AiTM dolandırıcılıkları, iki faktörlü kimlik doğrulama gibi güvenlik önlemlerini bile atlayabilir. Peki bu kimlik avı varyasyonları nasıl çalışır? Nasıl güvende kalabilirsin?
Kimlik avı saldırıları artık inanılmaz derecede yaygın. Bu siber suç yöntemi, veri hırsızlığında çok etkili olabilir ve temel düzeyde çok fazla çalışma gerektirmez. Ancak kimlik avı, biri Ortadaki Düşman saldırıları olmak üzere birçok biçimde gelir. Peki, Ortadaki Düşman kimlik avı saldırıları nedir? Ve onlardan nasıl uzak durabilirsin?
Ortadaki Düşman Saldırıları Nelerdir?
Ortadaki Düşman (AiTM) kimlik avı saldırısı, özel verileri çalmak ve hatta kimlik doğrulama katmanlarını atlamak için oturum çerezlerinin çalınmasını içerir.
Çerezleri muhtemelen daha önce duymuşsunuzdur. Bugün, tıkladığınız çoğu site, çevrimiçi deneyiminizi daha yakından uyarlamak için çerezleri kullanmak için izninizi isteyecektir. Kısacası çerezler, alışkanlıklarınızı anlamak için çevrimiçi etkinliğinizi takip eder. Bunlar, yeni bir web sayfasına her tıkladığınızda sunucunuza gönderilebilen küçük metin dosyalarıdır ve bu nedenle belirli taraflara etkinliğinizi izleme olanağı verir.
Orada birçok çeşit kurabiye var. Bazıları gereklidir ve bazıları basitçe değildir. AiTM saldırıları, oturum çerezleriyle ilgilidir. Bunlar, bir web oturumu sırasında kullanıcı verilerini geçici olarak saklayan çerezlerdir. Bu çerezler, tarayıcınızı kapattığınızda hemen kaybolur.
Kimlik avında her zaman olduğu gibi, bir AiTM kimlik avı saldırısı, siber suçlunun hedefle, genellikle e-posta yoluyla iletişim kurmasıyla başlar. Bu dolandırıcılıklar ayrıca verileri çalmak için kötü amaçlı web siteleri kullanır.
AiTM saldırıları, saldırganların hedeflerle iletişim kurması ve onlardan 365 hesaplarında oturum açmalarını istemesiyle, Microsoft 365 kullanıcıları için özellikle acil bir sorun olmuştur. Kötü niyetli aktör, kimlik avı saldırılarında da tipik olan bu dolandırıcılıkta resmi bir Microsoft adresinin kimliğine bürünecektir.
Buradaki amaç sadece giriş bilgilerini çalmak değil, kurbanın çok faktörlü kimlik doğrulama (MFA) veya iki faktörlü kimlik doğrulama (2FA) katmanını atlamaktır. Bunlar, akıllı telefonunuz veya e-postanız gibi ayrı bir cihazdan veya hesaptan izin isteyerek bir hesap girişini doğrulamak için kullanılan güvenlik özellikleridir.
Siber suçlu ayrıca Microsoft ile iletişim kurmak ve sahte 365 oturum açma sayfasını barındırmak için bir proxy sunucusu kullanacaktır. Bu proxy, saldırganın oturum tanımlama bilgisini ve kurbanın oturum açma bilgilerini çalmasına izin verir. Kurban , kötü niyetli siteye giriş bilgilerini girdiğinde , yanlış kimlik doğrulama sağlamak için oturum çerezini çalacaktır. Bu, saldırgana kurbanın 2FA veya MFA isteğini atlayarak hesaplarına doğrudan erişim olanağı verir.
AiTM Kimlik Avı Saldırılarına Karşı Nasıl Korunulur
Bir AiTM kimlik avı saldırısı, tipik bir kimlik avı saldırısından farklı olsa da, birincisinden kaçınmak için ikincisinde olduğu gibi aynı uygulamaları kullanabilirsiniz. Bu, e-postalarınızda sağlanan bağlantılarla başlar.
Güvenilir olduğu iddia edilen bir göndericiden, çevrimiçi hesaplarınızdan birine giriş yapmak için sağlanan bağlantıyı kullanmanız gerektiğini belirten bir e-posta alırsanız, dikkatli olun. Bu klasik bir kimlik avı hilesidir ve özellikle saldırgan sizi bir hesapta en kısa sürede oturum açmaya ikna etmek için ikna edici veya acil bir dil kullanıyorsa, gözden kaçırmak endişe verici derecede kolay olabilir.
