Oltama saldırıları genellikle saldırganın kullanıcıyı kandırarak kullanıcının bilgilerini elde etmesi veya kullanıcıya bir takım işlemler yaptırmasıyla gerçekleşir. Bir hafta kadar önce ismini vermek istemediğim birisi kendine gelen oltalama e-postasını bana forwardladı.
Haydi bu kişi Ramiz olsun.
Ramiz yine sıkıldığı bir akşamüstü kendisine gelen spam e-postalarına cevap verirken, bir anda gözüne farklı bir mail çarpıyor.
Merakına yenik düşüp 'hesapdestek12@outlook.com' adresinden gelen bu esrarengiz e-posta'yı okumaya koyuluyor:
Ramiz hala Msn Messenger kullandığından, outlook hesabının kapatılacağını duyunca eli ayağı tutuşuyor. Hiç zaman kaybetmeden anlatım bozukluğu içeren linke tıklıyor ve aşağıdaki sayfaya yönlendiriliyor:
"www.hesapdestek777.tr.gg" adresi Ramiz'e derin bir güven duygusu aşıladığından, Ramiz e-mail adresini ve parolasını sağdaki boşluklara giriyor ve enter'a basıyor. Bunun üzerine sayfada hiç bir değişiklik olmadığını idrak eden Ramiz, (kullanıcı bilgilerini bir 40 kez daha girip, saldırganın inbox'unu spamledikten sonra) giriş yapmaktan umudu kesiyor ve "Yine parolayı unutmuş olacağım" diye iç çekiyor. Sonra durup, "Belki de benim bir Windows Live ID'im yoktur.." diye düşünüyor.
Web uygulamasına anlam veremeyen Ramiz, uygulamada tıklanabilecek ne kadar link varsa, hepsine tıklıyor. Bakalım Ramiz'e gene neler oluyor...
Ramiz e-postada bulunan linke tıkladığında aşağıdaki GET isteğini gönderiyor:
Böylece Ramiz, saldırganın yapılandırdığı oltalama sitesini ziyaret etmiş oluyor. Sayfada bulunan boşluklara e-posta kullanıcı adı ve parolasını girdiği anda tarayıcısı aşağıdaki isteği gönderiyor:
Böylece Ramiz'in boşluklara girdiği bilgiler aslında saldırganın oluşturduğu online forma girilmiş oluyor. Görüntüden anlaşılıyor ki, saldırgan 'www.formbuddy.com' da sunulan hizmeti kötüye kullanmış.
Bu "formbuddy" nedir, ne değildir, saldırgana mı aittir, yoksa yasal bir hizmet midir? Anlamak için önce bir Google'lıyoruz.
Anlaşıldığı üzere bu birçok kişi tarafından kötüye kullanılan yasal bir hizmet. Ama her zaman bu web sayfalarına bir whois sorgusu yapmakta fayda var. Formbuddy.com'a yapılan whois sorgusu aşağıdaki gibi bir sonuç getiriyor:
Görüldüğü üzere, sitenin sahibi whois bilgilerinin çoğunu saklamış. Bir de oltalama saldırısını yürüten web sayfasına whois sorgusu yapalım:
Neden şaşırmadık acaba?
Şimdi bir de tamamen tahmin ederek bulduğumuz hesapdestek77.tr.gg adresine bir whois sorgusu yapalım:
Tesadüf mü acaba? Web sitesini ziyaret edecek olursak saldırganların pek de yaratıcı olmadığını görüyoruz:
Bu zararlı sayfa ise outlook hesapları yerine gmail hesaplarını hedef alıyor gibi gözüküyor. Ramiz outlook hesabını kaptırdıktan sonra, web sayfasındaki diğer bir linke tıklayarak, aşağıdaki isteği yolluyor:
Böylelikle Ramiz aşağıdaki web sayfasını ziyaret ederek görüntülediği veya üstüne tıkladığı reklam
ile saldırgana bir de para kazandırıyor:
Ramiz bununla kalmıyor, sayfadaki son linke tıklayarak tarayıcısıyla aşağıdaki isteği gönderiyor:
Böylece Ramiz, utanmadan bir de kendisini dolandıran saldırganın istediği facebook sayfasını beğenmiş oluyor.
Neyse ki PayPal Türkiye'ye kapanıyor, Ramiz bir de parasından olmuyor.
