Phishing ve Güvenlik - Sizin Portal

Phishing ve Güvenlik

Thursday, February 7, 2008

Phishing nedir?

Phishing kısaca online dolandırıcılık olarak tanımlanabilir. Phishing yönteminde temel amaç internet kullanıcısını kandırarak, kullanıcıya ilişkin kredi kartı bilgileri, banka hesap numaralarından bu hesaba ait online internet şifresine kadar birçok özel bilgileri ele geçirmektir.

Bu dolandırıcılık işlemi nasıl gerçekleştirilmektedir?

Kullanılan yöntemlerin başında e-posta ile gönderilen sahte mesajlar gelmektedir. Bu e-posta, bir ticari kurumdan(bankalar, alışveriş siteleri vb.) geliyormuş gibi bir izlenim yaratır. Bu, kullanıcının kendisine ait bilgileri girmesi için kurumun internet adresine ilişkin bağlantıya(link) tıklamasını içeren bir e-posta olabilir. E-posta içeriği kişisel bilgilerin güncellenmesi, sistemdeki yeniliklerin hesabınızda aktif olması için şifrenizi girin gibi mesajlardır.

Bunu gören kullanıcı e-posta ile gelen mesajdaki bağlantıya tıkladığında kurumun web sitesinin birebir kopyası olan başka bir sayfaya yönlendirilir. Burada girilen şifre gibi özel bilgiler artık başkasının eline geçer.

E-posta kullanım oranının çok yüksek olması bu tür online dolandırıcılık işlemlerinin e-posta yoluyla gerçekleşmesinde temel etmenlerden biridir. E-posta içeriğinde belirtilen bağlantı (genellikle ticari kurumların web sitelerine yönelik sahte gösterim) kullanıcıların aldanmasında büyük rol oynar. İnternet kullanıcısı, üyesi olduğu ticari bir kurum sitesine yönlendirildiğini sanıp kendisine belirtilen yönergeleri uygular. Sonuçta online dolandırıcılık işlemiyle gerçekleşir. Phishing ataklarındaki önemli artış internet gezgin(browser) uygulamalarının(İnternet Explorer,Mozilla Firefox,Opera vb.) güvenlik sorunlarını da ön plana çıkarmıştır.

Bu tür online dolandırıcılık işlemleri Türkiye'de var mıdır?

Son günlerde ülkemizde de bu çeşit kullanıcıya yönelik ataklar görülmektedir. Rastlanılan phishing ataklarının temel konusunu YTL güncelleme işlemi içermektedir. Rastlanılan bu tür dolandırıcılık işleminde hedef alınanlar AKBANK, GARANTİ BANKASI, FİNANSBANK, HSBC BANKASI, TÜRKİYE İŞ BANKASI, KOÇBANK, KUVEYT TURK ve YAPI VE KREDİ BANKASI müşterileridir.

YTL güncelleme konusunda internet kullanıcılarına iki çeşit e-posta gönderilmektedir. İlk e-posta “ YTL'ye Gecis islemleriniz...” başlığı adı altında internet kullanıcılarına yollanmıştır. Bu e-postayı gönderen kişi “T.C. Merkez Bankasi” ,gönderen e-posta adresi “merkezbankasi@tcmb.gov.tr” görülmektedir. T.C. Merkez Bankasından gönderilmiş havası verilen bu e-posta tamamıyla kullanıcıyı yanıltmak.

Kullanıcıya gönderilen e-posta;

Sayin Musterimiz...

AKBANK, FINANSBANK, HSBC BANKASI, TURKIYE IS BANKASI, KOCBANK, KUVEYT TURK
ve YAPI VE KREDI BANKASI yeni yilda Turkiye genelinde YTL islemlerinizi ucretsiz olarak
otomatik olarak yapmaktadir. Hesabinizla ilgili islemleri otomatik olarak yapmak icin asagida
belirtilen YTL Guncelleme sayfasi uzerinden veya T.C Merkez Bankasi Ankara subemizden
bilgilerinizi teyit etmeniz gerekmektedir. Bu islemlerinizi yaptiktan sonra hesabinizdaki YTL
bakiyeniz otomatik olarak ekstre ve hesap bilgilerinize islenicektir...

Lutfen Asagidaki Linke Tiklayiniz..
https://www.tcmb.gov.tr/musteri/ytl/guncelleme.jsp

Eger Calismazsa;
http://www.onlinebanka.net/tcmb/

DIKKAT: Lutfen TCMB uzerinden gelmeyen mailleri dikkate almayiniz. TCMB yukarida belirtilen
bankalar disinda hic bir banka ile YTL calismasi yapmamaktadir. TCMB uzerinden gelmeyen ve
yukarida listelenen bankalar disinda gelen mailleri ayrintilariyla guvenliginiz icin bize bildirin. YTL
Islemleriyle hicbir banka dogrudan ilgilenmemektedir. Butun YTL islemleri TCMB tarafindan
organize edilmektedir.
TESEKKURLER ......

