Blockchain Güvenliği: Oltalama (Phishing)
Oltalama saldırıları siber güvenlik alanında en sık karşılaşılan saldırılardan birisidir. Oltalama saldırıları blok zincir ile bağlantılı değildir. Fakat blok zincirinin beraberinde getirdiği kripto paralar ve sanal mülkiyet saldırganlar için büyük bir hedef kaynağı olmuştur. Bu yazımızda sizlere oltalama saldırılarından, çeşitlerinden ve alabileceğiniz önlemlerden bahsedeceğiz.
Oltalama (Phishing) Nedir?
Oltalama saldırılarında hedef kullanıcılar ve firmalardır. Bu saldırılarda amaçlanan kullanıcıların bir şekilde kandırılıp sistemlerine, varlıklarına veya bilgilerine erişmektir.
Oltalama saldırılarının birçok çeşidi vardır. Saldırgan hedefine uygun saldırı çeşidini uygulayarak istediğini elde etmeye çalışır.
Oltalama Saldırılarının Çeşitleri
DNS Hijacking/DNS Spoofing
DNS ele geçirme(DNS Hijacking), ayrıntıların fark edilmesi için keskin bir göz gerektiren, fark edilmesi zor olan, dolandırıcılıklardan biridir.
DNS Hijacking, kimlik doğrulama gerektiren internet sitelerinde gerçekleştirilir. Saldırgan kimlik doğrulamasının yapıldığı internet sitesinin kullanıcı ara yüzünü sahte bir ara yüz ile değiştirir.
Şüphelenmeyen kullanıcılar, oturum açma bilgilerini ve özel anahtarlarını sahte web sitesinde kullanabilir ve böylece kripto varlıklarını tehlikeye atabilir.
DNS Hijacking ile kripto dolandırıcılıklarının en son örneği, iki popüler DeFi çözümünü içerir. Cream Finance ve PancakeSwap, kayıpla ilgili net ayrıntılar olmasa da bir DNS Hijacking saldırısına maruz kaldı. — Kaynak
DNS Hijacking saldırılarına karşı nasıl güvende kalabilirsiniz?
- Bir VPN kullanarak kripto alanındaki DNS Hijacking saldırılarıyla başa çıkabilirsiniz. Yönlendirici ayarlarını atlayarak şifreli bir kanal üzerinden bilgi aktarımını sağlamaya yardımcı olabilir.
- Web sitesinin güvenilir bir sertifikaya sahip olduğundan emin olun ve bir web sitesine güvenli olmayan bağlantılarla ilgili uyarılara dikkat edin.
- DNS Hijacking saldırılarında kripto varlıklarınıza yönelik risklerden kaçınmak için çevrimdışı bir donanım cüzdanına güvenebilirsiniz.
E-mail phishing
Muhtemelen en yaygın olarak bilinen phishing biçimi olan bu saldırı, meşru bir kuruluştan geliyormuş gibi görünen bir e-posta yoluyla hassas bilgileri çalma girişimidir.
SEO phishing
Yaygın olarak SEO phishing veya SEO Truva Atları olarak bilinen arama motoru oltalaması, bilgisayar korsanlarının arama motoru optimizasyonlarını kullanarak bir aramada en çok aranan kişi olmak için çalıştıkları bir yöntemdir.
Arama motorunda görüntülenen bağlantıya tıklamak, sizi orijinaliyle aynı olan kötü amaçlı web sitesine yönlendirir. Oradan, saldırganlar siteyle etkileşim kurduğunuzda ve hassas veriler girdiğinizde bilgilerinizi çalabilir.
Phishing Customer Support
Herhangi bir Discord kanalında veya Twitter’da zaman geçirdiyseniz ve topluluktan yardım istediyseniz, sahte müşteri temsilcilerinden/moderatörlerden mesajlar almışsınızdır.
Saldırganlar gönderdiğiniz yardım mesajlarına hızlıca cevap verip kendilerini temsilci/moderatör gibi tanıtır ve işlemleri hızlandırmak için secret phase dediğimiz özel ifadelerinizi veya hesap bilgilerinizi isteyebilir.
