Emre bir gönderide etiketlendi

Facebook saldırganlar tarafından sıkça kullanılan bir saldırı vektörüdür. Dünyanın her yerinde yüz milyonlarca kişinin “paylaşım” yaptığı bir ortam herkes için iştah açıcı olacaktır.

Profesyonel merak da diyebilirsiniz, yersiz risk almak da ama “tamam, tıklamayayım ama tıklarsam ne olur?” diyerek bu tuzaklardan birine atladım.

 Hollywood filmlerinde olduğu gibi saldırganın bakış açısından bir senaryo dahilinde ele alırsak “operasyon” şöyle gerçekleşiyor.

Yazının konusu olmadığı için tuzağın nasıl kurulduğunu ele almayacağım, sadece benim gördüğüm haliyle ekran görüntüsünü paylaşacağım.

Adım 1: Olta 

Arkadaşım Emre bir gönderide etiketlenmiş. Gönderiye konu fotoğrafın “kompozisyonu” erkek Facebook kullanıcılarının dikkatini çekebilecek şekilde hazırlanmış.

Adım 2: Kapan

Emre’nin gömlek düğmelerini iliklemeyi unutmuş bu ablanın olduğu videoda ne gibi bir rolü olabileceğini merak ettiğim için tıklıyorum ve aşağıdaki ekrana geliyorum.

Bu ekranda bir kaç nokta dikkatimizi çekiyor: 

Artık Facebook’ta değilim. Facebook gibi görünen bu site aslında www(.)videotr(.)me (DİKKAT: ziyaret etmeyin) sitesi.

Videotr(.)me sitesinin sahibine ulaşmak için birkaç sorgu yapıyorum ancak alanadı sahibi bilgileri gizli. Bu sitenin nasıl bir ekosistemin parçası olduğunu anlamak için Bing arama motorunun bir özelliğini kullanıyorum. Bing arama motoru üzerinde “ip:” operatörü ile yapılan aramaların sonucunda aynı IP adresinden yayın yapan ve Bing tarafından endekslenen siteleri bulabiliyoruz.

Göreceğiniz üzere bazı “ilginç” alanadları da aynı IP adresini ve büyük ihtimalle aynı hosting şirketini kullanıyor.

Burada dikkatimizi en çok çekenler;

Cotton-panty: erotik site.

Alfasro: Site başlığı Silkroad sunucusu olduğunu söylüyor. Silkroad "derin internet" olarak da bilinen internetin karanlık tarafında uyuşturucu, silah ve çocuk pornosu gibi konularda ticaret yapmak için kullanılan bir ortamdır. Bu sunucu gerçekten bu sistemin bir parçası mı? yoksa "derin internet" konusunda meraklı birkaç kurban bulmak için mi hazırlanmış emin olamadım. 
Düzeltme: Bildirdiği güvenlik zafiyetleri ile Yandex şeref listesine (Yandex Hall of Fame https://yandex.com/bugbounty/hall-of-fame/2014/11/) giren Gökmen Güreşçi'den gelen bilgi üzerine: Silkroad diye bir oyun varmış, onunla ilgili bir sunucu olabilirmiş. Gökmen Güreşçi'ye teşekkür ederim. 

Candyhile: Popüler Candy Crush oyununa hileleri yayınladığını iddia ediyor.

Kurtalankilim: Anadolu kaplanı sitesi gibi duruyor. Bunların arasında ne işi var anlam veremedim. Ucuz hosting bulmanın verdiği mutlulukla acaba komşularını çok sorgulamadan şirket sitesini buraya mı taşımış?

Taşıdıkları risk nedeniyle sitelerin hiç birini ziyaret etmedim, sizin de ziyaret etmenizi önermem.

Adım 3: Saldırı

Yönlendirildiğim sahte Facebook ekranında tamamı düğmesini tıkladığımda, aşağıda görüldüğü gibi bir yazılım bilgisayarıma iniyor.

Tersine mühendislik ve zararlı yazılım analizi konusunda bir iddiam yok, o işi Mert Sarıca ve Emre Tınaztepe uzmanlara bırakıyorum, bu konuya ilginiz varsa her ikisini de takip etmenizi öneririm. Bu nedenle bunun ne olduğunu analiz etmek için internette ücretsiz olarak bu işi yapan siteleri kullanıyorum. 

İlk test olarak indirilen yazılımı VirusTotal sitesine yükledim. Sonuç aşağıdaki gibi oldu;

Virustotal’de çalışan toplam 56 antivirüs yazılımı arasında sadece 17 tanesi bu zararlıyı tespit edebildi. Bilgisayarınızda güncel ve lisanslı bir antivirüs yazılımı olmasının neden önemli olduğuna dair önemli bir göstergedir. Bu zararlıyı tespit edemeyen 39 antivirüsten birini kullanmanız durumda faydası olmayacağını unutmamak lazım. Antivirüs kullanacağız ama sağduyumuzu da elden bırakmayacağız. 

Bu zararlı yazılımın tam olarak ne yaptığı konusunda da kabaca bir fikir sahibi olmak dosyayı bir de Malwr sitesine yükledim.

