Web Sitesi Sahiplerini Bedava DNSSEC Teklifi ile Hedef Alan Oltalama Saldırıları
Zekice tasarlanmış bir oltalama saldırısı kampanyası web veya blog sitesi benzeri çeşitli site sahiplerini hedef alıyor. Hosting firmalarından geliyor gibi gösterilen oltalama e-postaları ile kullanıcılara DNS servislerinin güvenli DNSSEC protokolüne yükseltilmesi teklif edilerek oltalama saldırısı gerçekleştiriliyor.
Web sitelerine ait bilgilere WHOIS sorgulaması ile veya sitelere ait http header bilgilerinin incelenmesi ile kolaylıkla ulaşılabildiği için saldırganlar hedefe ait hosting firması bilgilerini tespit edip ona göre oltalama e-postalarını düzenleyebiliyorlar.
Sophos güvenlik araştırmacılarının raporuna göre saldırganlar, WordPress, NameCheap, HostGator, Microsoft Azure ve diğer bilinen barındırma servisi sağlayıcılarının isimlerini kullanarak hedef seçilen adreslere oltalama saldırıları yapıyor.
DNSSEC protokolü, kısaca DNS protokolü üzerine bir güvenlik katmanı eklenerek DNS sorgularının daha güvenli hale getirilmelerini sağlayan bir protokoldür.
İlgili oltalama saldırılarında gelen maillerde servis sağlayıcının kullanılan DNS protokolünü DNSSEC seviyesine yükselteceğini, aktivasyon için mailde gönderilen linke tıklanması gerektiği iletiliyor. Sophos’un raporuna göre DNSSEC protokolü kullanıcı tarafından aktifleştirilebilecek bir protokol değil. Bu özellik, servis sağlayıcıların sunucu tarafında aktifleştirip kullanabilecekleri bir özellik olarak tanımlanıyor.
Gelen oltalama e-postası içerisindeki zararlı linke tıklandığı zaman oldukça inandırıcı bir yardım sayfası ile karşılaşılıyor. Bu yardım sayfasına giriş bilgileri ile login oldunuğu zaman da saldırganlar amacına ulaşmış oluyor.
Bu web sayfalarının base64 ile encode edilmiş GET parametreleri kullanılarak üretildiği güvenlik araştırmacıları tarafından tespit edildi. Örnek olarak aşağıdaki gibi iki GET paratmetresi bulunan URL, görüntülenecek sayfada bulunacak logo ve sayfa adresini belirliyor.
Sophos araştırmacıları bu iki parametreyi değiştirerek farklı hosting firmalarına ait sahte giriş sayfaları üretebildiler.
https://[REDACTED].com/?banner=V29yZFByZXNz&url=bmFrZWRzZWN1cml0eS5zb3Bob3MuY29t
Saldırganlar kendi sahte domainlerinde klasör indekesleme özelliğini açık unuttukları için güvenlik araştırıcıları farklı hosting şirketlerine ait logoların bulunduğu klasörü görüntüleyebildiler. İlgili klasörde HostGator, HostMonster, KonaKart, Linode, Magento, Microsoft Azure gibi servis sağlayıcıların logosu görülebiliyor.
Oltalama saldırısının amacı kullanıcıların giriş bilgilerini çalmak olduğu için giriş yapıldıktan sonra bir kurulum yapılıyormuş gibi davranan AJAX stili yükleyiciler ve pop up ekranları ile kullanıcıya bir kurulum izlenimi verilmeye çalışılıyor. Kullanıcılara yüklemeden sonra giriş sayfalarına yönlendirilecekleri bildirilse de saldırganların yaptığı programlama hatası sebebiyle bu yönlendirme gerçekleşmiyor. Sophos’un raporunda saldırı ile ilgili hazırladığı raporda bu detaylara yer verilmiş durumda.
Genel bir kural olarak bu tip oltalama saldırılarından korunabilmek için öncelikle e-posta üzerinden gelen linklere karşı uyanık olup yönlendirilen adreslerin mutlaka kontrol edimesi gerekiyor. İkinci olarak da kullanılan hesalarda 2FA (two-factor authentication) özelliğinin aktif olarak kullanılması öneriliyor.
