Unicode Alan Adları ile Oltalama Saldırıları

Oltalama saldırıları inandırıcılığını arttırmak için yeni nesil yöntemler keşfetmektedir. Günümüzdeki teknik insanları bile avlamayı başaracak kadar inandırıcı ve etkili hedef odaklı oltalama saldırıları gerçekleşmekte. Bu saldırıların etkisi, fidye zararlıları ile paranızı çalmakta, kimlik hırsızlığı yaparak kişisel yada ticari varlığınızı ciddi anlamda zedelemektedir.

İşte bunlardan birini Xudong Zheng isimli güvenlik araştırmacısı keşfetti ve yayımladı.

Bunun bir oltalama sitesi olabileceği söylendiğinde, inanabilir misiniz? Güvenilir bir sertifika otoritesi tarafından imzalı SSL sertifikası var ve alan adında www.apple.com yazıyor, fakat içerik farklı bir web sitesinden yükleniyor ?

Punycode, alan adlarını yabancı karakterlerle kaydedebilmektedir. Yalnızca ASCII karakterlerini kullanarak tek olan alan adı eitekini alternatif bir biçimde dönüştürerek çalışır. Örneğin, “xn--s7y.co” alan adı “短.co” ile eşdeğerdir.

Pek çok Unicode karakterin ortak ASCII karakterlerinden ayırt edilmesi zor olduğu için güvenlik açısından, Unicode alan adları sorunlu olabilmektedir. “Аpple.com” a eşdeğer olan “xn--pple-43d.com” gibi alan adlarını kaydetmek mümkündür. İlk bakışta belli olmayabilir, ancak “аpple.com”, ASCII “a” (U + 0041) yerine Kiril “а” (U + 0430) kullanmaktadır. Bu bir homografi saldırısı olarak bilinmektedir.

Neyse ki modern tarayıcılar, IDN homografi saldırılarını sınırlandıran mekanizmalara sahiptir. Google Chrome’daki IDN sayfası, bir IDN’nin yerel Unicode formunda gösterildiği koşulları ortaya çıkarmaktadır. Bir alan adı etiketi birden çok dilden karakterler içeriyorsa, Chrome ve Firefox’ta Unicode formu gizlenmektedir. Yukarıda açıklandığı gibi “аpple.com” alanı, gerçek “apple.com” ile olan karmaşayı azaltmak için Punycode formunda “xn--pple-43d.com” olarak görünmektedir.

[1] https://www.chromium.org/developers/design-documents/idn-in-google-chrome

Her karakterin yabancı bir dilden benzer bir karakterle değiştirilmesi Chrome’un (ve Firefox’un) homografi koruma mekanizmasını maalesef başarısız kılmaktadır. “xn--80ak6aa92e.com” olarak kaydedilen “аррӏе.com” alan adı, filtreyi yalnızca kiril karakterlerini kullanarak atlar. Çoğu durumda, Chrome ve Firefox’daki yazı tipleri, iki alanı görsel olarak ayırt edilemez hale getirmektedir. Bu program iki karakter kümesi arasındaki farkı göstermektedir. Ancak Internet Explorer ve Safari bu tür durumlarda savunmasız değildir.

Tablo 1. Chrome

[2] https://play.golang.org/p/BzJVWN78pA

Tablo 2. Firefox

Tablo 3. Firefox SSL

Bu hata, 20 Ocak 2017’de Chrome ve Firefox’a bildirildi ve 24 Mart’ta düzeltildi. Chrome ekibi, bu nedenle, 25 Nisan civarında kullanılabilecek düzeltmeyi Chrome 58’e dahil etmeye karar verdi. Bu sorun, kapsamları dahilinde olup olmadığı konusunda kararsız oldukları için, Firefox’ta adsız olarak kalmaya devam etmektedir. Bugzilla konusu, yeniden açıldı ve “ÇÖZÜMLENDİ” diye işaretlendi. “WONTFIX” tekrar açılıp “ikinci düşük” (“sec-low” ) anahtar kelimesi verildi.

IDN tehdit modeli, özellikle tüm betik homografilerini kapsamamaktadır. Çünkü bunlar program bünyesinde algılanamamakta ve “TLD beyaz liste” yaklaşımımız çok sayıda yeni TLD karşısında ölçeklendirilememektedir. Doğru bir anti-spoofing korumasına (.com gibi) sahip olmayan bir kayıt defterinde alan adı satın alıyorsanız, maalesef bütün yazışma homografilerinin kontrol edilmesi ve kayıt ettirilmesi alan adı sahiplerinin sorumluluğundadır.

Firefox kullanıcıları about: config ve network.IDN_show_punycode değerlerini true olarak ayarlayarak bu hataya maruz kalmalarını azaltabilirler. Bu durum, Firefox’u her zaman IDN alanlarını Punycode formunda görüntülemeye zorlayacak ve böylece kötü amaçlı alanların tanımlanmasını mümkün kılacaktır. Bu çözüm reddit’te /u/MARKZILLA sayesinde gerçekleşmiştir.

Virüslerden kaynaklanan hasarları sınırlamanın basit bir yolu daima bir parola yöneticisi kullanmaktır. Genel olarak, kullanıcılar çok dikkatli olmalı ve kişisel bilgileri girerken URL’ye dikkat etmelidir. Firefox’un bu soruna yönelik bir düzeltme yapmasını ummaktayız çünkü bu durum, oltalama konusunda son derece bilinçli kullanıcılar için bile ciddi kargaşaya neden olabilir.

Kaynak: https://www.xudongz.com/blog/2017/idn-phishing/

[3] https://bugzilla.mozilla.org/show_bug.cgi?id=1332714

Kurumunuzu hedef alabilecek bu tür hedef odaklı saldırılara (spear phishing) karşı mevcut durumunuzu ölçmek için Sinara’nın Phishing Simülasyonu servisinden ücretsiz faydalanabilirsiniz