Tarayıcı içinde tarayıcı saldırıları: Teoriden gerçeğe

2022 yılında teorik olarak açıklanan tarayıcı içinde tarayıcı saldırısı, gerçek hayattaki kimlik avı saldırılarında kullanılmaya başlandı. Nasıl çalıştığını ve sahte kimlik doğrulama penceresini nasıl tespit edebileceğinizi açıklıyoruz.

Tarayıcı içi tarayıcı saldırısı nedir ve sahte oturum açma penceresini nasıl tespit edebilirsiniz?

2022 yılında, mr.d0x olarak bilinen siber güvenlik araştırmacısı tarafından geliştirilen “tarayıcı içinde tarayıcı” adlı saldırı yöntemini derinlemesine inceledik. O zamanlar, bu modelin gerçek hayatta kullanıldığı hiçbir örnek yoktu. Dört yıl sonra, tarayıcı içi tarayıcı saldırıları teorik olmaktan çıkıp gerçeğe dönüştü: Saldırganlar artık bunları sahada kullanıyorlar. Bu yazıda, tarayıcı içi saldırının tam olarak ne olduğunu yeniden ele alıyor, hackerların bunu nasıl kullandığını gösteriyor ve en önemlisi, kendinizi bir sonraki kurban olmaktan nasıl koruyabileceğinizi açıklıyoruz.

Tarayıcı içinde tarayıcı (BitB) saldırısı nedir?

Öncelikle, mr.d0x‘un aslında ne hazırladığını hatırlayalım. Saldırının özü; HTML, CSS, JavaScript ve benzeri modern web geliştirme araçlarının ne kadar gelişmiş hale geldiğinin gözlemlemesinden kaynaklanıyor. Araştırmacıyı özellikle ayrıntılı bir kimlik avı modeli geliştirmeye teşvik eden de bu farkındalık.

Tarayıcı içinde tarayıcı saldırısı, web tasarımını kullanarak Microsoft, Google, Facebook veya Apple gibi tanınmış hizmetlerin giriş pencerelerini taklit eden ve gerçeğine tıpatıp benzeyen sahte web siteleri oluşturmak için kullanılan sofistike bir kimlik avı türüdür. Araştırmacının konsepti, saldırganın kurbanları tuzağa düşürmek için yasal görünen bir site kurmasını içerir. Söz konusu sayfaya girdikten sonra kullanıcılar; ilk olarak “giriş yapmadıkları” sürece, yorum bırakamaz veya alışveriş yapamazlar.

Giriş yapmak oldukça kolay görünür: {popüler hizmet adı} ile giriş yap düğmesine tıklamanız yeterlidir. Ve işte burada işler ilginçleşir; yasal hizmet sağlayıcısı tarafından sağlanan gerçek bir kimlik doğrulama sayfası yerine, kullanıcı kötü amaçlı site içinde görüntülenen sahte bir formla karşılaşır ve bu form tam olarak bir tarayıcı açılır penceresine benzer. Ayrıca, saldırganlar tarafından oluşturulan açılır penceredeki adres çubuğu, tamamen yasal bir URL görüntüler. Yakından incelense bile hile ortaya çıkmaz.

Buradan, hiçbir şeyden şüphelenmeyen kullanıcı Microsoft, Google, Facebook veya Apple için kimlik bilgilerini bu pencereye girer ve bu ayrıntılar doğrudan siber suçlulara gider. Bir süre bu plan, güvenlik araştırmacısı tarafından teorik bir deney olarak kaldı. Şimdi ise gerçek dünyadaki saldırganlar da bunu silahlarına eklediler.

Facebook kimlik bilgisi hırsızlığı

Saldırganlar, mr.d0x‘in orijinal konseptine kendi yorumlarını eklediler: Son zamanlarda, tarayıcı içinde tarayıcı saldırıları, alıcıları alarma geçirmek için tasarlanmış e-postalarla başlatılıyordu. Örneğin, bir kimlik avı saldırı kampanyası, kullanıcıya Facebook’ta bir şey paylaşarak telif hakkı ihlali yaptığını bildiren bir hukuk firması gibi davranıyordu. Mesajda, söz konusu rahatsız edici gönderiye ait olduğu iddia edilen, güvenilir görünümlü bir bağlantı yer alıyordu.

Yasal bildirim gibi görünen kimlik avı e-postası

Saldırganlar, sahte bir hukuk firması adına telif hakkı ihlali iddiasıyla mesajlar gönderdi ve sorunlu Facebook gönderisine ait olduğu iddia edilen bir bağlantı ekledi. Kaynak

İlginç bir şekilde, kurbanın gardını düşürmek için, bağlantıya tıklandığında sahte Facebook giriş sayfası hemen açılmıyordu. Bunun yerine, ilk olarak sahte bir Meta CAPTCHA ile karşılaştılar. Ancak, bunu geçtikten sonra kurbana sahte kimlik doğrulama açılır penceresi gösterildi.

