Kötü amaçlı yazılımlar otomatik doldurma bilgilerini tarayıcılardan nasıl çalıyor

Ağustos 16, 2019

Tarayıcıların çoğu; hesap kimlik bilgileriniz, çevrimiçi mağazalar için banka kartı bilgileriniz, fatura adresiniz, adınız, seyahat siteleri için pasaport numaranız gibi pek çok veriyi saklamayı teklif eder. Aynı formları tekrar tekrar doldurmakla uğraşmamak ya da şifre unutmayı dert etmemek, hepimize bir ölçüde rahatlık sunar. Fakat bu işin bir de öbür yüzü var: Bilgisayarınıza çalma yazılımı denen, tarayıcılardan da bilgi çalabilen bir virüs bulaştığı takdirde tüm bu otomatik doldurma verileri siber suçlular tarafından ele geçirilebilir.

Bu tarz programlar, çevrimiçi sahtekarlar arasında gitgide daha popüler hale geliyor: Kaspersky’nin güvenlik ürünleri, yalnızca bu yılın ilk yarısında 940.000’den fazla çalma yazılımı saldırısı tespit etti. Bu sayı, 2018’in aynı dönemine göre 1/3 kat daha fazla.

Açıkçası hırsızlar yalnızca tarayıcıların otomatik doldurma verileriyle ilgilenmiyor. Kripto para cüzdanlarının ve oyun verilerinin yanı sıra masaüstünden dosya da çalıyorlar (umarız şifrelerinizin listesi gibi değerli bilgileri burada saklamıyorsunuzdur).

Bununla birlikte, tarayıcılar alışveriş, bankacılık ve çok daha fazlasını içeren bir iş ve eğlence merkezi haline geldiği için genelde diğer programlardan çok daha fazla gizli bilgi içeren birer kaynak oluyor. Şimdi, çalma yazılımlarının tarayıcı verilerine nasıl eriştiğini inceleyelim.

Tarayıcılar otomatik doldurma verilerinizi nasıl saklıyor

Tarayıcı geliştiriciler, kendilerine emanet edilen bilgileri korumayı amaçlar. Bunun için bilgileri şifrelerler. Bu şifreleri çözmek, yalnızca aynı cihazda ve aynı aynı hesaptan yapıldığında mümkündür. Yani birisi, içinde otomatik doldurma verileri bulunan bir dosya çalarsa içindeki her şey şifrelenmiş olacağından bu verileri kullanamaz.

Ama bunun bir aması var. Tarayıcı geliştiriciler cihazınızın ve hesabınızın iyi korunduğunu, yani bilgisayarınızda sizin hesabınızla çalışan tüm programların sizin adınıza hareket ettiğini, dolayısıyla kayıtlı verileri deşifre etme yetkisine sahip olduğunu varsayar. Ne yazık ki bu durum, cihaza sızmış ve sizin hesabınız altında çalışan kötü amaçlı yazılımlar için de geçerlidir.

Saklanan veriler için üçüncü taraflara karşı ekstra koruma sunan tek tarayıcı Firefox’tur. Firefox, verileri deşifre edip otomatik doldurma için kullanmaya ihtiyaç duyduğunuzda girmeniz gereken bir ana parola oluşturmanıza izin verir. Fakat bu özellik, varsayılan olarak devre dışı bırakılmıştır.

Kötü amaçlı yazılımlar Chrome’dan nasıl veri çalıyor

Google Chrome ve Chromium motoruna dayalı diğer tarayıcılar (Opera, Yandex.Browser, vb.), verilerini daima aynı yerde saklar. Bu sayede hırsızlar verileri kolayca bulabilir. Bu veriler, en azından teoride, şifrelenmiş biçimde saklanır. Ne var ki, kötü amaçlı yazılım bilgisayarınıza çoktan sızdıysa zaten sizin adınıza hareket ediyor olur.

Dolayısıyla, kötü amaçlı yazılımın bilgisayarınızda saklanan verileri deşifre etmek için yalnızca tarayıcının veri şifreleme aracına talep göndermesi yeterlidir. Kullanıcının kendisinden geliyormuş gibi görünen istekler, varsayılan olarak güvenli kabul edildiği için çalma yazılımı tüm şifrelerinize ve kredi kartı bilgilerinize erişebilir.