Herhangi bir özel bilginin saldırganla paylaşımıyla varlıklarınızı kaybedebilirsiniz.
Alabileceğiniz önlemler:
- Doğrulanmış bir moderatör bile olsa secret phase(gizli ifadeleriniz)’i kimse ile paylaşmayınız.
- Yardım istediğiniz kişilerin yetkili moderatör olup olmadığını önceki konuşma kayıtlarından doğrulayınız.
- Genel kanallardan yardım istemek yerine discord kanallarındaki ticket özelliğini kullanınız.
Spear Phishing
Veri koruma ajansı Barracuda Networks tarafından hazırlanan bir rapora göre, hedef odaklı phishing saldırılarının sayısı artıyor.
Spear phishing saldırıları, bilgisayar korsanlarının özelleştirilmiş mesajlarla belirli kişilere odaklanmasını içerir.
Örneğin, sahte bir e-postanın popüler bir kuruluştan veya kişiden geldiği varsayılmaktadır. Saldırganın bu tür kripto phishing dolandırıcılıklarındaki amacı, kurbanları kandırarak hassas bilgileri ifşa etmeleridir.
Bazı durumlarda saldırganlar, kurbanları kötü amaçlı yazılımla dolu bir web sitesine yönlendiren bağlantılara tıklamaları için de kandırabilir. Kripto söz konusu olduğunda, hedef odaklı phishing saldırıları, ünlü cüzdan sağlayıcılarından gelen e-postalar veya kısa mesajlar şeklinde gelebilir.
Örneğin, bir kripto cüzdanı sağlayıcısından gelen ve kullanıcılardan seed phase güncellemelerini isteyen bir e-posta veya kısa mesaj. Parolanızı veya seed ifadenizi güncellemek için bağlantıya tıkladığınızda, kimlik bilgilerinizi bilgisayar korsanına verirsiniz.
Kriptoda hedef odaklı phishing dolandırıcılıkları, kullanıcıları cazip promosyonlara yönlendirmeyi de içerebilir.
Hedef odaklı phishing gibi kripto dolandırıcılıklarından kaçınmanın bir yolu var mı?
Kuruluşlar, kripto varlıklarını hedef odaklı phishing saldırılarına karşı korumak için birden fazla çözümü deneyebilir:
- İletişim modellerini belirlemek için makine öğrenimini kullanma.
- Hesap devralma önlemlerini kolaylaştırmak için yapay zeka araçları.
- İyileştirilmiş çalışan farkındalığı ve raporlama temelleri hakkında eğitim.
Bireyler, spear-phishing gibi kripto phishing saldırılarına karşı güvenlik için aşağıdaki adımları uygulayabilir:
- İki faktörlü kimlik doğrulamayı uygulayın.
- Korumasız Wi-Fi ağlarından kaçının.
- Gönderen e-posta adreslerinin ve bağlantılarının dikkatli bir şekilde doğrulanması.
- Gönderenlerin gerçekliğini doğrulama.
- Oturum açma kimlik bilgilerini veya parolalarını isteyen e-postalardan kaçının.
Sahte Tarayıcı Uzantıları
Bu uzantılar, yasal uzantılara benzeyecek şekilde tasarlanmış kötü amaçlı eklentilerdir.
Genellikle oturum açma bilgileri, kripto cüzdan gizli ifadeleri(secret phase) ve kredi kartı numaraları gibi hassas bilgileri çalmak için kullanılırlar. Ayrıca kurbanları sahte web sitelerine yönlendirebilir, bilgisayarlarına kötü amaçlı yazılım yerleştirebilir veya istenmeyen reklamlar görüntüleyebilirler.
Sahte Tarayıcı Uzantılarına Karşı Alabileceğiniz Önlemler
- Tarayıcınız tarafından onaylanmış olan eklentileri kullanmaya özen gösterin.
- Tarayıcınızın faaliyetlerini izleyen bir anti-virüs programı/eklentisi kullanın.
