Sınır tanımayan kimlik avcıları: Yönlendiricinizi neden güncellemelisiniz?

Son günlerde siber alanda en sık karşılaşılan tehdit hangisi? Elbette, kimlik avı, bu konuda değişen pek bir şey yok. Ancak yönlendiricilerin kullanıldığı yeni kimlik avı saldırılarında tuzağa düşmeniz için sahte e-posta mesajları gerekmiyor. Hatta herkese açık Wi-Fi ağlarını kullanmamak ve tıklamadan önce bağlantıları incelemek gibi bir sürü standart kuralı uygulasanız bile bu tür saldırılardan zarar görebilirsiniz. Ele geçirilen yönlendiricilerin kullanıldığı kimlik avı saldırılarını daha yakından inceleyelim.

Yönlendiriciler nasıl ele geçiriliyor?

Genel olarak bir yönlendiriciyi ele geçirmenin iki temel yolu vardır. Bu yaklaşımlardan ilkinde, varsayılan oturum açma bilgilerinden yararlanılıyor. Bildiğiniz üzere her yönlendiricinin bir yönetici parolası vardır: Bu parola Wi-Fi ağınıza girmek için kullanılmaz, yönlendiricinizin yönetici paneline girip ayarları değiştirmek için kullanılır.

Normalde kullanıcıların parolayı değiştirmesi mümkün olsa da birçok kullanıcı bu işlemi yapmaz. Yönlendirici üreticisi tarafından belirlenen parolayı değiştirmediğimizde, dışarıdan birisi bu parolayı tahmin edebilir, hatta Google’da arayarak bile bulabilir.

İkinci yaklaşımda ise yönlendiricinin ürün yazılımındaki bir güvenlik açığından faydalanılır ki yönlendiricilerde bol miktarda güvenlik açığı bulabilirsiniz. Bu yöntem sayesinde hacker’lar, parolaya ihtiyaç duymadan yönlendiricinizi kontrol edebilir.

Her iki yaklaşımda da suçlular, geniş çaplı saldırılarını uzaktan ve otomatik olarak gerçekleştirebilir. Ele geçirilen yönlendiriciler, suçlulara çeşitli avantajlar sunar. Ancak biz bu yazıda tespit edilmesi son derece zor olan kimlik avı saldırılarına odaklanacağız.

Ele geçirilen yönlendiriciler kimlik avı için nasıl kullanılır?

Saldırganlar, yönlendiricinizi ele geçirdikten sonra ayarlarını değiştirir. Bunun için ayarlarda küçük, fark edilmeyen bir değişiklik yeterlidir: Suçlular, yönlendiricinin etki alanı adlarını çözmek için kullandığı DNS sunucularının adreslerini değiştirirler. Bu ne anlama gelir ve neden çok tehlikelidir?

DNS (Etki Alanı Adı Sistemi), internetin temel direğidir. Tarayıcı adres çubuğuna bir web sitesinin adresini girdiğinizde, tarayıcınız bu adresi nasıl bulacağını tam olarak bilemez. Çünkü tarayıcılar ve Web sunucuları insanların alışık oldukları etki alanı adlarını değil, sayısal IP adreslerini kullanır. Diğer bir deyişle, bir web sitesine girmek istediğinizde şunlar gerçekleşir:

1. Tarayıcı, DNS sunucusuna bir talep gönderir.
2. DNS sunucusu, web sitesi adresini insanların okuyabildiği biçimden kendi sayısal IP adresine çevirir ve bu adresi tarayıcıya bildirir.
3. Bu işlem sonunda tarayıcı, web sitesini nerede bulacağını anlar ve sizin için sayfayı yükler.

