Geçtiğimiz hafta analiz ettiğim oltalama saldırıları arasında ilgimi en çok çeken saldırı yöntemini paylaşmak istiyorum. Üstelik bu üstün teknik ve yetenekler gerektiren bir saldırı da değil. Yeni ortaya çıkmasına rağmen hızla yayılan ve bir çok kişinin kurbanı olduğu saldırı, basit ama etkili bir yönteme dayanıyor.
Evet bu bir saldırı. Adres çubuğuna dikkatli bakacak olursanız, https'den önce "data:text/html" yazdığını göreceksiniz.
Çünkü siz, bilgisayarınızda kayıtlı olan bir text dosyasını ziyaret ediyorsunuz. Gözünüz ilk anda bunu farketmiyor ve bilgilerinizi giriyorsunuz. Adres çubuğunun en sağına bakacak olursanız --tam anlamıyla en sağına, bir javascript tag'i göreceksiniz.
Gözünüz bu küçük javascript kodunu da görmüyor tabii ki. Saldırgan satırın ortasına boşluk ekleyerek, zararlı yazılımı çıplak gözden gizliyor.
Bu kısa javascript kodunun içerisinde ise, basit bir keylogger tanımlı. Tarayıcınız bu kodu çalıştırıyor, ve yazdıklarınız saldırgana gönderiliyor. Saldırganlar bu dosyayı bilgisayarınıza indirmek için, gmail adresinize bir mail atıyorlar. Mail görüntülemenizde bir sakınca yok. Fakat dosya ekine tıkladığınız anda, kullanmakta olduğunuz sekmede bu sayfa açılıyor.
Bu süreç boyunca şüpheye düşmemeniz için ise, dosya ekini bir görsel olarak gösteriyorlar. Böylece eke tıkladığınızda karşınıza tekrar gmail giriş paneli çıkması sizi şaşırtmıyor. Bir nedenden dolayı oturumunuzun kapandığını ve tekrar oturum açmak için kullanıcı adı ve parolanızı girmeniz gerektiğini düşünüyorsunuz.
İşte bu kadar basit, fakat bir o kadar da kurnazca. En dikkatlilerimiz bile bir dalgınlık anında bu tür saldırılara kurban gidebilir. Saldırganlar da zaten buna güveniyor. Hepimizin kafasını meşgul eden binlerce şey var. Bu yüzden tanımadığınız mail adreslerinden gelen e-postalara şüpheyle yaklaşmakta fayda var.
Üstelik bu saldırı, bir arkadaşınızın mail adresinden bile size yönlendirilebilir. Bunun için gerçekleşmesi gereken tek şey, arkadaşınızın da sizden önce aynı saldırıya kurban gitmesi...