Sahte giriş penceresi doğrudan web sayfası içinde görüntülenir

Bu gerçek bir tarayıcı açılır penceresi değil; Facebook giriş sayfasını taklit eden bir web sitesi ögesi. Saldırganların tamamen inandırıcı bir adres görüntülemelerine olanak tanıyan bir hile. Kaynak

Doğal olarak, sahte Facebook giriş sayfası mr.d0x‘in planını takip ediyordu; kurbanın kimlik bilgilerini toplamak için tamamen web tasarım araçlarıyla oluşturulmuştu. Bu arada, sahte adres çubuğunda görüntülenen URL, gerçek Facebook sitesine yani www.facebook.com’a yönlendiriyordu.

Mağdur olmaktan nasıl kaçınılır?

Dolandırıcıların artık tarayıcı içinde tarayıcı saldırıları düzenlemesi, onların hilelerinin sürekli geliştiğini göstermektedir. Ancak umutsuzluğa kapılmayın, oturum açma penceresinin gerçek olup olmadığını anlamanıza yardımcı olacak araç, bir parola yöneticisidir ve birçok özelliğinin yanı sıra, herhangi bir web sitesi için güvenilir bir güvenlik testi görevi de görür.

Bunun nedeni, parola yöneticisinin otomatik olarak kimlik bilgilerini doldururken adres çubuğunda görünen veya sayfanın kendisinin nasıl göründüğüne değil, gerçek URL’ye bakmasıdır. İnsan kullanıcıların aksine, parola yöneticisi tarayıcı içi tarayıcı taktikleri veya adresleri biraz farklı olan alan adları (typosquatting) veya reklamlara ve açılır pencerelere gizlenmiş kimlik avı formları gibi diğer hilelerle kandırılamaz. Basit bir kural vardır: Parola yöneticiniz giriş bilgilerinizi ve parolanızı otomatik olarak doldurmayı teklif ediyorsa, daha önce kimlik bilgilerinizi kaydettiğiniz bir web sitesindesiniz demektir. Sessiz kalırsa, bir şeyler dönüyor demektir.

Bunun ötesinde, zaman içinde kanıtlanmış tavsiyelerimize uyarak çeşitli kimlik avı yöntemlerine karşı kendinizi koruyabilir veya en azından bir saldırı başarılı olursa bunun etkilerini en aza indirebilirsiniz:

  • Destekleyen her hesap için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirin. İdeal olarak, ikinci faktör olarak özel bir kimlik doğrulama uygulaması tarafından oluşturulan tek kullanımlık kodları kullanın. Bu; SMS, mesajlaşma uygulamaları veya e-posta yoluyla gönderilen onay kodlarını ele geçirmek için tasarlanmış kimlik avı girişimlerinden kaçınmanıza yardımcı olur. Tek kullanımlık kodlu 2FA hakkında daha fazla bilgiye bu yazımızdan ulaşabilirsiniz.
  • Geçiş anahtarlarını kullanın. Bu yöntemle oturum açma seçeneği, yasal bir sitede olduğunuzun bir göstergesi olarak da hizmet edebilir. Teknolojiye derinlemesine bakışımızda, geçiş anahtarlarının ne olduğu ve nasıl kullanılmaya başlanacağı hakkında her şeyi öğrenebilirsiniz.
  • Tüm hesaplarınız için benzersiz, karmaşık parolalar belirleyin. Ne yaparsanız yapın, farklı hesaplarda asla aynı parolayı tekrar kullanmayın. Kısa bir süre önce blogumuzda bir parolanın gerçekten güçlü olmasını sağlayan unsurları ele aldık. Hatırlamak zorunda kalmayacağınız eşsiz kombinasyonlar oluşturmak için Kaspersky Password Manager en iyi seçenektir. Ek bir avantaj olarak KPM; iki faktörlü kimlik doğrulama için tek kullanımlık parolalar oluşturabilir, geçiş anahtarlarınızı saklayabilir ve çeşitli cihazlarınız arasında parolalarınızı ve dosyalarınızı senkronize edebilir.

Son olarak, bu yazı, siber güvenlik araştırmacıları tarafından açıklanan teorik saldırıların genellikle gerçek hayatta da uygulanabildiğini bir kez daha hatırlatmaktadır. Bu nedenle, blogumuzu takip edin ve Telegram kanalımıza abone olun, dijital güvenliğinize yönelik en son tehditler ve bunları nasıl engelleyebileceğiniz konusunda güncel bilgileri alın.

Dolandırıcıların her gün kullandıkları diğer yaratıcı kimlik avı teknikleri hakkında bilgi edinin:

İpuçları
  • Diğer tüm ülkeler için