Man In The Middle Saldırısı ve Alınacak Önlemler
Ortadaki Adam Saldırısı (Man in The Middle Attack) saldırganların zayıf web tabanlı protokolleri kullanıp bir iletişim kanalındaki kuruluşların arasına girerek veri çalmaya çalıştığı bir siber saldırı biçimidir.
E-posta gönderen, mesaj atan veya görüntülü görüşme yapan tarafların hiçbiri, bir saldırganın kendilerinin konuşmaya dahil olduğunun ve verilerini çaldığının farkında değildir.
Çoğu Man in The Middle saldırısı sessiz ve kurbanların bilgisi olmadan gerçekleştirilirken, bazı MITM saldırıları tam tersidir. Bunlar arasında inandırıcı metin mesajları üreten bir bot, bir aramada bir kişinin sesini taklit etme veya saldırganın katılımcıların cihazlarından önemli olduğunu düşündüğü verileri toplamak için tüm bir iletişim sistemini taklit etme yer alabilir.
Man in The Middle Saldırı Türleri Nelerdir?
1. E-posta ele geçirme
Adından da anlaşılacağı gibi, bu tür saldırıda siber suçlular hassas verilere ve paraya erişimi olan bankaların, finans kuruluşlarının veya diğer güvenilir şirketlerin e-posta hesaplarının kontrolünü ele geçirir. Saldırganlar içeri girdikten sonra banka ile müşterileri arasındaki işlemleri ve yazışmaları izleyebilir.
Daha kötü senaryolarda, saldırganlar bankanın e-posta adresini taklit eder veya sahtesini yapar ve müşterilere kimlik bilgilerini yeniden göndermelerini veya daha kötüsü, saldırganların kontrol ettiği bir hesaba para göndermelerini söyleyen e-postalar gönderir. Bu MITM saldırı versiyonunda, sosyal mühendislik veya kurbanlarla güven oluşturmak başarının anahtarıdır.
2. Wi-Fi dinlemesi
Wi-Fi dinlemesinde, siber suçlular kurbanların meşru görünen bir isme sahip yakındaki bir kablosuz ağa bağlanmasını sağlar . Ancak gerçekte, ağ kötü amaçlı faaliyetlerde bulunmak üzere kurulmuştur. Kablosuz ağ, kullanıcının sık sık gittiği yakındaki bir işletmeye aitmiş gibi görünebilir veya “Ücretsiz Genel Wi-Fi Ağı” gibi genel görünen, görünüşte zararsız bir isme sahip olabilir. Bazı durumlarda, kullanıcının bağlanmak için bir parola girmesine bile gerek kalmaz.
Kurbanlar kötü amaçlı Wi-Fi’ye bağlandıktan sonra saldırganın şu seçenekleri vardır: Kullanıcının çevrimiçi etkinliğini izlemek veya oturum açma kimlik bilgilerini, kredi veya ödeme kartı bilgilerini ve diğer hassas verileri toplamak.
Bu saldırıya karşı korunmak için kullanıcılar her zaman hangi ağa bağlı olduklarını kontrol etmelidir. Mobil telefonlarda, cihazlarının kötü amaçlı bir ağa otomatik olarak bağlanmasını önlemek için yerel olarak hareket ederken Wi-Fi otomatik bağlantı özelliğini kapatmalıdırlar.
3. DNS sahteciliği
Alan Adı Sistemi (DNS) sahteciliği veya DNS önbellek zehirlenmesi, manipüle edilmiş DNS kayıtlarının, meşru çevrimiçi trafiği, kullanıcının büyük olasılıkla bildiği ve güvendiği bir web sitesine benzeyecek şekilde oluşturulmuş sahte veya taklit bir web sitesine yönlendirmek için kullanılmasıyla meydana gelir.
