İş e-postalarınız için özel bir alan adına sahip olmak, gmail.com veya outlook.com gibi genel e-posta adreslerinin sağlayamayacağı düzeyde profesyonellik ve güvenilirlik katar.
Önemli Noktalar
- Kimlik avının aksine, pharming, DNS sistemlerini veya cihaz ana bilgisayar dosyalarını bozarak çalışır; böylece doğru bir adres yazıldığında kullanıcılar otomatik olarak sahte sitelere yönlendirilir.
- İki ana pharming türü vardır: DNS zehirlenmesi, birçok kullanıcıyı aynı anda etkileyen paylaşımlı altyapıyı hedef alır; ana bilgisayar dosyası manipülasyonu ise kötü amaçlı yazılım aracılığıyla bireysel cihazları hedef alır.
- Her zaman geçerli HTTPS sertifikalarını kontrol edin ve URL'lerdeki ince düzensizliklere dikkat edin, çünkü kimlik avı siteleri, meşru siteleri görsel olarak taklit etseler bile, uygun güvenlik sertifikalarına sahip olmayabilirler.
Tarayıcınızı açıyorsunuz, bankanızın web adresini dikkatlice yazıp enter tuşuna basıyorsunuz. Sayfa tam olarak doğru görünüyor. Aynı logo. Aynı düzen. Aynı giriş kutusu. Hiç düşünmeden kullanıcı adınızı ve şifrenizi giriyorsunuz. Daha sonra, bunun sizin bankanız olmadığını ve bilgilerinizin zaten başka birinin elinde olduğunu öğreniyorsunuz.
İşte bu pharming. İnternet trafiğinizi sayfa yüklenmeden önce yönlendiren ve sizi gerçek siteye tıpatıp benzeyecek şekilde tasarlanmış sahte bir siteye sessizce gönderen bir saldırı türü. Şüpheli bir bağlantıya tıklamanızı sağlamaya çalışan kimlik avının aksine, pharming bariz bir hataya bağlı değildir. Doğru adresi yazabilir, şüpheli e-postalardan kaçınabilir, hatta URL'yi iki kez kontrol edebilirsiniz ve yine de farkında olmadan yanlış yere gidebilirsiniz.
İlaç ticaretinin nasıl işlediğini anlamak, ince uyarı işaretlerini fark etmeyi ve bilgilerinizin ifşa edilmeden önce korunması için adımlar atmayı kolaylaştırır.
Pharming Nedir?
Pharming, kullanıcıları meşru web sitelerinden sahte kopyalarına yönlendiren, altyapının ilk ele geçirilmesinin ötesinde herhangi bir kullanıcı eylemi veya aldatma gerektirmeyen bir siber saldırı türüdür. Terim, saldırganların kimlik bilgilerini ve hassas verileri toplu olarak nasıl topladığını yansıtan "phishing" ve "farming" kelimelerinin birleşiminden oluşmaktadır. Pharming, bireyleri tek tek kandırmak yerine, web trafiğini yönlendiren sistemleri manipüle ederek birçok kullanıcıdan aynı anda bilgi toplamalarına olanak tanır.
“mybank.com” gibi bir web adresi yazdığınızda, cihazınız bu web sitesinin internette nerede bulunduğunu doğrudan bilemez. İnsan tarafından okunabilir alan adını, gerçek sunucuyu bulan sayısal bir IP adresine çevirmek için bir Alan Adı Sistemi (DNS) sunucusuna sorgu gönderir. Pharming, bu çeviri sürecini bozarak, meşru IP adreslerinin yerine saldırgan tarafından kontrol edilen IP adreslerini koyar.
Kullanıcılar, şüpheli bağlantılar veya uyarılar aracılığıyla değil, kendi doğru navigasyon yöntemleriyle sahte sitelere ulaşırlar. Güvenlik sertifikaları ve URL'deki ince ayrıntılar dikkatlice incelenmedikçe, genellikle bir şeylerin yanlış olduğuna dair görsel bir işaret olmaz.
Pharming Nasıl Çalışır?
Pharming, gerek altyapı düzeyinde gerekse bireysel cihazlarda, her web sitesi ziyaretinin temelini oluşturan DNS çözümleme sürecini istismar eder.
Her web sitesi, sunucu konumunu belirten sayısal bir IP adresinde (örneğin 203.0.113.42) bulunur. DNS sunucuları, alan adlarını (mybank.com gibi) IP adreslerine çeviren veritabanları tutar. Bir adres yazdığınızda, tarayıcınız DNS'ye sorgu gönderir, IP adresini alır ve o sunucuya bağlanır.