Aşağıdaki ekranlarda görülüğü üzere zararlı yazılım klavye ve fare hareketlerini kaydediyormuş.

Adım 4: Parayı kazanmak

Kurbanların kullanıcı bilgileri (sitelerde ve uygulamalarda kullandığınız kullanıcı adı ve parola bilgileri) ve kredi kartı bilgileri saldırgana iletiliyor.

Güncelleme: Bu yazıyı yayınladıktan 1-2 saat sonra aynı "gönderide" çok farklı bir arkadaş çevremden birinin daha etiketlendiğini gördüm. Bu zararlı yazılımın hızla yayıldığına bir kanıt oluşturabilir. Bir diğer yandan da son gönderide etiketlenenlerden birinin çalıştığı kurumu görünce, bu zararlı yazılımın şirket veya kurum içerisinde Facebook kullanımına izin veren yerlerde de görülebileceğini ve devlet sırrı / ticari sır kaybına neden olabileceğinden şüphelenmeye başladım (kurum adına dikkatinizi çekerim).

Facebook gibi sosyal medya araçlarının kullanımında “uyanık” olmak gerektiğine dair güzel bir örnek oluşturan bu saldırı konusunda çevremizdekileri ve özellikle çocuklarımızı bilgilendirmek önemlidir. 

Hackerlar fiyatlarını güncelledi

"Kredi kartı bilgisi satın almak çok pahalı değil, 5 - 10 dolardır" dediğimde karşımdakiler hep şaşırırdı. Sonunda tahminlerimin çok da temelsiz olmadığını kanıtlayacak bir araştırma yayınlandı.
Bizden zararlı yazılım veya hacking ile çaldıkları bilgileri sattıkları geniş bir küresel pazar var.

Kredi kartı ve kimlik bilgilerinin satıldığı derin internet'teki pazar (temsili)

Yapılan araştırmalar ışığında yer altın dünyasının hacking fiyat listesinin aşağıdaki gibi şekillendiği görülmektedir.

A.B.D. Visa ve Mastercard kredi kartı bilgisi (CVV kodu dahil): 4 USD
A.B.D. American Express kredi kartı bilgisi (CVV kodu dahil): 7 UDS
Avrupa Visa ve Mastercard kredi kartı bilgisi (CVV kodu dahil): 15 USD
Avrupa American Express kredi kartı bilgisi (CVV kodu dahil): 18 USD
A.B.D. kredi kartı manyetik şerit ve çip bilgisi (Track 1 ve Track 2): 12 USD
Avrupa kredi kartı manyetik şerit ve çip bilgisi (Track 1 ve Track 2): 28 USD
Pek çok nedenle kredi kartı bilgileri sanıldığı kadar cazip değildir. Bu numaraların teker teker değil, geçtiğimiz günlerde çiçek gönderme sitelerinde olduğu gibi, yüz veya binlerle ele geçirildiği düşünürse saldırganların sürümden kazandıkları görülmektedir.

A.B.D. "Fullz" kimlik bilgileri: 25 USD
Kurbana ait aşağıdkai bilgilerin tamamına "Fullz" adı verilmektedir;
Kimlik bilgileri
Ev adresi
İş adresi
eposta adresi (parola dahil)
Sosyal güvenlik numarası
Vatandaşlık numarası (varsa)
Banka hesap bilgileri
İnternet bankacılığı bilgileri

70,000 - 115,000 USD bakiyeli banka hesabı erişim bilgileri (kullanıcı adı/parola): 300 USD

1,000 bilgisayarlık zombi ordusu: 20 USD
5,000 bilgisayarlık zombi ordusu: 90 USD
10,000 bilgisayarlık zombi ordusu: 160 USD
15,000 bilgisayarlık zombi ordusu: 250 USD
Bir yere saldırmak veya ele geçirilen bilgisayarı kullananların kişisel bilgilerini çalmak için kullanılabilir. Korsan yazılım kullanıyorsanız ve/veya anti virüs yazılımınız yoksa büyük ihtimalle bilgisayarınız bunların arasında.

Web sitesi hackleyip bilgi çalmak: 100 - 300 USD arası

DDoS saldırısı: Saati: 3 - 5 USD, Haftası: 90 - 100 USD, Ayı: 400 - 600 USD
DDoS saldırıları bir siteyi erişilmez hale getirmek için bu sitenin kaynaklarının (internet bağlantısı veya hizmet verebildiği kullanıcı sayısı) saldırgan tarafından tüketilmesidir. Bunun sonucunda normal kullanıcılar siteye erişemeyecektir.

Bize çok önemli gibi gelen bu bilgilerin bu kadar ucuza satılmasının nedenlerinden biri de gerekli güvenlik önlemlerini almayan bizleriz.

Derin İnternet

Deepnet, underweb veya hidden web olarak da bilinen, Türkçeye “derin internet” olarak da çevirebileceğimiz (derin devlet gibi oldu) bu yapı, internetin arama motorları tarafından endekslenmeyen kısmıdır.

