlular her zaman bu şeyleri aşmanın bir yolunu bulacaktır.

Aslında, kimlik avcıları, popülaritesi artmaya devam eden kampanyalarında HTTPS protokolünü başarıyla benimsediler ve kullanıcıları, gönderdikleri kötü niyetli bağlantıların veya e-postaların meşru varlıklardan geldiğine inandırarak kandırmalarına izin verdi. URL tabanlı HTTPS kimlik avının devreye girdiği yer burasıdır.

URL tabanlı HTTPS Kimlik Avı nedir?

HTTPS kimlik avı hakkında konuşurken, bir kişinin normalde ziyaret ettiği açılış sayfaları veya web sitelerini kastediyoruz. Çoğu insanın e-postayı rahatsız ettiği düşünüldüğü için kimlik avı ile karıştırılabilir, ancak gerçekte e-posta yalnızca ilk aşamadır . Fail çoğu zaman sizden bir ek indirmenizi ister ve hatta sizi kötü niyetli bir web sitesine yönlendirir.

Kimlik avcıları için zorluk, standart kimlik avının, kullanıcıları eğiterek önlenebilmesidir . Çok sayıda çalışma, zaman içinde ve sık aralıklarla yapılan kimlik avı simülasyonlarının bu sorunları belirlemede belirgin bir gelişme gösterdiğini kanıtlıyor. Ve bu tür simülasyonlar sırasında ana kurallardan biri, şüpheli bağlantılara veya eklere düşmemektir.

Durum böyle olunca da günümüzün siber suçluları gelişmeye başladı.

Popüler siber güvenlik firması FireEye, URL tabanlı saldırılar için birkaç yeni varyanttan bahsediyor. Buradaki fikir, gövdesindeki bir bağlantı dışında herhangi bir içeriği olmayan bir e-posta göndermektir. Şimdi bunu görmezden gelmek gerçekten kolay görünebilir, ancak yalnızca 2019'un ilk aylarında FireEye tarafından kullanımında %26'lık bir artış gözlemlendi - bunun etkili olabileceğinin kanıtı.

Yeterince çalışkan olanlar için, devam edip adresi doğrulatabilir veya e-posta başlığını inceleyebilirsiniz . Buradaki sorun, pek çok kullanıcının bunları yapmamasıdır. Bu nedenle, birinin neden bu taktiğe düşeceğini görmek kolaydır.

İlk varyant, tıklanacak bir bağlantı dışında herhangi bir içeriği olmayan bir e-posta olduğundan, ikinci varyantın hiçbir bağlantısı yoktur. Bu, tıklanabilir bir URL'si olmayan aynı içeriksiz e-postadır; bu, etkin bir bağlantı olmadığı için filtrelerin algılamasını zorlaştırır. Bu durumda, bağlantı yalnızca hedef bunu tarayıcılarına girdiğinde aktif hale gelir.

Bu e-postaların çoğu HTTPS bileşeni olmadan gönderilir, ancak faillerin SSL sertifikasına sahip olmasını gerektirmez. Yine de bu HTTPS'yi bir URL'nin başına ekleyebilmek, bazı insanları kimlik avcısının istediğini yapmaya itebilecek yepyeni bir yanlış güven düzeyi ekler.

Sonunda, bu durumlar için gerçek savunma basitçe kendini eğitmektir.

Artan Sayıda Kimlik Avı Web Sitesi Artık HTTPS Kullanıyor

HTTPS kimlik avı teknikleri son birkaç yılda kendisini yavaş yavaş genişletti, ancak son raporlarda her ay 1,4 milyon yeni kimlik avı sitesi oluşturuluyor. Bu sayının önümüzdeki yıllarda artarak devam etmesi bekleniyor. Daha da endişe verici olan, HTTPS kimlik avı sitelerinin 2017'de %25'ten 2018'de %49'a çıkmasıdır.

Bu çok büyük bir artış. Hâlihazırda olduğu için HTTPS kimlik avının hala bir sorun olacağını söyleyemeyiz. Ayrıca, özellikle endüstri çapında HTTPS'yi standart olarak kullanmaya yönelik baskıyla birlikte, yakında herhangi bir zamanda azalacağına dair hiçbir işaret de yok.

Buraya nasıl geldik?

Bugün çoğu web sitesi, yalnızca parola ile oturum açmaya izin veren siteler için kullanıldığı birkaç yıl öncesine kıyasla büyük bir değişiklik olan HTTPS protokolünü kullanıyor. HTTPS ile birlikte SSL/TLS sertifikalarının kullanımını tırmandıran şey, 2015 yılında Google'ın bunun arama motoru algoritmalarını olumlu yönde etkileyeceği konusundaki ısrarıydı.