Pharming saldırıları bu süreci iki noktadan birinde bozar: birçok kullanıcıya hizmet veren DNS sunucuları veya DNS sunucularına danışmadan önce yerel çeviriler gerçekleştiren bireysel cihazlardaki host dosyaları.
Sahte web siteleri neden meşru görünüyor?
Pharming siteleri aldatmak için tasarlanmıştır. Saldırganlar, meşru sitelerin HTML, CSS, resim ve işlevselliğini kopyalayan replikalar oluştururlar. Aynı renk şemalarını, düzenleri ve marka öğelerini kullanırlar. Giriş formları kimlik bilgilerini kabul eder ve bazen de bilgileri ele geçirdikten sonra kullanıcıları gerçek siteye yönlendirir, böylece kurbanlar hiçbir şey olduğunu anlamazlar.
İlaçla Pazarlama Saldırılarının Türleri
Pharming saldırıları, DNS bozulmasının nerede meydana geldiğine ve kaç kullanıcının etkilendiğine bağlı olarak iki ana kategoriye ayrılır.
DNS tabanlı ilaç üretimi
DNS tabanlı saldırılar, birçok kullanıcıya hizmet veren paylaşımlı altyapıyı hedef aldığından, ölçek açısından daha tehlikeli bir kategori oluşturmaktadır.
DNS önbellek zehirlenmesi
Saldırganlar, DNS sunucu yazılımındaki güvenlik açıklarından yararlanarak sunucu önbelleklerine yanlış kayıtlar yerleştiriyor. Önbelleğe alındıktan sonra, yanlış çeviri önbellek süresi dolana veya manuel olarak temizlenene kadar kalıyor ve bu durum, söz konusu DNS sunucusunu kullanan herkesi saatlerce veya günlerce etkileyebiliyor.
Bu saldırı türü 1990'lardan beri biliniyor, ancak DNS altyapısındaki güvenlik açıkları keşfedilmeye devam ediyor. 2008'deki Kaminsky güvenlik açığı, DNS'deki temel zayıflıkları ortaya çıkararak büyük ölçekte önbellek zehirlenmesine olanak sağladı ve sektör genelinde acil yama çalışmalarını zorunlu kıldı. O zamandan beri benzer güvenlik açıkları bulundu.
Kayıt kuruluşu düzeyinde DNS ele geçirme
Alan adı kayıt şirketlerine (alan adı kayıtlarını yöneten şirketler) erişim sağlayan saldırganlar, meşru alan adlarının resmi DNS kayıtlarını değiştirebilir ve mybank.com'u yalnızca önbellekleri zehirlemek yerine yetkili düzeyde saldırganın kontrolündeki sunuculara yönlendirebilirler.
Bu saldırının gerçekleştirilmesi daha zordur ancak yalnızca belirli bir DNS sunucusunu kullananları değil, dünya çapındaki tüm kullanıcıları etkiler. Yüksek profilli alan adı ele geçirme olayları, tespit edilip geri alınmadan önce büyük kuruluşların trafiğini yönlendirmiştir.
ISS düzeyinde yönlendirme
Güvenliği ihlal etmiş internet servis sağlayıcıları veya kötü niyetli internet servis sağlayıcıları, DNS sorgularını şeffaf bir şekilde yönlendirebilir ve bu durum, bireysel cihazlara veya harici DNS sunucularına dokunmadan tüm müşterileri etkileyebilir.
Host dosyasına dayalı ilaç üretimi
Host dosyası saldırıları, paylaşılan altyapı yerine bireysel cihazları hedef alır; bu da saldırıların yaygınlığını sınırlar ancak daha az deneyimli saldırganlar için erişilebilir hale getirir.
Kötü amaçlı yazılım kaynaklı değişiklik
Bilgisayarları enfekte eden virüsler, Truva atları ve diğer kötü amaçlı yazılımlar genellikle, yüklerinin bir parçası olarak hosts dosyasını değiştirme işlevini de içerir. Değiştirildikten sonra, enfekte olmuş cihaz, herhangi bir DNS sunucusunun ne dediğine bakılmaksızın, hedef alan adlarını sürekli olarak saldırganın kontrolündeki sitelere yönlendirir.
