{"id":12482,"date":"2024-06-26T17:42:37","date_gmt":"2024-06-26T14:42:37","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=12482"},"modified":"2024-06-27T07:42:46","modified_gmt":"2024-06-27T04:42:46","slug":"phishing-with-progressive-web-apps","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/phishing-with-progressive-web-apps\/12482\/","title":{"rendered":"A\u015famal\u0131 kimlik av\u0131: PWA’lar parola \u00e7almak i\u00e7in nas\u0131l kullan\u0131labilir?"},"content":{"rendered":"

mr.d0x<\/em> olarak bilinen bir g\u00fcvenlik ara\u015ft\u0131rmac\u0131s\u0131, kimlik av\u0131 ve potansiyel olarak di\u011fer k\u00f6t\u00fc niyetli faaliyetler i\u00e7in kullan\u0131labilecek yeni bir tekni\u011fi ayr\u0131nt\u0131lar\u0131yla a\u00e7\u0131klayan bir yaz\u0131<\/a> yay\u0131nlad\u0131. Bu teknik, a\u015famal\u0131 web uygulamalar\u0131 (PWA) olarak adland\u0131r\u0131lan uygulamalardan yararlan\u0131yor. Bu yaz\u0131da, bu uygulamalar\u0131n ne oldu\u011funu, neden tehlikeli olabileceklerini, sald\u0131rganlar\u0131n bunlar\u0131 kendi ama\u00e7lar\u0131 i\u00e7in nas\u0131l kullanabileceklerini ve bu tehdide kar\u015f\u0131 kendinizi nas\u0131l koruyaca\u011f\u0131n\u0131z\u0131<\/a> tart\u0131\u015f\u0131yoruz.<\/p>\n

A\u015famal\u0131 web uygulamalar\u0131 nelerdir?<\/h2>\n

PWA\u2019lar web teknolojileri kullan\u0131larak geli\u015ftirilen uygulamalard\u0131r. Esasen, i\u015fletim sisteminizde y\u00fckl\u00fc yerel uygulamalar gibi g\u00f6r\u00fcnen ve \u00e7al\u0131\u015fan web siteleridir.<\/p>\n

Genel fikir, Electron \u00e7er\u00e7evesi \u00fczerine in\u015fa edilen<\/a> uygulamalara benzer, ancak \u00f6nemli bir fark vard\u0131r. Electron uygulamalar\u0131 bir \u201csandvi\u00e7\u201d gibidir, bir web sitesi (malzeme) ve bu siteyi \u00e7al\u0131\u015ft\u0131rmaya adanm\u0131\u015f bir taray\u0131c\u0131dan (ekmek) olu\u015fur; yani her Electron uygulamas\u0131n\u0131n yerle\u015fik bir taray\u0131c\u0131s\u0131 vard\u0131r. Buna kar\u015f\u0131l\u0131k, PWA\u2019lar ayn\u0131 web sitesini g\u00f6r\u00fcnt\u00fclemek i\u00e7in kullan\u0131c\u0131n\u0131n sisteminde zaten y\u00fckl\u00fc olan taray\u0131c\u0131n\u0131n motorunu kullan\u0131r, ayn\u0131 ekmeksiz bir sandvi\u00e7 gibi.<\/p>\n

T\u00fcm modern taray\u0131c\u0131lar PWA\u2019lar\u0131 destekler; Google Chrome ve Chromium tabanl\u0131 taray\u0131c\u0131lar (Windows ile birlikte gelen Microsoft Edge taray\u0131c\u0131s\u0131 gibi) en kapsaml\u0131 uygulamalar\u0131 sunar.<\/p>\n

Bir PWA y\u00fcklemek (ilgili web sitesi destekliyorsa) \u00e7ok basittir. Taray\u0131c\u0131n\u0131n adres \u00e7ubu\u011funda g\u00f6ze \u00e7arpmayan bir d\u00fc\u011fmeye t\u0131klaman\u0131z ve kurulumu onaylaman\u0131z yeterlidir. A\u015fa\u011f\u0131daki Google Drive PWA \u00f6rne\u011finden nas\u0131l yap\u0131ld\u0131\u011f\u0131n\u0131 g\u00f6rebilirsiniz:<\/p>\n

