04 Aralık 2008 13:00

Kullanıcıların kötü niyetli internet sitelerine erişimini engellemek için yaratılan anti-phising filtrelerinin başarısı tartışılıyor. Bu tartışmaya neden olan şey Google’ın Firefox için geliştirdiği anti-phising filtresinin masumları da engellemesi...

İnternet kullanıcılarının kötü niyetle hazırlanmış bir siteye yönlenerek kişisel bilgilerini kaybetmelerini önlemek amacıyla Microsoft Internet Explorer 7, Mozilla Firefox 2 ve 3, Safari, Opera ve diğer modern tarayıcılarda sunulan anti-phishing eklentileri, kullanıcıların güvenliğini sağlamak amacıyla geliştirilmiş olsa da, kuru ağacın yanında yaşın da yanmasına neden oluyor.

Fishing (Balık avlamak) ve Password (Şifre) kelimelerinden türetilmiş bir terim olan Phishing, İnternet kullanıcılarının hayatlarına bankalardan gönderilmiş süsü ile gelen e-postalardaki bağlantılara tıklayarak girdi.

En popüler internet sahteciliği yöntemi olan Phishing’i kullanan internet sitelerini belirleme ve bu noktalara olan erişimi önlemek amacıyla Google’ın 2006 yılından beri bir Firefox eklentisi olarak sunduğu ”Google Araç Çubuğu” içindeki Safe Browsing programcığı, kullanıcıların kötü niyetli olmayan sitelere de erişimini “sakıncalı” oldukları nedeniyle engelliyor.

ARAMA MOTORLARI DA FİLTRELEYECEK

Modern tarayıcılarda bulunan anti-phishing filtreleri, filtrelerini açık tutmayan kullanıcıları da korumak amacıyla arama motorlarının da gündeminde ancak, geçtiğimiz aylarda yaşanan bir durum, arama motorlarının otomatik olarak siteleri engelleyebilme gücüne sahip olmalarının ne kadar doğru olduğunu tartışmaya açtı.

Google, kendi arama motoru üzerinde zararlı yazılım (malware), korsan yazılım (warez) içeren sitelerle birlikte potansiyel Phishing tehditi oluşturan sitelere erişimi kısıtlıyor. Kullandığı Anti-Phishing listesine geçtiğimiz ay eklenen mine.nu alan adı bir çok masumun günahını aldı.

Kullanıcıların evlerinde barındırdıkları bilgisayarlara kurdukları sunuculara uzaktan erişmelerini sağlayan popüler dinamik alan adı (Dynamic DNS) servisi DynDNS‘e ait alan adı mine.nu Phishing’le mücadele kapsamında topyekün engellendi.

Suçlu olmadığı halde dünya çapındaki kullanıcılarının kendi sitelerine bağlanırken Google tarafından uyarılmasını aşağılayıcı olarak nitelendiren DynDNS kullanıcıları, gösterdikleri tepkiyle neyse ki çok uzun zaman geçmeden isimlerini aklayabildiler.

mine.nu adresine erişimin kötü niyetli siteyle birlikte topyekün engellenmesi, düşüncede pratik ve kullanışlı olan bu uygulamanın büyük problemlere yol açabileceğini de ortaya koydu.

KURUNUN YANINDA YAŞ DA YANAR

İnternet sitesi sahiplerinin büyük kısmı barındırma hizmetlerini paylaştırılmış sunucular (Shared Hosting) üzerinden alıyor. Bu durum bir sunucu üzerinden kötü niyetli aktiviteler gerçekleştiren tek bir kullanıcı nedeniyle o sunucu üzerindeki bütün alan adlarının kara listelere alınmasına sebep oluyor.

Microsoft Internet Explorer yazılımın 7 ve 8 (beta) sürümlerinde bulunan anti-phishing özelliğinin veri tabanı Microsoft tarafından güncelleniyor, Google’ın veri tabanı ise büyük ölçüde kullanıcıların Google Safe Browsing API ihbar servisine bıraktıkları raporlarla oluşturuluyor. Bununla birlikte sivil toplum kuruluşlarıyla ortak çalışan şirketler http://www.antiphishing.org/ adresi üzerinde örgütlenerek şirketlerin tuttukları veritabanlarını güncel tutmaları için efor sarfediyor.

PHISHING TEKNİKLERİ

Bağlantı manipülasyonu
En çok kullanılan yemleme yöntemi olan Bağlantı manüplasyonu, bir banka, finansal servis sağlayıcı veya kullanıcının hizmet aldığı bir başka şirket tarafından gönderiliyormuş gibi görünen bir e-posta içinde bulunan bağlantıların manipüle edilmesi ile gerçekleştiriliyor. Kullanıcı kendisine gelen e-postada üzerinde oynanmış (www.yalniz.com yerine www.yanliz.com vb.) bağlantıya tıklayarak, tasarımı birebir örtüşen kötü niyetli bir siteye yönlenip kişisel bilgilerini kaybedebiliyor. Anti-phishing filtreleri, uzunca bir süredir özellikle bankacılık şifrelerinin çalınmasına neden olan bu yöntemden güçlü bir korunma sağlasa da, kullanıcıların dikkatli olması gerekiyor.

Site sahteciliği
Bazı yemleme (Phishing) siteleri, siteye girildikten sonra çalıştırılan JavaScript betikleri (kodları) ile adres kutusunda bulunan yere taklit edilen sitenin adresinin bulunduğu görüntü dosyaları (jpg, gif gibi biçimler) gösterebiliyor veya o an adres satırında yazan yazıyı silip, gidilmesi gereken adresi yerleştirebiliyor. Bu durumda kullanıcı aslında başka bir siteyi görüntülediği halde kendisini güvenli bir sitede sanıp korsanların istedikleri bilgiyi kaptırabiliyor.

Saldırganlar ayrıca güvenli görülen bir site üzerinde cross-site scripting (dinamik veriyi kullanarak kullanıcının bilgilerini açığa çıkarma yöntemi) uygulayarak veri çalmayı da başarabiliyor.