Sosyal mühendislik kurulumu
Kullanıcılar, e-posta ekleri, sahte yazılım indirmeleri veya web sitesi bulaşmaları yoluyla, hosts dosyalarını doğrudan değiştiren komut dosyaları veya yazılımlar çalıştırmaya kandırılabilirler. Sunucu erişimi gerektiren DNS zehirlenmesinin aksine, hosts dosyası saldırıları, kullanıcıyı kötü amaçlı kod çalıştırmaya kandırabilen herkes tarafından gerçekleştirilebilir.
İlaçla Pazarlama Saldırısının Yaygın Belirtileri
Pharming, görünmez olacak şekilde tasarlanmıştır, ancak bazı uyarı işaretleri, sahte bir siteye yönlendirilmiş olabileceğinizi gösterir.
Web sitesi ve güvenlik sertifikası sorunları:
- HTTPS yok veya sertifika geçersiz: Tarayıcıda "Bağlantınız gizli değil" gibi bir uyarı görünüyor veya kilit simgesi eksik ya da bir hata veriyor. Pharming siteleri sıklıkla sertifika doğrulamasında başarısız oluyor.
- Sertifika yanlış kuruluşa düzenlenmiş: Kilit simgesine tıklayın ve sertifikayı inceleyin; sertifika, ziyaret ettiğiniz sitenin ait olduğu kuruluşa ait olmalı, bilinmeyen bir kuruluşa ait olmamalıdır.
- HTTPS yerine HTTP: Yasal bankacılık, finans ve hesap yönetimi siteleri her zaman HTTPS kullanır; şifrelenmemiş HTTP, hassas siteler için ciddi bir uyarı işaretidir.
URL düzensizlikleri:
- Yazarken fark etmediğiniz ince alan adı farklılıkları: mybank.com yerine mybank-secure.com
- Adres çubuğunda beklenmedik port numaraları (mybank.com:8080)
- URL'de alan adları yerine IP adresleri
Davranışsal anormallikler:
- Tanıdık siteler birdenbire biraz farklı görünüyor: düzen değişiklikleri, logo değişiklikleri, eksik öğeler.
- Hatırladıklarınızla uyuşmayan giriş sayfaları.
- Sitenin normalde asla istemediği bilgilerin istenmesi (örneğin, normalde sorulmayan bir sayfada güvenlik soruları sorulması)
- Sayfaların alışılmadık derecede yavaş yüklenmesi veya beklenmedik şekilde davranması
Giriş yaptıktan sonra ortaya çıkan sorunlar:
- Kimlik bilgilerini girdikten hemen sonra tekrar giriş yapmanız isteniyor.
- Bir siteyi ziyaret ettikten sonra olağandışı hesap aktivitesi veya yetkisiz işlemler
- Başlatmadığınız parola değişikliği bildirimleri
Teknik uyarı işaretleri:
- Antivirüs yazılımı, DNS değişiklikleri veya host dosyası değişiklikleri hakkında uyarı verir.
- Tarayıcıda daha önce güvenilen sitelerde sertifika hatalarına ilişkin uyarılar
- DNS anormalliklerini tespit eden ağ güvenliği araçları
İlaç Üretiminin Riskleri ve Sonuçları
Başarılı pharming saldırıları, finansal, gizlilik ve kurumsal boyutlarda ciddi ve genellikle uzun süreli zararlara yol açmaktadır.
Mali hırsızlık
Pharming yoluyla bankacılık kimlik bilgilerinin çalınması, doğrudan hesap erişimine olanak tanır. Saldırganlar ele geçirdikleri hesaplara giriş yapar, para transferleri başlatır, tasarrufları tüketir ve mağdurlar bir şeylerin ters gittiğini anlamadan önce alışveriş yaparlar. Pharming'den kaynaklanan mali dolandırıcılıktan kurtulmak, özellikle uluslararası para transferleri söz konusu olduğunda, zor olabilir.
Sahte e-ticaret sitelerinde ele geçirilen ödeme kartı bilgileri, dolandırıcılık amaçlı alışverişlere ve kart kopyalamaya olanak tanıyarak, kartlar iptal edilip yenileriyle değiştirilene kadar zararların devam etmesine yol açar.
Kimlik bilgilerinin çalınması ve hesap ele geçirilmesi
Ele geçirilen giriş bilgileri nadiren tek bir hesapla sınırlı kalır. Birçok kişi şifrelerini birden fazla hizmette yeniden kullanır, bu nedenle çalınan bir bankacılık şifresi e-posta, bulut depolama, sosyal medya ve daha fazlasına da erişim sağlayabilir. Buradan itibaren, saldırganlar şifre sıfırlamalarını tetikleyebilir ve bağlantılı hesaplar arasında adım adım ilerleyerek tek bir güvenlik açığını çok daha büyük bir ele geçirmeye dönüştürebilirler.
