Geçtiğimiz günlerde domain hijacking yöntemi ile bir siber saldırı gerçekleştirildi. Bu saldırı yöntemini daha önce duymadım ve başladım araştırmaya bulduklarımı sizinle de paylaşmak istiyorum.
Domain hijacking (Domain hırsızlığı)’in ne olduğu ile başlayalım önce etki alanı ele geçirme veya etki alanı hırsızlığı, bir etki alanı adının kaydedilmesini, orijinal tescil ettirenin izni olmadan veya etki alanı barındırma ve tescil yazılımı yazılım sistemlerindeki ayrıcalıkların kötüye kullanılması ile değiştirme işlemidir. Wikipedia böyle diyor.
Bir diğer anlamıyla ise web sitesinin internetteki kimliğini ele geçirmektir. Son zamanlarda web sitelerinin herkes için ne kadar büyük önem arz ettiğinin hepimiz farkındayız. Peki ben bir domain hijacking yani domain hırsızlığı yaptım bu durumda kazancım ne oluyor ?
Örneğin www.abcd.com.tr sitesinin bir çok müşterisi var ya da bir çok tık alıyor. Ben domain hırsızlığı yaptığım zaman client’lar sayfada benim görmemi istediğim şeyi görüyorlar aslında böylelikle oltamala saldırısı yapabilirim. Siteye giren müşteriyi zararlı sayfalara yönlendirerek daha büyük hasarlar verebilirim.
Diğer bir senaryo üzerinde duracak olursak gene trafiği çok olan bir web sitem var. Domain saldırısı gerçekleşti ve kötü niyetli hackerlar kullanıcıya bu web sitenin hacklendiğine dair bir mesaj gösteriyor. Bu hareket web sitesinin itiabarının zedelenmesine neden olacaktır. Trafik, para ve belki de müşteri kaybetmesine neden olabilir.
Nasıl korunabiliriz ?
İlk olarak domain aldığımız sitenin güvenilir olması geliyor. İkinci aşama ise who is bilgisinin gizlenmesi. Who is bilgisinin gizlenmesi ile domain kontrol edildiği zaman sizin e-posta adresiniz çıkmaz. Bu tür küçük şeyler sizi olası bir saldırıdan ve belki de büyük maliyetlerden kurtarabilir. İki aşamalı kimlik doğrulama ile hackerlar doğru e-posta ve şifre kombinasyonunu bulsalar dahi size bilgi mesajı ya da maili geleceği ve bununla giriş yapmanız isteneceği için bu senaryoyu da böyle engellemiş oluruz.
Geçtiğimiz günlerde yapılan vakayı inceleyelim.
Yönlendirme ilk olarak 19 Mart günü saat 17.36.51’de görülüyor. Ardından diğer alan adlarının yönlendirmeleri gerçekleştiriliyor. Yaklaşık 3–4 saat sonra aksiyonlar alınıyor.
19 Mart tarihinde çeşitli bankaların “com” uzantılı alan adlarını ve havayolu şirketinin alan adını hedef alan bir saldırı gerçekleşti. Bu saldırı neticesinde yaklaşık 3–4 saat ilgili alan adları saldırganların bıraktığı mesaj ile açıldı. Saldırgan grubun bilindiği kadarı ile sadece hacktivizm odaklı mesaj bırakması, çok daha ciddi riskler doğurabilecek bir saldırı tipinin etkisini azaltmış oldu. Bu nedenle analiz edildiği kadarıyla ve yapılan açıklamalardan anlaşıldığı kadarı ile bir veri sızıntısının olmadığı sadece hacktivist bir mesaj iletildiği görüldü.
Kaynakça
=> Wikipedia
=> SecureFuture Blog
=>Privia Security