Ice phishing attack
Ice phishing, Microsoft’un bu yılın başlarında endişelerini dile getirdiği ve saldırganın kripto varlıklar üzerinde kontrol sahibi olabilmesi için bir kullanıcıyı kötü niyetli bir işlemi imzalaması için kandırmayı içeren, blok zinciri tabanlı bir saldırıdır.
Kullanıcıları siber saldırganlar tarafından belirteç kullanımına izin veren işlemleri imzalamaya zorlamak için tasarlanmış yinelenen etkinliklere atıfta bulunur. Token kullanımının onayını devretmek, özellikle DeFi’de kullanılanlar olmak üzere akıllı sözleşmelerle ilgili yaygın bir işlem türüdür.
Bir ice-phishing saldırısında, tehdit aktörlerinin tek yapması gereken sözleşmeli harcama yapanın adresini değiştirerek saldırganın adresine çevirmek.
Bu teknik, mevcut kullanıcı arayüzlerinin sözleşmenin tahrif edilmesine işaret edebilecek tüm ilgili bilgileri açıklamaması nedeniyle etkili olmaya devam etmektedir.
Ice phishing sözleşmesi/onayı imzalandıktan sonra, saldırganlar ilgili finansal kaynaklara erişebilir. Mevcut ice-phishing saldırganları, alışılmış bir şekilde belirli bir süre boyunca onay toplar ve ardından tüm mali kaynakları bir kerede tüketir.
BadgerDAO Ice-phishing nedeniyle 120 Milyon$ kaybetti. — Kaynak
Sahte Uygulamalar
Bilgisayar korsanları, belirli bir projenin kullanıcılarının bir ihtiyacı olduğunu görür ve topluluktaki bu kullanıcıların tam olarak ihtiyaç duyduğu şeyi yapan bir uygulama sunarak bu ihtiyacı giderir.
Bu uygulamaların tek amacı kullanıcıların cüzdanlarını boşaltmaktır.
Bilgisayar korsanları bu platformlara güvenli görünen bir uygulama gönderir ve onaylandıktan sonra bunları kimlik avı uygulamalarına dönüştürürler.
Uygulamayı, projenin web sitesi tarafından sağlanan bir bağlantıdan indirmek en iyisidir.
Şu anda Google Play ve Apple App Store’dan indirilebilecek çok fazla sahte uygulama var.
Sosyal Medya Hesapları Vasıtasıyla Oltalama
Günümüzün en yaygın saldırıları, Web3 topluluğunun birincil iletişim ortamı olan Twitter ve Discord’a odaklanmaktadır.
Güven kazanmak ve sizi kötü niyetli bir bağlantıya tıklamaya veya rugpull projelerine yatırım yapmaya ikna etmek için ünlü kişilerin/projelerin veya aile üyelerinin sahte sosyal medya hesaplarını üreterek kullanıcıları kandırmaya çalışırlar.
Discord’da bilgisayar korsanları, phishing bağlantılarını discord sunucusuna göndermek için güvenliği ihlal edilmiş botlar kullanır ve bundan şüphelenmeyen kullanıcıları bunun proje ekibinden gelen gerçek bir mesaj olduğuna inandırmak için kandırır.
Mayıs 2022'de OpenSea’de bir saldırı gerçekleşti. Kötü amaçlı bir gönderi, kullanıcıların OpenSea ve YouTube’un işbirliği yaptığını düşünmesine neden oldu. Bot, üyeleri ortaklık için sınırlı sayıda basılmış bir NFT geçiş kartıyla baştan çıkardı.
Alabileceğiniz önlemler:
- Discord’da istenmeyen mesajları engelleyen özel sohbeti kapatın.
- Sosyal medyada veya discordda gönderilen bağlantılara tıklamayın.
- Sosyal medyadan veya discorddan gönderilen dökümanları indirmeyin.
Airdrop Phishing
Airdrop’lar, kuruluşların kullanıcıları ürünlerini, hizmetlerini veya platformlarını kullanmaya teşvik etmek için kullandıkları bir tür pazarlama veya tanıtım aracıdır.