Kimlik Hırsızı
Pharming yoluyla elde edilen isimler, adresler, sosyal güvenlik numaraları ve doğum tarihleri gibi kişisel bilgiler, kimlik hırsızlığı yapmak için kullanılabilir. Bu veriler açığa çıktığında, suçlular sahte hesaplar açabilir, yanlış vergi beyannameleri verebilir veya mağdurun adına krediyi kötüye kullanabilir. Maddi zararın tespit edilmesi ve tamamen çözülmesi yıllar alabilir.
İşletme ve organizasyonel etkiler
Pharming saldırılarına hedef olan kuruluşlar operasyonel aksama, müşteri verilerinin ifşa edilmesi ve düzenleyici sonuçlarla karşı karşıya kalır. Bir şirketin kendi alan adını etkileyen başarılı bir DNS ele geçirme saldırısı, tüm müşterileri sahte sitelere yönlendirebilir ve şirketin kendisi tehlikeye girmese bile güveni zedeleyebilir. Kurtarma işlemi DNS yayılma süresi gerektirir ve bu da kullanıcıların hangi sitelerin meşru olduğu konusunda belirsizlik yaşamasına neden olur.
Uzun vadeli itibar kaybı
Müşterileri pharming yoluyla mağdur olan işletmeler, saldırganlar sorumlu olsa bile, itibar kaybıyla karşı karşıya kalırlar. Özellikle finansal veya kişisel verileri etkileyen güvenlik olaylarından sonra müşteri güvenini yeniden inşa etmek zordur.
Spam gönder Kimlik avı ve pharming sıklıkla birlikte kullanılır: kimlik avı e-postaları, kullanıcıları pharming tarafından ele geçirilmiş URL'lere yönlendirir ve maksimum etki için dağıtım mekanizmalarını birleştirir.
İlaçla Pazarlamadan Kendinizi Nasıl Koruyabilirsiniz?
İlaç satışına karşı korunma, teknik önlemler, davranış alışkanlıkları ve kurumsal güvenlik uygulamaları gerektirir.
Güvenli DNS hizmetlerini kullanın.
Standart internet servis sağlayıcısı (ISP) tarafından sunulan DNS sunucuları minimum güvenlik sunar. DNS Güvenlik Uzantıları (DNSSEC) uygulayan ve şifrelenmiş DNS protokolleri kullanan güvenlik odaklı DNS sağlayıcılarına geçmek, zehirlenme riskini azaltır. DNSSEC, DNS kayıtlarını dijital olarak imzalayarak saldırganların sahte girişler eklemesini önemli ölçüde zorlaştırır.
Kimlik bilgilerini girmeden önce HTTPS sertifikalarını doğrulayın.
Bankacılık, e-posta veya finansal hizmetler gibi hassas sitelere giriş yapmadan önce HTTPS sertifikasını doğrulayın:
- Kilit simgesinin göründüğünü ve herhangi bir uyarı göstermediğini doğrulayın.
- Kilit simgesine tıklayın ve sertifikanın doğru kuruluşa verildiğini doğrulayın.
- Sertifikanın geçerli ve süresinin dolmamış olduğundan emin olun.
Sertifika hatası gösteren sayfalarda, site doğru görünse bile asla giriş bilgilerinizi girmeyin.
Cihazlarınızı ve yazılımlarınızı güncel tutun.
İşletim sistemleri, tarayıcılar ve antivirüs yazılımları için güvenlik yamaları, kötü amaçlı yazılımların ana bilgisayar dosyalarını değiştirmek veya DNS sorgularını ele geçirmek için kullandığı bilinen güvenlik açıklarını giderir. Otomatik güncellemeleri etkinleştirmek, yamaların manuel izleme gerektirmeden hızlı bir şekilde uygulanmasını sağlar.
Güvenilir antivirüs ve kötü amaçlı yazılım önleme yazılımları kullanın
Güvenlik yazılımı, ana bilgisayar dosyası değişikliklerini, şüpheli DNS değişikliklerini ve ana bilgisayar tabanlı kimlik avı saldırılarını mümkün kılan kötü amaçlı yazılımları tespit eder. Sistem değişikliklerini izleyen gerçek zamanlı koruma, hasar meydana geldikten sonra değil, değişiklikler gerçekleştiği anda bunları yakalar.