McAfee Şili’de araştırmacı olarak çalışan Alfonso A. Kejaya Muñoz derin internetin; internette yayınlanan ama teknik nedenlerden dolayı arama motorlarınca endekslenmeyen çok miktarda veriden oluştuğunu belirtiyor. Araştırmacı, derin internetin toplam internetin %90’nını oluşturabileceğini söylüyor.

Derin internette neler var?

Derin internet tanımını ilk defa duyanların aklına ilk gelen soruyu hemen yanıtlayayım: 

Aklınıza ne geliyorsa.

Derinlerde çevrilen işlere bazı örnekler şunlar olacaktır;

• Uyuşturucu madde satışı
• Silah satışı
• Çocuk pornosu
• Hassas bilgilerin sızdırılması
• Para aklama örgütleri
• Telif hakkı ihlali yapanlar
• Kredi kartı ve kimlik bilgilerinin paylaşımı ve satışı

Derin internette Bitcoin ile silah satışı yapan bir site (Kaynak: Gizmodo)

Bu sayfaları saklamak için öncelikle arama motorlarınca endekslenmelerini önleyen suçlular daha sonra çeşitli yöntemlerle bu sitelere “müşterilerinin” ulaşmalarını sağlamaktalar. 

Bu yöntemler arasında;

• Site içi arama kutucuğunda “parola” olarak kullanılan belirli bir sözcüğün aranmasıyla sayfanın getirilmesi
• Sayfanın kodu içerisine “yorum” olarak mesaj eklemek. Böylece mesaj sayfa normal şekilde görüntülendiğinde görülmez, kaynak kod incelendiğinde ortaya çıkar. Mesajı şifrelemek ikinci bir saklama katmanı olabilir. Sayfanın kaynak koduna bakarsanız tam bu satırın altında www.portakalagaci.com'dan alınmış bir etli kurufasülye tarifini bulabilirsiniz. 
• Link verilmeden bir alt domain oluşturmak
• HTTP başlıklarını kullanarak sitenin farklı sürümlerini yayınlamak
• İnternete yüklenen ama hiç bir sayfada kullanılmayan resimler

Yasadışı işleri çevirenler dışında derin interneti oluşturan diğer unsurlar oldukça masumdur. 

Wikipedia derin internet bileşenlerini aşağıdaki sınıflara ayırmaktadır.

Dinamik içerik: Bir arama veya form sonucunda oluşturulup kullanıcıya sunulan sayfalar. Formlarda sadece metin girilen alanlar olması sitenin yapısı hakkında bilginiz olmadan sitenin içeriğini tam olarak görüntülemenizi zorlaştırmaktadır.

Link verilmeyen sayfalar: Başka bir yerden bağlantısı olmayan siteleri arama motorları bulmakta zorlanabilir. Bu nedenle arama motorları tarafından endekslenmiyor olabilir.

Erişim şekline göre değişen siteler: Erişim için kullanılan IP adresine veya gelmek için kullanılan bağlantıya göre değişen siteler.

Erişimin teknik olarak sınırlandırıldığı siteler/sayfalar: Arama motoru robotlarının veri almasını engelleyen, giriş için CAPTCHA kullanan sayfalar veya HTTP başlığı ile cache işlemini engelleyen siteler.

Script ile oluşturulan sayfalar: Javascript gibi bir betik dili kullanılarak oluşturulan sayfalar.

Farklı dosya uzantıları: Arama motorları tarafından endekslenmeyen dosya türlerinden oluşan sayfalar.

Farklı protokoller: FTP gibi HTTP veya HTTPS dışında bir protokol kullanan sayfalar.

Kıyıda köşede kalmış ve genellikle sistemler tarafından oluşturulan çok anlamlı olmayan siteler dışında kalan derin internet mutlaka uzak durulması gereken bir yapıdır. 

Burada safça “benim çocuk pornosuyla ne işim olur?” diye düşünüyor olabilirsiniz ama başkalarının sizin sistemlerinizi (laptop, sunucu, tablet bilgisayar, vs.) bu tür şeylere kimliğini gizleyerek ulaşmak için kullanabilir.

Evdeki sistemleriniz üzerinden bu tür "insanlara" "hizmet" (insan demeye dilim varmadığı için tırnak içine aldım) vermemek için alınabilecek bazı tedbirler şunlardır;

• Lisanslı işletim sistemi kullanmak
• İşletim sistemini güncel tutmak
• Anti-virüs kullanmak
• Anti-virüsü güncellemek

Şirket ağında ise bunlara ek olarak şirketten çıkan internet trafiğini incelemek faydalı olacaktır.

Derin internetin yasadışı tarafına erişmek için proxyler veya TOR gibi ağlar kullanılmaktadır. Şirket ağında TOR benzeri ağlara üye makinelerin bulunması için çıkan internet trafiğinin incelenmesi faydalı olacaktır. Bu çalışma aynı zamanda botnet üyesi veya üzerinde malware bulunan makinelerin de tespit edilmesini sağlayacaktır.