Birdenbire HTTPS'ye sahip olmayan web siteleri bu nedenle olumsuz etkiler görmeye başladı. 2018 itibariyle, Google Chrome, Firefox ve Edge gibi birçok popüler tarayıcıyla birlikte HTTPS'ye sahip olmayan siteleri “güvenli değil” olarak işaretlemeye başladı. Web siteleri ve kullanıcılar bu yaklaşımı benimsedi ve bu nedenle HTTPS iyi bir şey olarak görülürken, eksikliği kötü bir deneyim olarak görüldü.

Siber suçlular da, alanlarında HTTPS'li kimlik avı web sitelerinin yükselişinin 2017 yılı civarında nasıl arttığını gösteren bir fikre sahip oldular. Ve şu anda en endişe verici düşünce, bu saldırganların meşru sertifikalarla doğrulanmış alanları kötüye kullanmaya başlayabilir.

Birçok Kullanıcı HTTPS'nin Ne Yaptığını Bilmiyor

İnsanların ne yaptıkları ve internette neler olduğu hakkında ne kadar az şey bildiğini bilmek şaşırtıcı olabilir. Eskiden internete sadece bu cihazlardan girilebildiği için internet kullanıcılarının bilgisayar kullanımı konusunda bilgili olmaları gerekiyordu. Yine de şimdi, İnternet bağlantısı olan bir akıllı telefonu olan hemen hemen herkes çevrimiçi olabilir ve giriş için bilgi engelini etkin bir şekilde kaldırabilir.

Ve akıllı telefonlarla karşılaştırıldığında, geleneksel masaüstü tarayıcıları en azından kullanıcılara onları nasıl kullanacaklarını öğretmek için biraz çaba sarf etti. Bugün artık durum böyle değil. Bireyler genellikle istediklerini yapmaya ve yol boyunca bir şeyler bulmaya bırakılır. Günümüzde internette gezinirken kullanıcılara neler olduğunu bildirmek için bir tür kılavuz görevi görmesi gereken çok sayıda görsel gösterge vardır.

Bu maalesef böyle değil. HTTPS ile eşanlamlı olan asma kilit simgesi gibi semboller, yapmak istediklerini başaramadı. Bu asma kilitlerin esasen siteyi veya uygulamayı barındıran sunucuyla kurduğunuz bağlantının şifreli ve güvenli olduğu anlamına geldiği gerçeğiyle başlayabiliriz. İki taraf arasında değiş tokuş edilen herhangi bir veri, söz konusu bağlantıyı kesmeye çalışabilecek harici saldırganlara karşı güvendedir.

Yine de bir kuruluş için bir tür kimlik doğrulama olmadan, karşı taraftaki tarafın itibarı konusunda hiçbir garanti yoktur. Görüyorsunuz, bilgisayar korsanları da HTTPS kullanabilir, bu nedenle asma kilit bağlantının güvenli olduğu anlamına gelse de, ana bilgisayarın onlara gönderdiğiniz verilerle ne yapacağının garantisi yoktur.

HTTPS'nin, web sitelerinin meraklı gözlerden uzak durması gereken olumlu bir yönü olduğunu unutmamak önemlidir. Buradaki nokta, varlığının şifreli bağlantılarla ilişkilendirilmesinin, otomatik olarak site sahiplerinin kendilerine güvenileceği anlamına gelmediğidir.

Peki Bu Kimlik Avcılarını Nasıl Yenebilirim?

Yalnızca HTTPS ile alan adlarına güvenmekle kalmamanın yanı sıra, uzmanlar tarafından alan adlarında herhangi bir yazım hatası olup olmadığını kontrol etmeniz önerilir. Ayrıca, mümkün olduğunda çok faktörlü kimlik doğrulamayı etkinleştirerek kimlik bilgilerini korurken e-posta yoluyla gelen bağlantılara karşı dikkatli olmanız da çok önemlidir.

Bu uygulamalar genellikle alan adlarını kimlik bilgilerinizle otomatik olarak doldurmadan önce doğruladığından, bir parola yöneticisine sahip olmak da iyi bir fikirdir. Yazılımınız oturum açma bilgilerini otomatik olarak sağlamıyorsa, bu, söz konusu web sitesinde bir şeylerin doğru olmadığını gösteren bir hediye olabilir.