"Phishing" (kimlik avı) ve "farming" (çiftçilik) kelimelerinin birleşiminden oluşan Pharming, bir web sitesinin trafiğinin manipüle edildiği ve gizli bilgilerin çalındığı, kimlik avına benzer bir çevrimiçi dolandırıcılıktır. Özünde, sahte bir web sitesi üretmek ve ardından kullanıcıları buna yönlendirmek suçtur.
Pharming (Site Trafiği Yönlendirme), suçluların belirli bir web sitesine ulaşmaya çalışan internet kullanıcılarını farklı, sahte bir siteye yönlendirdiği bir tür sosyal mühendislik siber saldırısıdır. Bu "sahte" siteler, kurbanın kişisel olarak tanımlanabilir bilgilerini (PII) ve şifreler, sosyal güvenlik numaraları, hesap numaraları ve benzeri gibi oturum açma kimlik bilgilerini ele geçirmeyi amaçlar veya bilgisayarlarına site trafiği yönlendirme zararlı yazılımı yüklemeye çalışırlar. Site Trafiği Yönlendirme yapanların hedefinde genellikle bankalar, çevrimiçi ödeme platformları veya e-ticaret siteleri gibi finans sektöründeki web siteleri yer alır ve nihai amaçları genellikle kimlik hırsızlığıdır.
Site trafiği yönlendirme, internet taramasının çalıştığı zeminden faydalanır, yani bağlantı kurulabilmesi için www.google.com gibi bir internet adresini oluşturan harflerin sırasının DNS sunucusu tarafından bir IP adresine dönüştürülmesi gerekir.
Site Trafiği Yönlendirme, sürece iki yoldan biriyle saldırır.
DNS sunucuları bir kuruluşun ağında ve savunmasının arkasında yer aldığı için saldırılması daha zor olsa da, DNS zehirlenmesi önemli sayıda kurbanı etkileyebilir ve bu nedenle siber suçlular için büyük ödüller sunar. Zehirlenme diğer DNS sunucularına da yayılabilir. Zehirlenmiş bir sunucudan bilgi alan herhangi bir internet servis sağlayıcısı (İSS), bozuk DNS girişinin İSS'nin sunucularında önbelleğe alınmasına ve daha fazla yönlendirici ve cihaza yayılmasına neden olabilir.
Site Trafiği Yönlendirme saldırılarını bu kadar tehlikeli bir çevrimiçi dolandırıcılık biçimi haline getiren şey, kurbandan minimum eylem gerektirmesidir. DNS sunucusu zehirlenmesi vakalarında, etkilenen kullanıcı tamamen zararlı yazılımlardan arındırılmış bir bilgisayara sahip olmasına rağmen yine de mağdur olabilir. Web sitesi adresini manuel olarak girme veya daima güvenilen yer imlerinin kullanılması gibi önlemler almak yeterli değildir, çünkü yanlış yönlendirme bilgisayar bir bağlantı talebi gönderdikten hemen sonra gerçekleşir.
Site Trafiği Yönlendirme yapanlar kişisel bilgilerinizi ele geçirdikten sonra, bunları ya dolandırıcılık amacıyla kendileri kullanır ya da karanlık ağdaki diğer suçlulara satarlar.
Kimlik avı ve site trafiği yönlendirme dolandırıcılıkları benzerdir ancak tam olarak aynı değildir.
Kimlik avı, siber suçluların size saygın kuruluşlardan geliyormuş gibi görünen e-postalar gönderdiği bir dolandırıcılık uygulamasıdır. E-postalar sizi, şüphelenmeyen kullanıcıların kullanıcı adı ve parola gibi kişisel bilgilerini girdikleri sahte bir web sitesine yönlendiren kötü amaçlı bağlantılar içerir. Bu bilgileri gönderdikten sonra, dolandırıcılar bunları suç amacıyla kullanabilir.