Bu nedenle, herhangi bir türde bağlantı içeren bir e-posta alırsanız, tıklamadan önce bir bağlantı kontrol web sitesinde çalıştırdığınızdan emin olun. Bunun da ötesinde, e-posta bir hesaba giriş yapmanız gerektiğini belirtirse, tarayıcınızda giriş sayfasını aramanız ve hesabınıza buradan erişmeniz yeterlidir. Bu şekilde, sağlanan herhangi bir bağlantıya tıklamadan hesabınızda çözmeniz gereken herhangi bir sorun olup olmadığını görebilirsiniz.
Ayrıca, gönderen güvenilir bir kişi olduğunu iddia etse bile, tanımadığınız bir adresten size gönderilen ekleri açmaktan kaçınmalısınız. Kötü amaçlı ekler AiTM kimlik avı saldırılarında da kullanılabilir, bu nedenle ne açtığınıza karşı dikkatli olmanız gerekir.
Kısacası, eki açmaya gerçekten gerek yoksa, onu kendi haline bırakın.
Öte yandan, eki açmanız gerektiğine inanıyorsanız, bunu yapmadan önce bazı hızlı kontroller yapın. Şüpheli kabul edilip edilmeyeceğini belirlemek için ekin dosya türüne bakmalısınız. Örneğin, .pdf, .doc, zip ve .xls dosyalarının kötü amaçlı eklerde kullanıldığı bilinmektedir, bu nedenle belirli bir ek bu dosya türlerinden biriyse dikkatli olun.
Bunun da ötesinde, e-postanın içeriğini kontrol edin. Gönderen, ekin banka ekstresi gibi bir belge içerdiğini ancak dosyanın .mp3 uzantısına sahip olduğunu iddia ederse, MP3 dosyası bir belge.
Aldığınız herhangi bir şüpheli e-postanın gönderen adresine bakın. Elbette her e-posta adresi benzersizdir, bu nedenle saldırgan, saldırıya uğramadığı sürece sizinle iletişim kurmak için resmi bir şirket e-posta adresini kullanamaz. Kimlik avı durumunda, dolandırıcılar genellikle bir kuruluşun resmi adresine biraz benzeyen e-posta adresleri kullanır.
Örneğin, Microsoft olduğunu iddia eden birinden bir e-posta alırsanız, ancak adresin "Microsoft" yerine "micr0s0ft" yazdığını fark ederseniz, bir kimlik avı dolandırıcılığıyla karşı karşıyasınız demektir. Suçlular ayrıca bir e-posta adresine fazladan bir harf veya sayı ekleyerek meşru adrese çok benzer, ancak aynı değil.
Hatta bir bağlantının şüpheli olup olmadığını ona bakarak belirleyebilirsiniz. Kötü amaçlı sitelerde genellikle olağandışı görünen bağlantılar bulunur. Örneğin, bir e-posta, sağlanan bağlantının sizi bir Microsoft oturum açma sayfasına göndereceğini belirtiyorsa, ancak URL, bunun tamamen farklı bir web sitesi olduğunu belirtiyorsa, dikkatli olun. Web sitesinin etki alanını kontrol etmek, kimlik avından kaçınmak için özellikle yararlı olabilir.
Son olarak, resmi olduğu iddia edilen bir kaynaktan yazım ve dil bilgisi hatalarıyla dolu bir e-posta alırsanız, muhtemelen bir dolandırıcıyla karşı karşıyasınız demektir. Resmi şirketler genellikle e-postalarının doğru yazıldığından emin olurken, siber suçlular bazen iletişimlerinde özensiz davranabilirler. Bu nedenle, aldığınız bir e-posta çok tembelce yazılmışsa, nasıl ilerleyeceğinize dikkat edin.
AiTM Kimlik Avı Saldırılarından Kaçınmak İçin Tetikte Olun
Kimlik avı oldukça yaygındır ve hem bireyleri hem de kuruluşları hedef almak için kullanılır, yani hiç kimse bu tehdide karşı gerçekten güvende değildir. Bu nedenle, AiTM kimlik avı saldırılarından ve genel olarak kimlik avından uzak durmak için, verilerinizi güvende tutmak için yukarıda verilen ipuçlarını göz önünde bulundurun.
