Facebook saldırganlar tarafından sıkça
kullanılan bir saldırı vektörüdür. Dünyanın her yerinde yüz milyonlarca kişinin
“paylaşım” yaptığı bir ortam herkes için iştah açıcı olacaktır.
Profesyonel merak da diyebilirsiniz, yersiz
risk almak da ama “tamam, tıklamayayım ama tıklarsam ne olur?” diyerek bu tuzaklardan birine atladım.
Yazının konusu olmadığı için tuzağın nasıl
kurulduğunu ele almayacağım, sadece benim gördüğüm haliyle ekran görüntüsünü
paylaşacağım.
Adım 1: Olta
Arkadaşım Emre bir gönderide
etiketlenmiş. Gönderiye konu fotoğrafın “kompozisyonu” erkek Facebook
kullanıcılarının dikkatini çekebilecek şekilde hazırlanmış.
Adım 2: Kapan
Emre’nin gömlek düğmelerini iliklemeyi unutmuş bu ablanın olduğu videoda ne
gibi bir rolü olabileceğini merak ettiğim için tıklıyorum ve aşağıdaki ekrana geliyorum.
Bu ekranda bir kaç nokta dikkatimizi çekiyor:
Artık Facebook’ta değilim. Facebook gibi
görünen bu site aslında www(.)videotr(.)me (DİKKAT: ziyaret etmeyin) sitesi.
Videotr(.)me sitesinin sahibine ulaşmak için
birkaç sorgu yapıyorum ancak alanadı sahibi bilgileri gizli. Bu sitenin
nasıl bir ekosistemin parçası olduğunu anlamak için Bing arama motorunun bir
özelliğini kullanıyorum. Bing arama motoru üzerinde “ip:” operatörü ile yapılan
aramaların sonucunda aynı IP adresinden yayın yapan ve Bing tarafından
endekslenen siteleri bulabiliyoruz.
Göreceğiniz üzere bazı “ilginç” alanadları da
aynı IP adresini ve büyük ihtimalle aynı hosting şirketini kullanıyor.
Burada dikkatimizi en çok çekenler;
Cotton-panty: erotik site.
Alfasro: Site başlığı Silkroad sunucusu
olduğunu söylüyor. Silkroad "derin internet" olarak da bilinen internetin karanlık tarafında uyuşturucu, silah ve çocuk pornosu gibi konularda ticaret yapmak için kullanılan bir ortamdır. Bu sunucu gerçekten bu sistemin bir parçası mı? yoksa "derin internet" konusunda meraklı birkaç kurban bulmak için mi hazırlanmış emin olamadım.
Düzeltme: Bildirdiği güvenlik zafiyetleri ile Yandex şeref listesine (Yandex Hall of Fame https://yandex.com/bugbounty/hall-of-fame/2014/11/) giren Gökmen Güreşçi'den gelen bilgi üzerine: Silkroad diye bir oyun varmış, onunla ilgili bir sunucu olabilirmiş. Gökmen Güreşçi'ye teşekkür ederim.
Düzeltme: Bildirdiği güvenlik zafiyetleri ile Yandex şeref listesine (Yandex Hall of Fame https://yandex.com/bugbounty/hall-of-fame/2014/11/) giren Gökmen Güreşçi'den gelen bilgi üzerine: Silkroad diye bir oyun varmış, onunla ilgili bir sunucu olabilirmiş. Gökmen Güreşçi'ye teşekkür ederim.
Candyhile: Popüler Candy Crush oyununa
hileleri yayınladığını iddia ediyor.
Kurtalankilim: Anadolu kaplanı sitesi gibi
duruyor. Bunların arasında ne işi var anlam veremedim. Ucuz hosting bulmanın verdiği mutlulukla acaba komşularını çok sorgulamadan şirket sitesini buraya mı taşımış?
Taşıdıkları risk nedeniyle sitelerin hiç
birini ziyaret etmedim, sizin de ziyaret etmenizi önermem.
Adım 3: Saldırı
Yönlendirildiğim sahte Facebook ekranında tamamı düğmesini tıkladığımda, aşağıda görüldüğü gibi bir yazılım bilgisayarıma iniyor.
Tersine mühendislik ve zararlı yazılım analizi
konusunda bir iddiam yok, o işi Mert Sarıca ve Emre Tınaztepe uzmanlara bırakıyorum, bu konuya ilginiz varsa her ikisini de takip etmenizi öneririm. Bu nedenle bunun ne olduğunu analiz etmek için internette ücretsiz olarak bu işi yapan siteleri kullanıyorum.
İlk test olarak indirilen yazılımı VirusTotal
sitesine yükledim. Sonuç aşağıdaki gibi oldu;
Virustotal’de çalışan toplam 56 antivirüs
yazılımı arasında sadece 17 tanesi bu zararlıyı tespit edebildi. Bilgisayarınızda güncel ve lisanslı bir antivirüs yazılımı olmasının neden önemli olduğuna dair önemli bir göstergedir. Bu zararlıyı tespit edemeyen 39 antivirüsten birini kullanmanız durumda faydası olmayacağını unutmamak lazım. Antivirüs kullanacağız ama sağduyumuzu da elden bırakmayacağız.
Bu zararlı yazılımın tam olarak ne yaptığı
konusunda da kabaca bir fikir sahibi olmak dosyayı bir de Malwr sitesine
yükledim.
Aşağıdaki ekranlarda görülüğü üzere zararlı
yazılım klavye ve fare hareketlerini kaydediyormuş.
Adım 4: Parayı kazanmak
Kurbanların kullanıcı
bilgileri (sitelerde ve uygulamalarda kullandığınız kullanıcı adı ve parola
bilgileri) ve kredi kartı bilgileri saldırgana iletiliyor.
Güncelleme: Bu yazıyı yayınladıktan 1-2 saat sonra aynı "gönderide" çok farklı bir arkadaş çevremden birinin daha etiketlendiğini gördüm. Bu zararlı yazılımın hızla yayıldığına bir kanıt oluşturabilir. Bir diğer yandan da son gönderide etiketlenenlerden birinin çalıştığı kurumu görünce, bu zararlı yazılımın şirket veya kurum içerisinde Facebook kullanımına izin veren yerlerde de görülebileceğini ve devlet sırrı / ticari sır kaybına neden olabileceğinden şüphelenmeye başladım (kurum adına dikkatinizi çekerim).
Facebook gibi sosyal medya araçlarının kullanımında “uyanık” olmak gerektiğine dair güzel bir örnek oluşturan bu saldırı konusunda çevremizdekileri ve özellikle çocuklarımızı bilgilendirmek önemlidir.
Güncelleme: Bu yazıyı yayınladıktan 1-2 saat sonra aynı "gönderide" çok farklı bir arkadaş çevremden birinin daha etiketlendiğini gördüm. Bu zararlı yazılımın hızla yayıldığına bir kanıt oluşturabilir. Bir diğer yandan da son gönderide etiketlenenlerden birinin çalıştığı kurumu görünce, bu zararlı yazılımın şirket veya kurum içerisinde Facebook kullanımına izin veren yerlerde de görülebileceğini ve devlet sırrı / ticari sır kaybına neden olabileceğinden şüphelenmeye başladım (kurum adına dikkatinizi çekerim).
Facebook gibi sosyal medya araçlarının kullanımında “uyanık” olmak gerektiğine dair güzel bir örnek oluşturan bu saldırı konusunda çevremizdekileri ve özellikle çocuklarımızı bilgilendirmek önemlidir.
inceleme için teşekkürler, elinize sağlık.
ReplyDelete