Tüm sahtecilik tekniklerinde olduğu gibi, saldırganlar kullanıcıları farkında olmadan sahte web sitesine giriş yapmaya teşvik eder ve onlara belirli bir eylemde bulunmaları gerektiğine, örneğin bir ücret ödemeleri veya belirli bir hesaba para aktarmaları gerektiğine ikna eder. Saldırganlar bu süreçte kurbanlardan olabildiğince fazla veri çalarlar.
4. Oturum ele geçirme
Oturum ele geçirme, saldırganın kurbanın bankacılık veya e-posta gibi bir uygulamada oturum açmasını beklediği ve ardından oturum çerezini çaldığı bir MITM saldırısı türüdür. Saldırgan daha sonra çerezi kullanarak kurbanın sahip olduğu aynı hesaba, ancak saldırganın tarayıcısından oturum açar.
Oturum, iki cihaz veya bir bilgisayar ile bir kullanıcı arasında geçici bir bilgi alışverişini tanımlayan bir veri parçasıdır. Saldırganlar oturumları, bir web sitesinde oturum açmış bir kullanıcıyı tanımlamak için kullanıldıkları için kullanırlar. Ancak, saldırganların hızlı çalışmaları gerekir çünkü oturumlar birkaç dakika kadar kısa olabilen belirli bir süre sonra sona erer.
5. Güvenli Yuva Katmanı (SSL) ele geçirme
Günümüzde çoğu web sitesi güvenli bir sunucu kullandıklarını gösterir. Tarayıcının adres çubuğunda görünen Tekdüzen Kaynak Bulucu’nun (URL) ilk bölümünde “HTTP” veya Hypertext Transfer Protocol yerine Hypertext Transfer Protocol Secure’un kısaltması olan “HTTPS” bulunur. Kullanıcılar HTTP yazsalar bile (ya da hiç HTTP yazmasalar bile) tarayıcı penceresinde HTTPS veya güvenli sürüm görüntülenir. Bu standart bir güvenlik protokolüdür ve bu güvenli sunucuyla paylaşılan tüm veriler korunur.
SSL ve halefi taşıma katmanı güvenliği (TLS), ağ bağlantılı bilgisayarlar arasında güvenlik sağlamak için kullanılan protokollerdir. Bir SSL ele geçirmesinde, saldırgan bir sunucu ile kullanıcının bilgisayarı arasında geçen tüm verileri engeller. Bu, SSL’nin daha eski, savunmasız bir güvenlik protokolü olması ve daha güçlü TLS protokolüyle değiştirilmesini gerektirmesi nedeniyle mümkündür (3.0 sürümü Haziran 2015’te kullanımdan kaldırıldı).
5. ARP önbellek zehirlenmesi
Adres Çözümleme Protokolü (ARP), belirli bir internet katmanı adresiyle ilişkili bir medya erişim denetimi (MAC) adresi gibi bağlantı katmanı adresini keşfetmek için kullanılan bir iletişim protokolüdür. ARP, bağlantı katmanı adresini yerel ağdaki İnternet Protokolü (IP) adresine çevirdiği için önemlidir.
Bu şemada, kurbanın bilgisayarı siber suçludan gelen yanlış bilgilerle kandırılır ve dolandırıcının bilgisayarının ağ geçidi olduğunu düşünmesi sağlanır. Bu şekilde, kurbanın bilgisayarı ağa bağlandığında, esasen tüm ağ trafiğini gerçek ağ geçidi yerine kötü niyetli aktöre gönderir. Saldırgan daha sonra bu yönlendirilen trafiği, tarayıcıda depolanan kişisel olarak tanımlanabilir bilgiler (PII) gibi ihtiyaç duyduğu tüm bilgileri analiz etmek ve çalmak için kullanır.
6. IP sahteciliği
IP sahteciliği, saldırganın meşru bir web sitesine giden internet trafiğini sahte bir web sitesine yönlendirmesi bakımından DNS sahteciliğine benzer. Saldırgan, web sitesinin DNS kaydını sahte yapmak yerine, kötü amaçlı sitenin IP adresini, kullanıcıların ziyaret etmeyi amaçladığı meşru web sitesinin IP adresiymiş gibi gösterecek şekilde değiştirir.
7. Tarayıcı çerezlerini çalmak
Bilgisayarda, çerez küçük, depolanmış bir bilgi parçasıdır. HTTP çerezi olarak da bilinen tarayıcı çerezi, bir web tarayıcısı tarafından toplanan ve yerel olarak bir kullanıcının bilgisayarında depolanan veridir. Tarayıcı çerezi, web sitelerinin kullanıcının tarama deneyimini geliştirmek için bilgileri hatırlamasına yardımcı olur. Örneğin, çerezler etkinleştirildiğinde, bir kullanıcının bir formdaki ad ve soyad gibi aynı öğeleri doldurmaya devam etmesi gerekmez.
Tarayıcı çerezlerini çalmak, gerçekleştirilebilmesi için Wi-Fi dinleme veya oturum ele geçirme gibi başka bir MITM saldırı tekniğiyle birleştirilmelidir. Siber suçlular, tarayıcı çerezlerini çalmak ve bir MITM saldırısının tüm potansiyelinden yararlanmak için diğer MITM tekniklerinden birini kullanarak bir kullanıcının cihazına erişebilir. Tarayıcı çerezlerine erişimle saldırganlar, kullanıcıların tarayıcılarında düzenli olarak depoladıkları parolalara, kredi kartı numaralarına ve diğer hassas bilgilere erişebilir.
Man in The Middle Saldırıları Nasıl Önlenir
Sağlam siber güvenlik uygulamaları genellikle bireyleri ve kuruluşları MITM saldırılarından korumaya yardımcı olacaktır.
- Ev Wi-Fi yönlendiricilerini güncelleyin ve güvenli hale getirin: Bu belki de en önemlisidir, çünkü evden çalışma (WFH) politikaları genellikle çalışanların kurumsal ağa erişmek için internete bağlanmak üzere bir ev yönlendiricisi kullanmasını zorunlu kılar. Firmware olarak bilinen Wi-Fi yönlendirici yazılımı zaman zaman güncellenmelidir. Firmware güncellemeleri otomatik olmadığı için bu işlem manuel olarak gerçekleştirilmelidir. Ayrıca, yönlendiricinin güvenlik ayarlarının Wi-Fi Alliance’a göre şu anda WPA3 olan en güçlü ayara getirildiğinden emin olun .
- İnternete bağlanırken sanal özel ağ (VPN) kullanın: VPN’ler cihazlar ve VPN sunucusu arasında seyahat eden verileri şifreler. Şifrelenmiş trafiğin değiştirilmesi daha zordur.
- Uçtan uca şifreleme kullanın: Mümkün olduğunda, çalışanlara e-postalar ve diğer iletişim kanalları için şifrelemeyi açmalarını söyleyin. Ek güvenlik için, yalnızca kutudan çıktığı anda şifreleme sunan iletişim yazılımlarını kullanın. Bazı uygulamalar, örneğin WhatsApp Messenger gibi, arka planda şifrelemeyi otomatik olarak açar. Ancak, çalışanlar mesajlarının gerçekten şifrelendiğini doğrulamak isterlerse , her kişinin telefonundaki WhatsApp uygulamasında bulunan QR kodlarını tarayıp karşılaştırmak gibi özel bir işlem yapmaları gerekecektir .
- Yamaları yükleyin ve antivirüs yazılımı kullanın: Bunlar temel siber güvenlik uygulamaları olabilir, ancak unutulmaları kolay olduğu için bahsetmeye değer. Dahası, WFH politikalarıyla çalışanlar artık tüm yamaların yüklenmesini ve cihazlarındaki güvenlik yazılımlarının güncellenmesini sağlamaktan sorumludur. BT personelinin uç nokta güvenliğini güçlendirmek için çalışanlara bunun önemini açıklaması gerekebilir.
