Kategori: Genel

Yakın zamana kadar phishing (olta) saldırıları sadece e-mail yoluyla yapılmaktaydı. Ancak bu durum, yakın zamanda güvenlik lugatına vishing* gibi terimlerin girmesi ile değişti. Las Vegasta yapılan Black Hat Konferansındaki bir sunumda Güvenlik Araştırmacısı Jay Shulman, Digium’un Asterisk PBX’ini kullanarak bir phishing saldırısının nasıl gerçekleştirilebileceğini gösterdi.

Asterisk VoIP PBX projesi günümüzde belki de en çok bilinen ve en popüler olan açık kaynaklı VoIP projesi konumundadır.
Bu proje telefon kullanmak isteyen milyonlarca kişinin önündeki bir takım engelleri azaltmakta, ancak bu milyonlara paranızı veya kişisel bilgilerinizi çalmaya hevesli hackerlar da dahil.

Açık kaynaklı Asterisk projesi sayesinde, sesli aramalar aracılığı ile gerçekleştirilen phishing saldırılarının bütçeleri de değişti.

Shulman “Beş yıl önce böyle saldırılar için ticari bir sistem satın almanız gerekirdi, artık ortada bir açık kaynak oluşu bunu çok daha erişilebilir kılmakta,” diyor.

Shulman yaptığı sunumun, izleyicileri bu saldırılar için yüreklendirmemesi gerektiği konusunda da dikkatliydi.

Ben bu gereçlerin güçlerini göstermeye çalışıyorum, nasıl saldırı yapmanız gerektiğini değil.

diyor Shulman. Ancak yine de ses-temelli phishing saldırılarını gerçekleştirmek için birkaç farklı atak vektörünü tanımladı, örneklendirdi ve detaylandırdı.

Örneklerden birinde, kurbana bir e-mail gönderilerek saldırıyı gerçekleştiren kişinin daha önceden ayarladığı 1-800′lü bir numarayı araması istenmekte.
Hattın öteki ucunda (1-800′lü numaranın bulunduğu uç) gelen aramayı cevaplayan ve arayan kişiden hesap numarası ve posta kodu gibi tanımlayıcı bir takım bilgiler isteyen bir Asterisk PBX bulunmaktaydı. PBX aramayı kaydederken, bilgiler daha sonra kullanılmak üzere çağrı sonlandırılır.

Bir diğer saldırı yöntemi ise, kurbanın saldırgana ait bir 1-800′lü numarayı aradığı ortadaki adam saldırısı** tipinde bir yaklaşımdı.

Saldırganın PBX’i daha sonra bir yandan gizlice hatta kalarak bilgileri kaydederken diğer yandan aramayı gerçek bir müşteri servisi numarasına yönlendiriliyor.

Shulman bu tarz bir saldırının diğer türlere oranla çok daha el yordamı ile yapılan bir saldırı olduğunu ve bu yüzden saptanmasının zor olacağını belirtiyor.

Üçüncü saldırı yöntemi ise birinci ve ikinci yöntemlerin bir kombinasyonu.

Bu yöntemde kurban 1-800′lü numarayı arar, saldırganın PBX’i kişisel bilgilerin girilmesini ister ve arkasından aramayı gerçek bir müşteri servis operatörüne yönlendirir.

Shulman hasarın boyutunu arttırmak için saldırganın, kurbandan edindiği arayan numarayı PBX aracılığı ile tekrar arayarak verilen bilgilerin doğrulanması için kullanabileceğini belirtiyor. Shulman

Bu durum kurbanın bilgilerini vererek doğru bir şey yaptığı hissine kapılmasını sağlar oysa aslında oldukça yanlış bir şey yapmaktadır.

diye ekliyor. Sunumunun büyük bir bölümü Asterisk kullanılarak yapılan istismar tekniklerine ayrılmış olsa da, Shulman konuşmasının sonunda ses-tabanlı phishing saldırılarına nasıl engel olunabileceği konusunda da birkaç öneride de bulundu.
Kişilerin sadece banka veya kredi kartlarının arkasında yer alan 1-800′lü numaraları araması bu önerilerden birisiydi.

Finansal kurumların da bu konuda bir adım öne çıkarak kullanıcıları sesli aramalar yoluyla gerçekleştirilen phishing saldırılarının risklerine karşı uyarmaları ve eğitmeleri gerekiyor.

Shulman ayrıca çağrı merkezlerinin de arama esnasında, bir phishing istismarının söz konusu olmadığını teyit etmek için arayan kişiye hangi 1-800′lü numarayı aramakta olduklarını sormaları gerektiğini belirtti ve şunları söyledi;

Bu saldırının işe yarıyor olmasının tek nedeni, sosyal mühendisliğin*** de işe yarıyor oluşudur.

Bu saldırı yöntemi göreceli olarak hala yeni bir yöntem ancak yanlış numarayı arayarak zarar gören insanlar olduğunu da unutmamalı ve bir şeyler yapmalıyız.

*- Vishing : Voice Phishing (ses aracılığı ile gerçekleştirilen phishing saldırıları). Bu yöntemde sahtekarlar, çalınmış kimlik bilgileri ile sesli cevap sistemi kurmakta ve yerel VoIP telefon numaraları satın almaktalar.

**- Ortadaki adam (Man in the middle): Bu atak türü yapılan bağlantıların arasına girip iki tarafa da sanki karşıdaki kişi gibi davranmakla yada bir tarafı devre dışı bırakarak yapılır. Bu sayede mesela kendi şifresiyle şirketine evinden girmiş birinin bağlantısında araya girerek şirkete sanki o kişiymiş gibi davranarak şirket bilgilerine ulaşmak mümkündür. Şifreli bilgi transferi yapılmaması bu tür olaylara sebebiyet verebilir.

***- Sosyal Mühendislik (Social engineering): Sosyal mühendislik bir tiyatro oyununu andırmaktadır. Daha önceden yaratılmış bir senaryo etrafında, şirket ve çalışanlar hakkında bilgiler toplanır.

Örneğin telefonla şirketi arayıp acil bir durum olduğu ve sistemlerin çalışmadığı ve bazı bilgilerin gerekli olduğu belirtiliyor. Burada şirket çalışanlarının isimlerinin alınması bile şifrelerin kırılmasını çoğu yerde kolaylaştırmaktadır.

Artık en azından kullanıcı ismi (username) bilinmekte sadece şifrelerin bulunması kalmaktadır. Bu aşamada direk şifrelere yada daha kritik bilgilere dahi erişildiği durumlar olabilmektedir..

- Etiketler:, , , , ,
- Bu yazı şu ana kadar 169 kez görüntülendi..
Sizin Yorumunuz



Yazilar iin RSS aboneligi