Site Trafiği Yönlendirme bir tür kimlik avıdır ancak ayartma unsuru içermez. Site Trafiği Yönlendirme iki aşamadan oluşur: İlk olarak, bilgisayar korsanları bilgisayarınıza veya sunucunuza kötü amaçlı kod yükler. İkinci olarak, kod sizi sahte bir web sitesine gönderir ve burada kişisel bilgilerinizi vermeniz için kandırılabilirsiniz. Bilgisayar site trafiği yönlendirmesi, sizi sahte bir web sitesine götürmek için ilk tıklamayı gerektirmez. Bunun yerine, otomatik olarak oraya yönlendirilirsiniz - site trafiği yönlendirme yapanlar daha sonra ifşa ettiğiniz tüm kişisel bilgilere erişebilir.
Kimlik avı, sizden finansal bilgilerinizi isteyen aldatıcı e-posta, sosyal medya veya kısa mesajlar kullanırken, site trafiği yönlendirme için herhangi bir yem gerekmez. Bu nedenle site trafiği yönlendirme "yem olmadan oltalama" olarak tanımlanmaktadır. Site trafiği yönlendirme, kurbanların bilinçli bir eylemi olmadan önemli sayıda bilgisayarı etkileyebildiği için kimlik avından daha tehlikeli kabul edilir. Bununla birlikte, site trafiği yönlendirme saldırıları kimlik avından daha az yaygındır çünkü saldırganların önemli ölçüde daha fazla çalışmasını gerektirir.
2019'da Venezuela'da kayda değer bir site trafiği yönlendirme saldırısı gerçekleşti. O yıl Venezuela Devlet Başkanı, "Voluntarios por Venezuela" (Venezuela için Gönüllüler) adlı yeni bir harekete katılacak gönüllüler için kamuoyuna bir çağrı yaptı. Bu hareketin amacı, gönüllüleri ülkeye insani yardım sağlayan uluslararası kuruluşlarla buluşturmaktı. Gönüllüler, tam adlarını, kişisel kimliklerini, telefon numaralarını, konumlarını ve diğer kişisel bilgilerini isteyen bir web sitesi aracılığıyla kaydolmaya davet edildi.
Orijinal web sitesinin yayına girmesinden sonraki bir hafta içinde ikinci bir web sitesi ortaya çıktı. Bu, benzer bir alan adı ve yapı ile neredeyse aynıydı. Ancak, bu sahteydi. Venezuela'da hem gerçek hem de sahte web siteleri, sahte alan adı sahibine ait olan aynı IP adresine çözümlendi. Bu, bir kullanıcının gerçek ya da sahte web sitesini açmasından bağımsız olarak, sonuçta verilerinin sahte olana ulaşacağı anlamına geliyordu. (Ülke dışında ise farklı bir IP adresine yönlendiriliyorlardı).
2015 yılında Brezilya'da saldırganlar UTStarcom veya TR-Link ev yönlendiricisi kullanıcılarına Brezilya'nın en büyük telekom şirketinden geliyormuş gibi görünen kimlik avı e-postaları göndermiştir. E-postalardaki bağlantılar, yönlendiricinin güvenlik açıklarından yararlanmak ve saldırganların yönlendiricinin DNS sunucusu ayarlarını değiştirmesine izin vermek için tasarlanmış pharming kötü amaçlı yazılımını indirdi.
Yeni olmamakla birlikte, kaydedilen en önemli ve en ünlü site trafiği yönlendirme saldırılarından biri, ABD, Avrupa ve Asya'da 50'den fazla finans şirketinin hedef alındığı 2007 yılında meydana gelmiştir. Bilgisayar korsanları, hedeflenen her finans şirketi için, her biri kötü amaçlı kod içeren taklit bir web sayfası oluşturdu. Web siteleri tüketicilerin bilgisayarlarını bir Trojan indirmeye zorladı. Daha sonra hedeflenen finans şirketlerinden herhangi birinden oturum açma bilgileri toplanmıştır. Toplam kurban sayısı bilinmiyor, ancak saldırı üç gün boyunca gerçekleşti.
Site trafiği yönlendirme kurbanı olduğunuzu gösteren işaretler şunlardır:
Zaten pharming zararlı yazılımının veya pharming saldırısının kurbanı olduğunuzu düşünüyorsanız:
Kendinizi site trafiği yönlendirme ve kimlik avı gibi siber suçlardan korumanın en iyi yolu, antivirüs koruması ve en son siber güvenlik en iyi uygulamalarını takip etmektir.
İlgili Makaleler: