Güncel Yemleme (Phishing) Saldırılarına Dikkat

22 Eylül 2014

Günümüzde internet ve e-postanın milyonlarca kullanıcı tarafından yaygın olarak kullanılıyor olması, kötü niyetli kişi ve grupların da çıkar sağlamaya yönelik hedef noktası haline gelmektedir. Özellikle son dönemlerde ülkemizde e-posta üzerinden kurbanın sistemine zararlı bulaştırarak finansal verileri çalmaya yönelik saldırı çeşitleri çok sık bir şekilde görülmeye başlanmıştır. Buna benzer saldırı örnekleri yakın zamanda Türk Telekom ve Türkiye İş Bankası adları kullanarak ortaya çıkmıştır. Bu yemleme (Phishing) e-postaları Türkiye’de ODTU Teknokentteki COMODO Anti Virüs laboratuvarında incelenmiş ve detayları aşağıda bilginize sunulmuştur.

2014 Ağustos ayı içinde birçok kullanıcının e-posta kutusuna düşen bir bildiri, Türk Telekom adını kullanarak ödenmemiş güncel bir faturanın bildirimini içermekteydi. Daha önceki benzer saldırıların bir kopyası olan bu saldırıda fatura bildirimi son ödeme tarihi 26.08.2014 olan 163,37 TL tutarındaki bir fatura olduğunu belirtip, bu faturaya ulaşmak için gerekli bağlantıları sağlamaktadır.

efatura

E-postanın içeriğindeki bağlantılara tıklayan kullanıcılar, Türk Telekom’a aitmiş gibi bir izlenim bırakan fakat Türk Telekom ile ilgilisi olmayan http://ett.turktelecom.org/ adresine yöneltilerek, buradan zararlı bir dosya indirilmeye zorlanmaktaydı (daha sonra site birkaç gün içinde erişilemez oldu).

efatura2

Sitenin inandırıcılığını artırmak için bir onay mekanizması yerleştirilmiştir. Faturaya ulaşmak için bir onay’dan geçirilen kullanıcılar, sıkıştırılmış bir dosya indirmektedir.

efatura3

Sıkıştırılmış dosyanın içeriğinde ise, farklı kaynaklara göre, trojan içeren bir çalıştırılabilir dosya bulunmaktadır. Bu dosyayı çalıştıran kullanıcıların bilgisayarlarına zararlı trojan bulaşmış olmaktadır.

Bu saldırı yetkililere yapılan bildirim ile kısa zaman içinde tespit edilmiş ve bazı kullanıcılara Türk Telekom Müşteri Hizmetleri tarafından aşağıdaki örnek e-posta ile bilgilendirme gönderilmiştir.

From: Türk Telekom Kurumsal Müşteri Hizmetleri

Sent: Monday, August 18, 2014 1:45 PM

To: …

Subject: Aldatmaya Yönelik Fatura E-Posta Gönderimi Değerli müşterimiz, Son zamanlarda Türk Telekom adına phishing (sahtecilik) amaçlı mailler ulaştığı tespit edilmiştir. Şirketimiz tarafından gönderilmiş gibi hazırlanan maillerde müşterilerimizin hesap bilgileri / kredi kartı bilgileri “E-Fatura Ödeme” butonuna tıklanarak ele geçirilmeye çalışılmaktadır. Phishing maillerindeki yönlendirmeler dikkate alınmamalı, işlemler kesinlikle ilerletilmemelidir. Türk Telekom tarafından gönderim yapılan e-posta adresi Türk Telekom E-Fatura Servisi  efatura@turktelekom.com.tr ‘ dir. Ekte aldatmaya yönelik gönderilen fatura ve Türk Telekom faturası örneği bulunmaktadır. Size Türk Telekom adına gelen maillerin e-posta adresinin doğru olduğunu lütfen kontrol ediniz. Saygılarımızla.

Bir diğer benzer saldırı da Türkiye İş Bankası’nın adı kullanılarak 2014 Eylül Ayı içinde gerçekleştirilmiş ve İş bankası müşterilerini hedefleyen bir e-posta birçok kişinin epostalarına gönderilmiştir.

