İnternetin ortaya çıkışından bu yana, siber suçlular, kullanıcıları kötü amaçlı yazılım barındıran veya normalde meşru sitelerde kullanılan tanımlayıcıları, oturum açma bilgilerini ve parolaları kaydeden kötü amaçlı sitelere erişmeleri için kandırmak amacıyla görsel olarak yasal site adlarına benzeyen alan adlarına sahip siteler oluşturma stratejisini benimsemiştir. Benzerler olarak adlandırılan bu siteler, kimlik avı girişimlerinden ayrılamaz hale geldi; öyle ki, güvenlik eğitimi artık bunları tespit etmek için bağlantıların nasıl kontrol edileceğini öğrenmeyi de içeriyor.
Ancak farkındalık kampanyalarına ve teknolojik ilerlemelere rağmen, siber suçlular bu eylem yollarını korumak için sürekli olarak uyum sağladığından, benzer alanlar bireyler ve işletmeler için sürekli bir tehdit olmaya devam ediyor. Herhangi bir kuruluş etkilenebilir: bireyler, hükümetler, büyük ticari markalar, küçük restoranlar, tanınmış teknoloji devleri ve hatta daha az bilinen siber güvenlik şirketleri.
Bu benzer alanlar genellikle büyük ölçekli saldırılarla bağlantılı olup, spam e-postalar, reklamlar, sosyal medya ve SMS mesajları aracılığıyla ayrım gözetmeksizin kullanıcıları hedef almaktadır. Popüler yazılımları, finansal kurumları ve ünlü paket dağıtım hizmetlerini taklit etmek amacıyla her gün binlerce yeni alan adı kaydediliyor. Kullanıcıların kimlik bilgilerini çalmayı veya cihazlarına kötü amaçlı yazılım bulaştırmayı amaçlayan kimlik avı saldırıları o kadar yaygın ve bazen o kadar basit ki, şu gibi esprili memlerin ortaya çıkmasına neden oldu: “Kimlik avının kurbanı olmamak için en güvenli şey, kimlik avı yapmamaktır. e-postalarınızı açın. » Ancak görünen bu hafifliğin arkasında ciddi bir gerçek yatıyor. Gerçekten de Kimlik Avı ile Mücadele Çalışma Grubu’na (APWG) göre, kimlik avı saldırıları benzeri görülmemiş bir düzeye ulaştı.
Fotoğraf kredisi: Bu memenin kökeni bilinmiyor.
Alan adı hırsızlığı saldırılarına odaklanın
Genel olarak konuşursak, benzerler hem saldırgan hem de savunma özellikleri sergilerler. Saldırgan bir bakış açısıyla bakıldığında, bu benzerler insan gözünü aldatmak için kullanılıyor. Siber suçlular bunları para çalmak, kimlik bilgileri veya erişim elde etmek, kişisel olarak tanımlanabilir verileri toplamak, zararlı yazılımları dağıtmak veya reklam geliri elde etmek için kullanır. Ayrıca siyasi amaçlarla veya bir markanın itibarına zarar vermek için de kullanılabilirler. Kısacası siber suçlular bunu hedeflerine ulaşmak için bir araç olarak kullanıyor. Savunma açısından bakıldığında, birçok kuruluş, saldırganların herhangi bir tahsisat girişimini önlemek için proaktif olarak kendilerine benzer alan adlarını kaydeder.
Bu saldırılar 2022’nin başlarında başladı ve zamanla genişledi. Kötü niyetli aktörler, bu alan adı sahtekarlıklarını, internet servis sağlayıcıları, bankacılık kurumları ve kripto para borsaları, yazılım ve hizmet şirketleri ve küresel ölçekte sigorta dahil olmak üzere çeşitli sektörlerdeki her büyüklükteki işletmeyi hedeflemek için kullanıyor.
Benzer etki alanlarının kullanılması, asimetrik bir saldırı olduğundan kötü niyetli aktörler arasında popülerdir. Kullanıcılar kişisel mali durumlarını ve işveren bilgilerini korumak için dikkatli olmalıdır. Etki alanlarını kaydetmenin düşük maliyetleri ve büyük ölçekli saldırıları gerçekleştirme yeteneği, siber suçlulara açık bir avantaj sağlıyor. Kötü amaçlı etkinlikleri tespit etmeye yönelik tekniklerde yıllar içinde kaydedilen ilerlemelere rağmen, savunmacılar saldırganların belirlediği hıza ayak uydurmakta zorlanıyor. Benzer alan adları üzerinden yapılan kimlik avının yükselişi yadsınamaz ve bunların kullanımı, özellikle DNS kayıtlarında, daha karmaşık hale geldi.
Benzer alan adlarının farklı biçimleri vardır. DNS alanında “homograflar”, “tiposquatlar”, “combosquatlar” ve “soundsquatlar” buluyoruz. Bazıları orijinal hedef alan adlarından neredeyse ayırt edilemezken, diğerlerinin tanımlanması daha kolaydır. Benzer alanların saldırı vektörleri olarak başarısı büyük ölçüde bireylere yüklenen yük ile açıklanmaktadır. Son zamanlarda, benzer alanlar geleneksel kimlik avı ve yazım hatası hedef ve tekniklerinin ötesine geçmiştir. Ayrıca tamamen yeni yöntemlerle de kullanılıyorlar; örneğin sunucu adları olarak veya hedef odaklı kimlik avı e-postalarının dağıtımı için. Özellikle benzer alanlara ayrılmış büyük ölçekli, dayanıklı altyapılar hem tüketicileri hem de profesyonelleri hedef alır.