- Güçlü parolalar ve bir parola yöneticisi kullanın: Parolalar yakın zamanda ortadan kalkmayacağı için, çalışanları güçlü parolalar ve bir parola yöneticisi kullanmaya teşvik edin. Şirkete ait cihazlar için, BT personeli parola uzunluğu, karmaşıklık (yani, özel karakterlerin kullanımı), eskime, geçmiş/yeniden kullanım ve cihaz uzaktan silinmeden önce maksimum parola denemesi sayısıyla ilgili kuralları olan bir parola politikası içeren mobil cihaz yönetim yazılımı yükleyebilir.
- Mümkünse, çok faktörlü kimlik doğrulamayı (MFA) kullanın: Yalnızca parolalara güvenmemeniz için kuruluşlar, cihazlara ve çevrimiçi hizmetlere erişim için MFA kullanımını teşvik etmelidir. Bu uygulama, kuruluşların tehditlere karşı en iyi savunması haline gelmiştir.
- Yalnızca güvenli web sitelerine bağlanın: Bu, tarayıcının adres çubuğunda web sitesi URL’sinin en solunda küçük bir asma kilit simgesi arayın anlamına gelir. Bu, ziyaret ettiğiniz web sayfasının güvenli olduğunu ve HTTPS protokolünü kullandığını gösterir. Güvenlik için, çalışanlar ve genel olarak web kullanıcıları asla normal HTTP sitelerine veya asma kilit simgesi görünmeyen sitelere bağlanmamalıdır. Bunu sağlamak için, kullanıcılar bu kuralı uygulayabilen ücretsiz bir tarayıcı eklentisi yüklemeyi düşünebilirler. Ayrıca, en kapsamlı siber güvenlik platformları, çalışanların HTTPS olmayan sitelere erişmesini kısıtlayan web filtreleme protokolleri içerir.
- DNS trafiğini şifreleyin: DNS, internetin dağıtılmış dizin hizmetidir. Uygulamalar, bir etki alanı adını bir IP adresine çözümlemek için DNS’i kullanır. Ancak, DNS harici yinelemeli DNS çözücüsüne bağlanmak istediğinde, gizlilik ve güvenlik bir sorun haline gelir çünkü DNS dağıtılmıştır ve tek bir güvenlik protokolü yoktur. TLS üzerinden DNS (DoT) ve HTTPS üzerinden DNS sorguları dahil olmak üzere ortaya çıkan bir avuç mekanizma, başka hiçbir tarafın çözücüyü taklit edememesini sağlamak için sertifikalar kullanarak çözücünün kimliğini doğrulamak amacıyla kullanıcının bilgisayarı ile harici DNS çözücüsü arasındaki DNS trafiğini şifreler.
- Sıfır güven felsefesini benimseyin: Sıfır güven, kuruluşların kendi sınırları içinde veya dışında hiçbir şeye otomatik olarak güvenmemesini gerektiren bir güvenlik kavramıdır. Bunun yerine, erişim vermeden önce sistemlerine bağlanmaya çalışan her şeyi doğrulamaları gerekir. Model “asla güvenme, her zaman doğrula”dır ve her cihaz, kullanıcı ve uygulamada sürekli doğrulamaya dayanır. Sıfır güven yaklaşımları bir MITM saldırısının başlamasını önleyebilir veya bir MITM saldırısı halihazırda devam ediyorsa bir kuruluşun varlıklarını koruyabilir.
- Bir UEBA çözümü dağıtın: Kullanıcı ve varlık davranış analitiği (UEBA), kurumsal ağa bağlı hem kullanıcıların hem de cihazların davranışlarındaki en küçük anormallikleri bile tespit etmek için makine öğrenimini kullanır. Siber saldırılar daha karmaşık hale geldikçe ve tehdit vektörleri her yerde ortaya çıkabildikçe, makine öğrenimi araçları şüpheli olabilecek ve bir MITM saldırısının göstergesi olabilecek küçük davranış değişikliklerini izlemek için giderek daha fazla kullanılıyor.