İki faktörlü kimlik doğrulamayı etkinleştir (2FA)
Kimlik bilgilerinizi ele geçiren bir pharming sitesi olsa bile, iki faktörlü kimlik doğrulama (2FA), saldırganların ikinci doğrulama faktörü olmadan hesaplara erişmesini engeller. Zamana dayalı tek kullanımlık şifreler (TOTP) ve donanım güvenlik anahtarları özellikle etkilidir çünkü kimlik bilgilerini bir pharming sitesinden ele geçiren saldırganlar tarafından tekrar kullanılamazlar.
Yönlendirici DNS ayarlarını izleyin.
Ev yönlendiricileri, yaygın bir siber saldırı hedefidir. Kötü amaçlı yazılımlar veya yönlendirici yönetici kimlik bilgilerini ele geçiren saldırganlar, tüm ev trafiğini yönlendirmek için DNS ayarlarını değiştirebilir. Yönlendirici DNS yapılandırmasını periyodik olarak kontrol ederek, saldırganlar tarafından kontrol edilen sunucular yerine, hedeflediğiniz DNS sağlayıcısına işaret ettiğinden emin olun.
URL doğrulamasını dikkatlice uygulayın.
Kimlik bilgilerinizi girmeden önce URL'leri dikkatlice kontrol edin. Özellikle herhangi bir kaynaktan gelen bağlantıları takip ettikten sonra. Alan adı varyasyonlarına dikkat edin, HTTPS kullandığınızdan emin olun ve oturum açmadan önce sertifikayı doğrulayın.
E-posta kimlik doğrulamasını uygulayın.
SPF kayıtlarının doğru yapılandırılması DMARC, genellikle pharming kampanyalarına eşlik eden e-posta tabanlı saldırıları önlemeye yardımcı olur ve kullanıcıları pharming tarafından ele geçirilmiş sitelere yönlendiren kimlik avı e-postalarını azaltır. E-posta altyapısını ve web altyapısını birlikte savunmak, saldırganların en sık kullandığı birleşik saldırı vektörlerini ortadan kaldırır.
Bakımı e-posta listelerini temizle kuruluşun maruz kaldığı riskleri azaltır geri dönen e-postalar ve saldırganların hedefli pharming kampanyaları başlatmadan önce keşif amacıyla kullanabileceği geçersiz kişiler.
Yukarı tamamlayan
Pharming, DNS sistemlerini bozarak veya cihaz ana bilgisayar dosyalarını manipüle ederek, şüpheli bir bağlantı veya açık bir aldatma gerektirmeden kullanıcıları meşru web sitelerinden sahte kopyalara yönlendirir. Kullanıcılar doğru adresleri yazarak mükemmel şekilde kopyalanmış sahte sitelere ulaşabilir ve hiçbir şeyin ters gittiğini fark etmeden kimlik bilgilerini, finansal verilerini ve kişisel bilgilerini kaybedebilirler.
Koruma katmanlar gerektirir: DNSSEC'i uygulayan güvenli DNS hizmetleri, kimlik bilgilerini girmeden önce dikkatli HTTPS sertifikası doğrulaması, güncellenmiş cihazlar ve güvenlik yazılımları, parolalar ele geçirildiğinde bile geçerliliğini koruyan iki faktörlü kimlik doğrulama ve ağ düzeyinde DNS değişikliğini önleyen yönlendirici güvenliği.
Cihazınızın ve yönlendiricinizin DNS ayarlarını, DNSSEC'i ve şifrelenmiş DNS sorgularını destekleyen, güvenliğe odaklı bir sağlayıcıya hemen geçirin. Ardından, tüm finansal, e-posta ve hassas hesaplarınızda iki faktörlü kimlik doğrulamayı etkinleştirerek, saldırganların işlerini tamamlamak için yalnızca ele geçirdikleri kimlik bilgilerinin yeterli olmamasını sağlayın.
Web güvenliğinin yanı sıra güçlü e-posta güvenliğini de sağlayın. Kullanın Geri Dönme E-posta listelerinizi temiz tutmak ve gönderim altyapınızı sağlıklı tutmak, genellikle pharming kampanyalarına eşlik eden kimlik avı ve spam riskini azaltır. Doğrulanmış alıcılara ulaşan güvenli bir e-posta ortamı, pharming gibi web tabanlı saldırılara karşı koruma sağlayan güvenlik duruşunun bir parçasıdır.