İyi niyetli çalışanlar ve iyi niyetli ruhlar, alan adı gaspçılarının ayrıcalıklı hedefleri
Benzer alan adları yalnızca tüketiciler için tehdit oluşturmaz, aynı zamanda şirketlerin bilgisayar ağlarına sızmaya da hizmet eder. Son zamanlarda ortaya çıkanlar, kötü niyetli kişilerin çalışanları çok faktörlü kimlik doğrulama (MFA) kimlik bilgilerini ifşa etmeleri için kandırdığı hedefli saldırıları vurguladı. Çoğu durumda, bu benzer alan adları yalnızca şirkette kullanılan meşru sayfayla aynı görünen bir kimlik doğrulama sayfası açmakla kalmadı, aynı zamanda bu alan adları aynı zamanda MFA’ya özgü terimleri de içeriyordu ve böylece çalışanların bağlantılarının güvenliğine olan güvenini artırdı.
2023’ün başlarında Coinbase, çalışanlarının şirketin dahili MFA girişi için “benzerler” kullanan hedef odaklı kimlik avı saldırıları tarafından hedef alındığını açıkladı. Coinbase’in BT departmanının üyeleri gibi davranan siber suçlular, çalışanlara kısa mesajlar, e-postalar gönderip telefon görüşmeleri yaparak onları dahili sistemlere giriş yapmaları için kandırdılar. Çalışanlar, şirketin meşru kimlik doğrulama sistemiyle güvenli bir şekilde etkileşimde bulunduklarına inanıyorlardı; ancak saldırganlar, önce kimlik bilgilerine ve şifrelerine, ardından çalışanlar tarafından girilen MFA kimlik doğrulama koduna müdahale etmelerine olanak tanıyan bir “Ortadaki Düşman” (AitM) tekniğini uygulamıştı. ikinci olarak, onlara şirketin iç sistemlerine kimlik doğrulamalı erişim olanağı sağlamak.
Temmuz 2022’de Microsoft, 10.000’den fazla kuruluşun, kullanıcıların MFA kimlik bilgilerini gerçek zamanlı olarak çalmak için özel olarak tasarlanmış AitM saldırıları tarafından hedef alındığına dair bir uyarı yayınladı. Bu saldırılar özellikle Outlook 365 kimlik doğrulamasını hedef alıyordu.Ek olarak Microsoft, Şubat 2023’te, MFA saldırılarına olanak tanıyan bir kimlik avı kitinin satışının, Temmuz 2022’de satışa sunulmasından bu yana geniş çapta istismar edildiğini ekledi. şirket ve MFA adlarını taklit eden terminolojileri birleştiren adlar. Hedefler Coinbase, Reddit ve Twilio gibi büyük şirketlerden büyük bankacılık kurumlarına, yazılım şirketlerine, internet servis sağlayıcılarına, devlet kurumlarına ve dünya çapındaki oyun platformlarına kadar uzanıyordu. Bu olaylar geniş çapta rapor edilmese de marketler ve perakendeciler gibi daha küçük teknoloji şirketleri de hedef alındı.
Daha da kötüsü, kurumsal bağlamın dışında, yasa dışı kazanç peşinde koşan dolandırıcılar, küresel olayları ve felaketleri kötü amaçlarla kullanma söz konusu olduğunda genellikle ilk tepki verenler arasında yer alıyor. Nitekim ister Kovid-19 gibi sağlık krizleriyle ilgili olsun, ister Rusya’nın Ukrayna’yı işgali gibi jeopolitik durumlarla ilgili olsun her türlü haberden yararlanmaktan çekinmiyorlar. Ne yazık ki 2023 yılı, Şubat ayının başında meydana gelen Türkiye-Suriye depremi ile insani bir krizin yaşandığı bir yıl oldu. 6 Şubat depreminin ardından, İçişleri Bakanlığı Afet ve Acil Durum Yönetimi Başkanlığı’nın (AFAD) web sitelerini kopyalamaya çalışan çok sayıda sahte alan adı ortaya çıktı. Bu alan adları, meşru afad alanını taklit etmek amacıyla tam nitelikli alan adlarında “AFAD” terimini kullanmıştır.[.]devlet[.]tr.
En tecrübelisi bile kandırılabilir
Özetlemek gerekirse, “benzerler” terimi çok özel bir nedenden dolayı kullanılmaktadır; çünkü bu alanlar, kullanıcılarını kandırmak amacıyla tanıdık, meşru sitelerin görünümüne bürünmektedir. Etki alanı adı evreninde çeşitli şekillerde ve DNS altyapısının farklı bölümlerinde etkili bir şekilde uygulanabilirler.
Son olarak atasözü: “Beni bir kez kandırırsan, yazıklar olsun sana; beni iki kere kandır, yazıklar olsun” cümlesi “benzerlerle” alakasını bulmuyor. En deneyimli ve güvenlik bilincine sahip kişiler bile bu sahtekarlıklara birden fazla kez kanabilir. Siber suçlular geçici olarak üstünlük sağlasa da her şey bitmiş değil. Aslında siber güvenlik çözümleri, özellikle de DNS düzeyinde faaliyet gösterenler, kuruluşlara etkili bir şekilde yanıt verme ve kendilerini savunma araçları sağlamalıdır.