Gönderilen sahte e-posta ile kullanıcının bildiği ve güven duyduğu bir marka kullanılarak korku ve panik uyandıracak şekilde hesabının kilitlendiğini şeklinde bilgilendirilmekte ve erişiminin yeniden açılması için e-posta içinde yer alan bir bağlantıya tıklaması istenmektedir. Erişimin kısa bir süre sonra kapatıldığı tahmin edilen bu bağlantıda İş Bankası giriş sayfası taklit edilerek, kullanıcıların hesap numarası ve şifrelerini elde etmeyi amaçlayan sahte bir sayfanın olduğu tahmin edilmektedir.

efatura4

Comodo AV Lab İnceleme:

Bu tarz saldırılar yukarda belirttiğimiz gibi “yemleme” veya “oltalama” (phishing) olarak tanımladığımız ve kullanıcıdan bilgi çıkarma veya bir yere yönlendirme amaçlı aksiyon almaya zorlayan saldırı çeşididir. Bu saldırının en önemli unsurlarından birisi kullanıcının bildiği, tanıdığı ve gördüğünde onda güven uyandıran bir öğenin kullanılmasıdır. Diğer önemli unsur ise, aciliyet arzeden bir şartın oluştuğunu hissettirip, bu acil durumda kullanıcının ani karar vererek istenilen bir bilgiyi dışarıya çıkarılmasını sağlamaktadır.

Birinci örnekte kullanılan e-posta ‘da turktelecom.org alan adı incelemesi yapıldığında kayıt ettiren kullanıcı olarak Artur Vlasov ve adresi Rusya Moskova çıkmaktadır. Bireysel bir alan adı kaydı olan turktelecom.org’a benzer turktelecom.info, turktelecom.biz gibi diğer alan adları da yine bu kişiye aynı bilgilerle kayıtlıdır. Birçok güvenlik sitesinde arama yapıldığında bu web adreslerinin şüpheli ve çok tehlikeli olduğu belirtilmektedir.

Bu web sayfasından indirilen çalıştırılabilir dosyadaki zararlı, Win32/Hesperus veya Win32/Hesperbot ailesine ait bir varyanttır. Bu zararlı modüler yapıda, tipik bir bankacılık zararlısıdır ve amacı banka bilgilerini ele geçirmektir.

Program çalışmaya başladığında, explorer.exe’nin bir kopyasını suspended olarak başlatır. Daha sonra WriteProcessMemory API’ini kullanarak kendi kodunu explorer prosesine yazar. Son olarak NtSetContextThread API’i ile entry-point’i kendi yazdığı kod olarak güncelleyip NtResumeThread API’i ile explorer.exe’yi çalışmaya devam ettirir (tabi ki kendi eklediği koddan).

efatura5

Explorer.exe içinde çalışan modül zararlının, sistem başlangıcında otomatik olarak çalışması için, registry’nin HKCU\SOFTWARE\…\CurrentVersion\run lokasyonuna ekler.

pishing

pishing2

Ayrıca ProgramData dizininde rastgele isimler ile zararlının kendisi, çeşitli konfigürasyon dosyaları ve sun dizini altında backup dosyası oluşturulur.

pishing3pishing4

Hesperbot zararlısı, modüler bir yapıya sahiptir ve html inject gibi çeşitli modüller daha sonra C&C serverdan indirilerek hedef sisteme kurulur.

İkinci örnekte kullanılan email’de ise maili gönderen kişi olarak “Türkiye İş Bankası” yazmasına karşın mail adresi buro@centurytel.net olarak gözükmektedir. Bağlantıda yer alan URL’nin ana sayfasının normal bir sayfa olması, bu sitenin kötü niyetli kişilerce ele geçirilerek site içinde sahte bir sayfa oluşturulduğunu göstermektedir. Gözlemlenen imla ve dilbilgisi hataları, eposta içeriğinin yabancı dildeki başka bir saldırı şablonundan otomatik çeviri yoluyla hazırlandığının ispatıdır. Eposta başlığı içinde yer alan detaylar, epostanın çıkış noktasının ABD üzerinde resmi olmayan bir IP adresi olduğunu ve İş Bankası’ndan geldiği iddia edilen bu epostanın sahteliğini ortaya çıkartmaktadır.

Bu tür saldırılar daha çok kurumsal elektronik posta adreslerini hedef aldığı için bu tarz saldırılara karşı ilk olarak Anti Spam Gateway ürünleri kullanılması önerilmektedir. Özellikle yemleme saldırısına karşı gelişmiş koruma sağlayan bir çözüm, kurumların ve kullanıcıların güvenliğini sağlamakta önemli bir savunma mekanizmasıdır. Her zaman olduğu gibi, kullanıcıların bu gibi saldırılara karşı bilinçlendirilmesi ve eğitilmesi de son derece önemlidir. Aynı zamanda bu tarz saldırılara karşı uç nokta bilgisayarlar üzerinde Sandbox yaklaşımını kullanan Anti Virüs çözümleri önerilmektedir.

Bilgilerinize sunar, daha güvenli bir internet dileriz.

Creating Trust Online “ Comodo AV Lab Türkiye “

Yorum Ekle

İsim
Yorum