Page 38 - bilgem-teknoloji-dergisi-12

P. 38

Siber Güvenlik BILGEM
TEKNOLOJI

Oltalama Saldırılarının landıkları başka bir teknik de web sitesi klonlamadır. Korumalı Alan: E-posta içeriğini korumalı alan or-

tamında test edebilirsiniz. Bu her zaman mümkün
Saldırganların siber saldırılardaki motivasyonları,
Tespitinde Makine Öğrenimi kendi kişisel tatminlerinin yanında maddi kazanç- olmayabilir.
lar elde etmek ya da hedef kurum/kişilere maddi
Oltalama Saldırıları Kill Chain Gösterimi
kayıplar yaşatmaktır. Bu konuda gerçekleştirilen
siber saldırılara bakıldığında oltalama saldırıla- Cyber Kill Chain çerçevesi, bir saldırının yapısıyla
Ferdi Gül – Araştırmacı / BİLGEM SGE rı önemli bir yüzdeliği kapsamaktadır. Oltalama ilgili askeri bir konseptten uyarlanmış ve Lockheed
saldırılarının, günümüzde son kullanıcılara en çok Martin tarafından geliştirilmiştir. Belirli bir saldırı
e-posta ile iletildiği bilinmektedir. vektörünü incelemek için, sürecin her adımını hari-
talamak ve saldırgan tarafından kullanılan araçla-
PhishLabs tarafından sağlanan ülkemize yönelik ra, tekniklere ve prosedürlere referans vermek için
2018 yılı oltalama saldırıları verileri baz alındığın- Şekil 2'deki “kill chain” diyagramı kullanılmaktadır.
da, oltalama saldırıları 2014 yılına göre %621 art-
mış iken 2017 yılına göre ise %149 artmıştır. 2020
yılında ise tüm dünyayı etkisi altına alan Covid-19
salgınının etkisiyle tüm dünyada bu yüzdeliğin
daha da arttığı gözlenmiştir.

2020 yılı oltalama saldırılarının hedef aldığı sektör-
ler incelendiğinde SaaS (İnternet üzerinden bulut
tabanlı erişimi olan uygulamaları temsil eder)/Web
mail %34 ile en başta yer almaktadır. Onu ise bek-
lendiği gibi finans sektörü takip etmektedir [1]. Şekil 2 Oltalama Saldırısı ve Kill Chain Gösterimi

Saldırgan, hedef sistem veya kullanıcı hakkında ilk
önce aktif ve pasif olarak gerçekleştirdiği araştır-
maları sonucunda bazı anlamlı ve anlamsız veri-
lere ulaşır. Bu veriler ışığında bilgileri gruplandırır.
Bunun sonucunda çeşitli saldırı araçlarını kullana-
rak hedef kullanıcıya karşı başta sosyal mühen-
dislik olmak üzere örnek bir web sitesini oluşturur.
Oluşturulan bu site, saldırı yüzeyinin hedefine göre
çeşitli saldırı senaryolarını içinde barındırabilir. Son
kullanıcı bilerek veya bilmeyerek tıkladığı e-posta
içerisindeki link aracılığı ile gerçeğinden ayırt edil-
mesi zor sahte siteye yönlendirilir. Son kullanıcı,

Saldırganların siber saldırılardaki motivasyonları, kendi kişisel Şekil 1 Oltalama Saldırılarının Sektörel Dağılımı kendi kimlik verilerini ya da sistemden sorumlu bir
kişi ise sistemin bilgilerini saldırganla paylaşabilir.
tatminlerinin yanında maddi kazançlar elde etmek ya da Kimlik avı riskini azaltmak için şu teknikler kulla- Eğer saldırgan, sistem veya kullanıcı verilerini ele
hedef kurum/kişilere maddi kayıplar yaşatmaktır. nılabilir. geçirmenin ötesinde sisteme zarar vermeye yöne-
lik bir senaryo geliştirdiyse ziyaret edilen linkten
Eleştirel düşünme: Çok sayıda gelmiş e-posta üze- aynı zamanda C&C denilen komuta kontrol sunu-
ünümüzde dijital dünyanın gelişmesi ile birlikte muş gibi görünen, çeşitli saldırı vektörlerinin kullanıla- rinde aksiyon almadan önce analiz etmeyi unut- cusundan zararlı dosyalar (dropper) indirilmesini
kurum veya kişi özelinde yapılan birçok iş inter- rak (e-posta vb.) kurbanın kişisel bilgilerini elde etmek mayınız. sağlayabilir ve sistemi ele geçirebilir. Ele geçirilen
Gnet ortamına bağlanmıştır. Yaşamı kolaylaştıran veya saldırı yüzeyini genişletmeyi amaçlayan siber makineden yanal hareket ile bu sisteme bağlı diğer
sosyal ağlar, e-posta kullanımı, elektronik bankacı- ataklardan biridir. Sosyal mühendisliği ve teknik hileyi Bağlantıların üzerine gelme: Farenizi tıklamadan kullanıcı veya sistemler aracılığı ile diğer sistemle-
lık, e-ticaret gibi alanlar dijital dünyada gelişmeye ve birleştirir. Kötü amaçlı yazılım indirmeniz veya kişisel bağlantının üzerine getirerek sizi gerçekte nere- re yayılım gerçekleştirebilir.
yaygınlaşmaya devam ederken, eş zamanlı olarak bu bilgilerinizi vermeniz için sizi kandırabilecek meşru ol- ye yönlendireceğini görebilirsiniz. URL daha önce
sistemlere yapılan saldırılar da her geçen gün artmak- mayan bir web sitesine referans olacak bir bağlantı da tehdit analiz beslemelerine düştüyse “virustotal. Oltalama Saldırıları Tespit Yöntemleri
tadır. Eskiden savaş alanları; kara, deniz, hava ve uzay içerebilir. com” başta olmak üzere “any.run”, “hybred-analy- Kara Liste ve Beyaz Liste Tabanlı Tespit Yöntemi
olarak sınırlandırılırken artık bu alanlara siber uzay sis” gibi faydalı kaynaklardan yararlanabilirsiniz. Bilinen zararlı URL veya IP adreslerinin oluştur-
olarak yeni bir savaş alanı eklenmiştir. Ülkeler yıl sonu Hedefli kimlik avının tespit edilmesi, diğer oltalama duğu veri kümelerine dayanmaktadır. Daha önce
gerçekleştirdikleri ekonomi, askeri planlamalarında saldırılarına göre daha zor olabilir. Bir bilgisayar korsa- E-posta header analiz etme: E-posta headerları, çeşitli güvenlik mekanizmaları tarafından tespit
artık bu alana yatırımlarını da göz önünde bulundur- nının hedefli kimlik avı saldırısı gerçekleştirmesinin en bir e-postanın adresinize nasıl ulaştığını tanım- edilen zararlı URL veya IP adreslerinin bir güven-
maktadırlar. basit yollarından biri, sizin veya kurumunuzun iş yap- lar. “Yanıtla” ve “Dönüş Yolu” parametreleri, gelen lik sisteminde (güvenlik duvarı vb.) veri tabanına
tığını düşündüğü firmaları taklit etmesidir. Dolandırıcı- e-postada belirtilenle aynı etki alanına yönlendiril- eklenerek her güvenlik sistemi üzerinde kendi kara
Oltalama (Kimlik avı), güvenilir kaynaklardan geliyor- ların saldırı senaryolarına güvenilirlik katmak için kul- mesi beklenmektedir. listeleri oluşturulabilmektedir. Kara Liste tabanlı

36 37

33 34 35 36 37 38 39 40 41 42 43