Bedava paranın çekiciliği ve FOMO (kaçırma korkusu) söz konusu olduğundan, airdrop’lar ilk kripto yatırımcıları arasında popüler hale geldi.
Bununla birlikte, phishing kampanyaları yürütmek için airdrop’lardan da yararlanılabilir.
Örneğin, kullanıcılar bir airdrop yoluyla rastgele bir kripto para biriminin cüzdanlarına eklendiğine dair bir e-posta, SMS veya sosyal medya mesajı alabilirler. Kurban daha sonra kripto paranın satılabileceği başka bir borsaya yönlendirilir. Site, kurbanlardan yalnızca tüm paralarının çekildiğini öğrenmek için cüzdanlarını bağlamalarını ister.
Kurban cüzdanını siteye bağladığında tüm varlıkları saldırganlar tarafından ele geçirilir.
Alabileceğiniz önlemler:
- Airdrop vasıtasıyla para kazanmak istiyorsanız tamamen ayrı bir cüzdan oluşturun. Varlıklarınızın bulunmadığı bir cüzdana ufak miktarda(işlem ücreti için) kripto para gönderin. Sonrasında tüm airdrop işlemlerini bu cüzdandan yapın. Böylece ana cüzdanınızdaki varlıklarınızı riske atmamış olursunuz.
Whaling Attack
CEO dolandırıcılığı olarak da bilinen balina avı saldırısı, saldırganlar tarafından bir kuruluştaki kıdemli bir yönetici kılığına girerek kuruluştaki diğer kıdemli veya etkili kişileri doğrudan hedef alarak hassas verileri çalmak veya bilgisayar sistemlerine erişim sağlamak için kullanılan bir yöntemdir.
En yüksek profilli şirketler bile balina avcılığı saldırılarının kurbanı oluyor. Örneğin, Ubiquiti Networks sahtekar bir CEO’nun ödeme talebinden sonra 33 milyon dolar kaybederken, bir Snapchat çalışanı sahte bir e-postadan sonra gizli bordro verilerini paylaştı. Başka bir örnekte, Titanium Blockchain CEO’su PayPal ortaklığı numarası yaparak yatırımcıları 21 milyon dolara kandırdı.
Phishing saldırılarından korunmak için alabileceğiniz genel önlemler:
- Özellikle ekler veya bağlantılar içeriyorsa, e-postalara karşı dikkatli olun. Bir e-postadan emin değilseniz, orijinalliğini doğrulamak için doğrudan gönderenle iletişime geçin.
- Güvenmediğiniz kaynaklardan gelen bağlantılara tıklamayın veya ekleri indirmeyin.
- İşletim sisteminizi ve yazılımınızı güncel tutun.
- Güçlü parolalar kullanın ve parolaları asla farklı hesaplarda yeniden kullanmayın.
- Mümkün olduğunda iki faktörlü kimlik doğrulamayı etkinleştirin.
- Şüpheli görünen web sitelerine karşı dikkatli olun. Emin olmadığınızda, başkalarının bunun sahte olduğunu bildirip bildirmediğini görmek için bir web araması yapın.
- Güvenilir olmayan kaynaklardan tarayıcı uzantıları indirmeyin.
- Özellikle halka açık Wi-Fi kullanıyorsanız, internete bağlanırken bir VPN kullanın.
Gerçekleşmiş Saldırılar ve Kayıplar
- Dünyanın en büyük NFT pazarı OpenSea, bu yılın başlarında 1,7 milyon dolar değerinde Ethereum kaybedilen bir phishing saldırısıyla karşı karşıya kaldı. — Kaynak
- Nisan 2022'de BAYC’nin resmi Instagram adresi hacklendi. Bu sayfadan sahte airdrop bağlantıları paylaşıldı. Bu saldırının sonunda 40 Milyon$ zarar tespit edildi. — Kaynak
- NFT Sanatçısı Beeple’ın Twitter hesabının hacklenmesi sonucunda 438.000$ çalındı. — Kaynak
- BadgerDAO Ice-phishing nedeniyle 120 Milyon$ kaybetti. — Kaynak