Kullanıcı,T.C. Merkez Bankasına ilişkin belirtilen web adresine tıkladığında http://www.onlinebanka.net/tcmb/ şeklinde belirtilen bir adrese yönlendirilecektir.
Phishing ataklarının büyük çoğunluğunu ticari kurumların web sitelerine ilişkin konular işlenmektedir.

Phishing ataklarının büyük çoğunluğunda ticari kurumların web sitelerine ilişkin konular işlenmektedir

Buna benzer bir e-posta daha kullanıcılara gönderilmiştir. Bu e-posta yine T.C. Merkez Bankasından gönderiliyormuş hissi oluşturularak internet kullanıcılarını yanıltma yoluna gidilmiştir.

Bu e-postanın konusu “Merkez Bankasi Genel Guncelleme Formu” , gönderen kişi işlemler , gönderen e-posta olarak islemler@tcmb.gov.tr görülmekte.

Bu e-posta içeriği şu şekildedir;

Sayin musterimiz...

AKBANK, GARANTI BANKASI, FINANSBANK, HSBC BANKASI, TURKIYE IS BANKASI,
KOCBANK, KUVEYT TURK ve YAPI VE KREDI BANKASI yeni yilda Turkiye genelinde YTL
islemlerinizi ucretsiz olarak otomatik olarak yapmaktadir. Hesabinizla ilgili islemleri otomatik olarak
yapmak icin asagida belirtilen YTL Guncelleme sayfasi uzerinden veya T.C Merkez Bankasi
Ankara subemizden bilgilerinizi teyit etmeniz gerekmektedir. Bu islemlerinizi yaptiktan sonra
hesabinizdaki YTL bakiyeniz otomatik olarak ekstre ve hesap bilgilerinize islenicektir...

https://www.tcmb.gov.tr/ytl/guncelleme.jsp

Eger yukarida yazili olan link calismiyorsa lutfen asagidaki linki kullaniniz:
http://216.193.248.173/merkezbankasi/ytl/

DIKKAT: Lutfen TCMB uzerinden gelmeyen mailleri dikkate almayiniz. TCMB yukarida belirtilen
bankalar disinda hic bir banka ile YTL calismasi yapmamaktadir. TCMB uzerinden gelmeyen ve
yukarida listelenen bankalar disinda gelen mailleri ayrintilariyla guvenliginiz icin bize bildirin. YTL
Islemleriyle hicbir banka dogrudan ilgilenmemektedir. Butun YTL islemleri TCMB tarafindan
organize edilmektedir.
TESEKKURLER......

Yukarıda belirtilen adreslere tıklanıldığında, çeşitli bankalara ilişkin formlar gelmektedir. Bu formlar çeşitli bankalara göre düzenlenmiştir. Bu formlarda belirtilen işlemleri gerçekleştiren kullanıcı online dolandırıcılıkla karşı karşıya kalmaktadır. Kullanıcı, görünürde olağan olan ama işleme konulduğunda farklı bir bağlantıya yönlendirildiğinde (kullanıcı tam dikkat etmedikçe şüpheli bir durum yoktur) IE'nin(İnternet Explorer) adres çubuğunda;
https://secure.tcmb.gov.tr/ytl/guncelleme.jsp?sira=346589138&onay=1&mr=y8sasxrc7zxc
şeklinde bir adres belirir.

Gündemde olan Phishing atakları gün geçtikçe popularitesini arttırmaktadır. İnternet kullanıcıları, kendilerine gelen e-posta içeriklerine dikkat etmelidir.

Kullanıcının yönlendirildiği bu adres gerçekte şüphe uyandırmayan bir adrese benzemektedir. Gerçek şu ki; kullanıcıya e-posta ile belirtilen adres ile yönlendirilen adres(ticari bir kurum sayfasına benzetilerek oluşturulan sahte bir web sitesi) farklıdır.

IE'nin adres çubuğunda bu şekilde sahte bir adres göstermesine neden olan etmen sayfa içinde yer alan bir javascripttir.

Örneğin:

...
function vuln_show() {
if (vuln_win)
vuln_win.show(vuln_x, vuln_y, vuln_w, vuln_h);
}
var vuln_html= '\x3Cdiv style="height: 100%; line-height: 17px; font-family: \'Tahoma\', sans-serif; font-size: 8pt;">
https://secure.tcmb.gov.tr/ytl/guncelleme.jsp?sira=346589138&onay=1&mr=y8sasxrc7zxc\x3C/div>'
if (window.createPopup) {
vuln_calc();
vuln_pop();
window.setInterval(vuln_calc, 25);
} else {
...

Saldırganlar Phishing ataklarının gerçekleşmesi için en fazla internet gezgin uygulamalarındaki açıklardan faydalanılır. Bu tür saldırılardan korunmak için kullandığınız yazılımları ve programları devamlı olarak güncellemeniz gerekmektedir. Diğer güvenlik önlemleri için e-hacker.blogspot.com dökümanlar bölümündeki yazılardan faydalanabilirsiniz.