Bunların tamamı arka planda, son derece hızlı bir şekilde gerçekleşir. Ancak yönlendiriciniz ele geçirildiğinde ve DNS sunucusu adresleriniz değiştirildiğinde, tüm talepleriniz saldırganlar tarafından kontrol edilen kötü amaçlı bir DNS sunucusuna gönderilir. Bu kötü amaçlı sunucu, ziyaret etmek istediğiniz sitenin IP adresi yerine sahte bir IP adresi iletir. Yani, saldırganlar sizin yerinize tarayıcınızı kandırır ve tarayıcınızın aradığınız siteyi değil, bir kimlik avı sayfasını yüklemesine neden olur. Bu saldırının en kötü yanı ise hem sizin hem de tarayıcınızın doğru sayfada olduğunuzu düşünmenizdir!

Brezilya operasyonu: Ele geçirilen yönlendiricilerin kullanıldığı bir kimlik avı saldırısı

Bu saldırı türünün en son dalgasında, saldırganlar D-Link DSL, DSLink 260E, ARG-W4 ADSL, Secutech ve TOTOLINK yönlendiricilerindeki güvenlik açıklarından faydalandı. Saldırganlar, cihazları ele geçirdiler ve DNS ayarlarını değiştirdiler. Ele geçirilen yönlendiricilerin sahipleri internet bankacılığı hesaplarına ya da hizmet sağlayıcılarının web sitelerine ulaşmaya çalıştığında, saldırganların kontrolü altındaki kötü amaçlı DNS sunucusu, kullanıcıları kimlik bilgilerini çalmak için tasarlanan kimlik avı sayfalarına yönlendirdi.

Bu saldırı sırasında kötü amaçlı saldırganların temel hedefi Brezilyalı internet kullanıcılarıydı. Brezilyalı finans kuruluşlarının, bankalarının, web barındırma hizmetlerinin ve Brezilya’da bulunan bulut bilişim sağlayıcılarının gerçek sitelerini taklit ederek sahte siteler oluşturdular.

Saldırganların bir diğer hedefi de PayPal, Netflix, Uber ve Gmail gibi büyük internet hizmetlerinin kullanıcılarıydı.

Yönlendiricilerin kullanıldığı saldırılara karşı kendinizi nasıl koruyabilirsiniz?

Yukarıda belirttiğimiz gibi bu tür kimlik avı saldırılarını tespit etmek oldukça zordur. Ancak durum, tamamen umutsuz değil. Sizin için birkaç ipucumuz var:

• Yönlendiricinin Web arayüzünde oturum açın, varsayılan parolaları değiştirin ve uzaktan yönetim gibi tehlikeli ayarları devre dışı bırakın.
• Yönlendiricinizin ürün yazılımının güncel olmasına dikkat edin: Güncellemeler genellikle güvenlik açıklarını giderir. Bazı modellerde güncellemeler, otomatik olarak sunulsa da bazı modellerde manuel olarak yüklenmeleri gerekir. Yönlendiricinizin nasıl güncellendiğini görmek için internetten yönlendirici modelinizle ilgili bilgileri kontrol edin.
• Bildiğiniz bir web sitesine girerken bile sıra dışı ayrıntılara ve beklenmedik pop-up’lara dikkat edin. Sitenin farklı alanlarına tıklamaya çalışın; kimlik avı sayfası oldukça profesyonel bir şekilde tasarlanmış olsa bile saldırganların bir sitenin tamamını mükemmel bir şekilde yeniden oluşturması neredeyse imkansızdır.
• Oturum açma bilgilerinizi (veya diğer hassas verilerinizi) girmeden önce bağlantıların güvenliği olduğundan emin olun (doğrulamak için URL’nin başında “https://” olup olmadığını kontrol edin) ve daima sertifikadaki adın kuruluşun adıyla eşleştiğinden emin olun. Bunun için tarayıcınızın adres çubuğundaki kilit simgesine tıklayın:
  • Internet Explorer veya Edge tarayıcılarda anında sertifika ayrıntılarını görebilirsiniz.
  • Mozilla’da kilit simgesinden sonra Bağlantı öğesine tıklayın.
  • Chrome’da ise önce kilit simgesine, ardından Sertifika öğesine tıklayıp Genel öğesinin altında Verilen satırını kontrol edin.