\"Bir<\/a>

PWA\u2019lar\u0131 y\u00fcklemek i\u00e7in sadece iki t\u0131klam yeterlidir<\/p><\/div>\n

Bundan sonra PWA, sisteminizde neredeyse an\u0131nda g\u00f6r\u00fcn\u00fcr ve bir simge, kendine ait bir pencere gibi \u00f6zelliklerle ger\u00e7ek bir uygulamaya benzer. PWA penceresinden bunun asl\u0131nda web sitesi g\u00f6r\u00fcnt\u00fcleyen bir taray\u0131c\u0131 oldu\u011funu s\u00f6ylemek kolay de\u011fildir.<\/p>\n

\"A\u015famal\u0131<\/a>

Google Drive PWA t\u0131pk\u0131 ger\u00e7ek bir yerel uygulamaya benzer<\/p><\/div>\n

PWA tabanl\u0131 kimlik av\u0131<\/h2>\n

Bir PWA ile ayn\u0131 web sitesinin taray\u0131c\u0131da a\u00e7\u0131lmas\u0131 aras\u0131ndaki \u00f6nemli bir fark, yukar\u0131daki ekran g\u00f6r\u00fcnt\u00fcs\u00fcnde a\u00e7\u0131k\u00e7a g\u00f6r\u00fclmektedir: PWA penceresinde adres \u00e7ubu\u011fu bulunmamaktad\u0131r. Bu \u00f6zellik, bu yaz\u0131da ele al\u0131nan kimlik av\u0131 y\u00f6nteminin temelini olu\u015fturmaktad\u0131r.<\/p>\n

Pencerede adres \u00e7ubu\u011fu olmad\u0131\u011f\u0131ndan, sald\u0131rganlar kimlik av\u0131 hedeflerine hizmet eden bir URL g\u00f6r\u00fcnt\u00fcleyerek kendi adreslerini kolayca olu\u015fturabilirler. Mesela:<\/p>\n

\"Login.microsoft.com'u<\/a>

PWA ile herhangi bir siteyi (\u00f6rne\u011fin, Microsoft hesab\u0131 giri\u015f sayfas\u0131n\u0131) ikna edici bir \u015fekilde taklit edebilirsiniz. Kaynak<\/a><\/p><\/div>\n

Sald\u0131rganlar PWA\u2019ya tan\u0131d\u0131k bir simge ekleyerek aldatmacay\u0131 daha da geli\u015ftirebilirler.<\/p>\n

Geriye kalan tek engel, kurban\u0131 PWA\u2019y\u0131 y\u00fcklemeye ikna etmektir. Bu, ikna edici bir dil ve ak\u0131ll\u0131ca tasarlanm\u0131\u015f aray\u00fcz \u00f6geleriyle kolayca ba\u015far\u0131labilir.<\/p>\n

PWA y\u00fckleme ileti\u015fim kutusu ekrana geldi\u011finde, g\u00f6r\u00fcnt\u00fclenen uygulama ad\u0131n\u0131n sald\u0131rgan\u0131n g\u00f6rmenizi istedi\u011fi herhangi bir \u015fey olabilece\u011fine dikkat etmek \u00f6nemlidir. Ger\u00e7ek kayna\u011f\u0131, sadece ikinci sat\u0131rda yer alan ve daha az dikkat \u00e7eken web sitesi adresi ortaya \u00e7\u0131kar\u0131r:<\/p>\n

\"K\u00f6t\u00fc<\/a>

K\u00f6t\u00fc ama\u00e7l\u0131 PWA y\u00fckleme ileti\u015fim kutusu, sald\u0131rgan\u0131n hedeflerine hizmet eden bir ad g\u00f6r\u00fcnt\u00fcler. Kaynak<\/a><\/p><\/div>\n

PWA kullanarak parola \u00e7alma s\u00fcreci genel olarak \u015fu \u015fekilde ger\u00e7ekle\u015fir:<\/p>\n