Kötü amaçlı yazılımlar Firefox’tan nasıl veri çalıyor

Firefox biraz daha farklı çalışır. Tarayıcı, şifre veri tabanlarını ve geri kalan diğer verileri yabancılardan korumak için rastgele adlandırdığı bir profil oluşturur. Bu sayede kötü amaçlı yazılım verileri nerede arayacağını önceden bilemez. Öte yandan, kayıtlı verileri içeren dosyanın adı değişmez. Dolayısıyla çalma yazılımının tüm profilleri tarayarak istediği dosyayı bulmasının önünde bir engel yoktur (profilleri içeren klasörler aynı yerde saklanır).

Ardından kötü amaçlı yazılım, ilgili tarayıcı modülünden tekrar dosyaları deşifre etmesini ister ve bu sefer başarılı olur, çünkü artık sizin adınıza hareket ediyormuş gibi görünüyordur.

Kötü amaçlı yazılımlar Internet Explorer’dan ve Edge’den nasıl veri çalıyor

Yerel Windows tarayıcıları, verileriniz için özel bir depolama alanı kullanır. Depolamanın yöntemi ve türü, uygulamanın sürümüne göre değişir fakat hangi yöntem ve türde olursa olsun koruma yetersizdir. Kötü amaçlı yazılımlar burada da sizin adınıza istiyormuş gibi göstererek depolama alanından şifrelerinizi ve kredi kartı bilgilerinizi kolaylıkla alabilir.

Sorun, kötü amaçlı yazılımın tarayıcı verilerini deşifre etme talebinin sizden geliyor gibi görünmesidir. Dolayısıyla tarayıcının bu talebi reddetmek için bir sebebi yoktur.

Çalma yazılımı tarafından çalınan verilere ne oluyor?

Kötü amaçlı yazılım, otomatik doldurma verilerini düz metin olarak ele geçirir geçirmez siber suçlulara iletir. Buradan itibaren iki senaryo gerçekleşebilir. Kötü amaçlı yazılım sahipleri verileri kendileri kullanabilir ya da, daha yüksek olasılıkla, bu tür ürünlerin çok yüksek fiyatlandırıldığı kara borsada başka kötü amaçlı kişilere satarlar.

Her iki türlü de depolanan verilerin arasında kullanıcı adları ve şifreler varsa dolandırıcılar büyük olasılıkla hesaplarınızdan birkaçını çalacak ve arkadaşlarınızdan para koparmaya çalışacaktır. Tarayıcınızda banka kartı bilgileriniz kayıtlıysa yaşayacağınız kayıplar daha doğrudan olabilir; paranız ya harcanır ya da başka bir hesaba aktarılır.

Çalınan hesaplar, istenmeyen e-postalar göndermek ve web sitelerinin ya da uygulamaların reklamını yapmaktan virüs göndermeye ve başkalarından çalınan paraları aklamaya kadar birçok farklı amaçla da kullanılabilir (üstelik işin içine polis girerse kapısını çalacakları kişi siz olursunuz).

Verilerinizi çalma yazılımlarından nasıl koruyabilirsiniz

Gördüğünüz gibi, kötü amaçlı yazılım bilgisayarınıza girdiği takdirde hem tarayıcıda saklanan veriler hem de bu verilerle birlikte finansal varlıklarınız ve itibarınız tehlikeye girer. Böyle bir durumu önlemek için:

  • Banka kartı bilgileriniz gibi önemli verilerinizi tarayıcınıza emanet etmeyin. Bunun yerine her seferinde elle girin. Daha uzun zaman alabilir ama daha güvenlidir. Şifrelerinizi bir parola yöneticisinde de saklayabilirsiniz.
  • Firefox kullanıyorsanız tarayıcınızda saklanan verileri bir ana parola ile koruma altına alabilirsiniz. Bunu yapmak için tarayıcının sağ üst köşesinde yer alan üç çubuğa tıklayıp Seçenekler’i seçin. Ardından Gizlilik ve Güvenlik sekmesinde aşağı inerek Oturum Açma ve Parolalar bölümündeki Bir ana parola kullan kutusunu işaretleyin. Tarayıcı sizden parola oluşturmanızı isteyecektir. Parolanız ne kadar uzun ve karmaşık olursa saldırganların kırması o kadar zor olur.
  • En önemlisi: Verilerinizi koruma altına almanın en iyi yolu, en başta kötü amaçlı yazılımın bilgisayarınıza girmesini önlemektir. Bunun için virüsleri uzak tutan güvenilir bir güvenlik çözümü kurun. Kötü amaçlı yazılım yoksa sorun da yok demektir.